Вернуться в блог

Чем грозит несоблюдение закона о персональных данных?

В обычной жизни мы довольно часто сталкиваемся с законодательством о персональных данных. Это происходит, когда мы подписываем бумаги под названием «Согласие на обработку персональных данных» или ставим галочку, заполняя информацию о себе на сайтах в интернете. А вот какие требования закон № 152-ФЗ «О персональных данных» предъявляет к компаниям, как их выполнить директору или бухгалтеру, и что произойдет, если их проигнорировать, мы сегодня подробно расскажем.

Какие компании должны соблюдать закон «О персональных данных»?

Возможно, мы вас удивим, но это должна делать каждая компания, независимо от организационно-правовой формы или вида деятельности. Даже совсем небольшие фирмы хранят и используют персональные данные и обязаны соблюдать закон. Почему? Потому что персональные данные — это любая информация о физическом лице, и в каждой организации при ведении кадрового и бухгалтерского учёта, расчёте заработной платы, подготовке отчётности используются персональные данные работников. Многие компании предлагают товары и услуги и накапливают информацию о своих клиентах, и так далее.

Как соблюсти требования закона. Пошаговая инструкция.

1. Назначьте ответственного. Решите, кто из ваших работников будет заботиться о том, чтобы были выполнены требования закона. Обычно это бухгалтер или руководитель компании.

Если вы — директор фирмы, можете пожалеть бухгалтера и подписать приказ, которым назначите ответственным самого себя. Большой роли это не играет.

2. Определите особенности компании. Разберитесь вот в чем:

  • какие именно персональные данные каких физических лиц (работников, клиентов, соискателей вакансий и т.д.) вы собираете, храните и используете; с какой целью это делаете;
  • убедитесь, что 152-ФЗ или другие законы разрешают вам использовать эти данные;
  • в какие компьютерные программы и бумажные документы вы вносите персональные данные и как именно их храните.

3. Подготовьте комплект документов. Закрепите результаты двух предыдущих этапов в приказах, положениях, актах и подготовьте специальный документ для всех работников и клиентов — политику в отношении обработки персональных данных.

С этим может помочь знакомый юрист: он объяснит на пальцах, что нужно записать в документах, и поможет их составить.

4. Оформите отношения с физическими лицами. Иногда компания должна внести изменения в договоры со своими работниками, клиентами и другими лицами: например, включить туда форму согласия на обработку персональных данных. А Трудовой кодекс требует, чтобы все работники компании были ознакомлены «под роспись» с упомянутыми в предыдущем пункте документами.

Если у вашей компании есть сайт и вы принимаете заказы с его помощью, то дайте клиентам возможность поставить при оформлении заказа отметку, что они согласны предоставить вам свои персональные данные и что вы можете передавать их в курьерскую компанию для доставки заказа. При этом не забудьте поместить на сайт ссылку на «политику в отношении обработки персональных данных».

5. Оформите отношения с другими компаниями. Часто фирма передаёт имеющиеся у неё персональные данные другим компаниям (например, в банк в рамках зарплатного проекта) или получает персональные данные от других компаний. Закон требует включить в договоры с такими компаниями особые положения. Например, о неразглашении переданных персональных данных.

6. Подайте специальное уведомление в Роскомнадзор. Его подготовить несложно: укажите примерно те же сведения, что и в политике в отношении обработки персональных данных.

7. Ведите оперативную деятельность. Некоторые действия нужно выполнять время от времени: уничтожать персональные данные, цель обработки которых достигнута, знакомить новых работников компании с комплектом документов и следить за его актуальностью, вовремя отвечать на обращения субъектов персональных данных и Роскомнадзора и так далее.

Чем грозит несоблюдение закона?

Директору:

  • Штрафом за нарушение законодательства о персональных данных (обычно налагается после проверки, максимальный размер — 10 000 рублей;
  • Штрафом за неустранение нарушений (обычно налагается, если вы нерасторопно реагируете на результаты проверки; максимальный размер — 20000 рублей);
  • Штрафом за непредоставление сведений в Роскомнадзор (максимальный размер — 5000 рублей).
  • Кроме этого, законопроект об изменениях в законе «О персональных данных» ещё в конце 2013 года отправился в Государственную Думу. Он предполагает увеличение максимальной суммы штрафа за невыполнение требования закона до 300 000 рублей.

Бухгалтеру:

Проверка закончится, штраф компания заплатит, но требования закона нужно будет так или иначе соблюсти: в течение 30 дней пройти по 7 шагам, озвученным выше. Потратить изрядное количество времени, нервов и, возможно, денег на консультацию.

В комментариях вы можете рассказать, как обстоит дело с выполнением закона о персональных данных в вашей компании, задать вопросы. На них ответит Игорь Луканин, эксперт сервиса «Контур — Персональные данные».

Сервис помогает компаниям малого бизнеса с минимальными затратами сил и времени выполнить закон «О персональных данных»: за несколько шагов разобраться в требованиях закона и легко подготовить все нужные документы.

73 комментария
Представьтесь через
фейсбук контакте твиттер
Написать комментарий
  • Станислав 11 марта 2014, 22:00
    На сайте при регистрации пользователь оставляет свое Имя и E-mail
    Это тоже считается персональными данными которые надо сдавать?
    Ответить
    • Lukanin Igor 12 марта 2014, 07:16
      Поо закону, персональные данные — любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу. Значит, имя и адрес электронной почты, которые пользователи оставляют у вас на сайте, будут персональными данными, если будет возможно понять, к какому определённому физическому лицу они относятся. Общепринято считать, что имени (например, «Вася») и адреса электронной почты (например, «[email protected]») недостаточно, чтобы понять, к какому конкретному физическому лицу эти данные относятся. Таким образом, эти данные не являются персональными и требования 152-ФЗ на вас, как на владельца сайта, не распространяются.

      Вообще, определение «минимального набора» данных, которые являются персональными — «серая зона» текущей редакции закона, что можно было заметить по слову «общепринято» в предыдущем абзаце. Если в качестве примера привести имя «Игорь» и адрес электронной почты «[email protected]», то ответ на вопрос, относятся ли эти данные к определённому физическому лицу будет уже не таким однозначным. Однако есть хороший способ упрочнить юридическую позицию, изложенную в предыдущем абзаце — запрашивайте на сайте не «имя» пользователя, а его «псевдоним». С фактической точки зрения ничего не изменится, с юридической — уж точно нельзя нельзя будет рассчитывать, что некий псевдоним, который выбирает сам пользователь, относится к определённому физическому лицу.
      Ответить
  • Марина 11 марта 2014, 23:45
    Спасибо за статью! В 2011 проходило много семинаров, а сейчас все как-будто забыли о персональных данных)

    Хотела бы задать вопросы Игорю:
    1) Нужно ли уведомлять Роскомнадзор:
    а) если компания обрабатывает общедоступные данные (например, имеет сайт с форумом, где пользователи указывают свои имена/интересы итп)?
    б) если данные требуются для выполнения договоров поставки/купли продажи (в том числе по договору оферты на сайте)
    в) в случае подписки на тематические рассылки сайта (e-mail, имя, телефон)
    2) Программа лояльности предполагает заполнение анкеты физ.лица с согласием на рассылку смс и e-mail. Можно ли в анкете не запрашивать паспортные данные (чтобы не повышать категорию ПД)?

    Заранее спасибо!
    Ответить
    • Lukanin Igor 12 марта 2014, 09:18
      Спасибо вам, мне тоже статья очень нравится. Вообще, в течение 2013 года законодательство о персональных данных активно реформировалось, и есть предпосылки к тому, что реформы продолжатся в 2014 и 2015 годах. Так что, я думаю, инициативы законодателей и контролирующих органов ещё не раз напомнят вам о теме персональных данных :)

      1) Про уведомление Роскомнадзора: закон говорит, что уведомление должны подавать абсолютно все компании — правда, за рядом исключений. Я рекомендую подавать уведомление безусловно, потому что наличие уведомления проверяется Роскомнадзором в первую очередь, а вот в толковании того, распространяются ли на вашу компанию исключения, вы вполне можете с Роскомнадзором разойтись во взглядах. При этом на его стороне будут властные полномочия и возможность наложить штраф, на на вашей — только возможность обратиться в суд для обжалования.

      Распространено мнение, что подача уведомления увеличивает вероятность проведения плановой проверки компании. Это заблуждение, и анализ ежегодных планов проверок это подтверждает.

      а) Относительно сайта с форумом я рекомендую посмотреть мой предыдущий комментарий (чуть выше). Может быть, что данные пользователей на этом сайте невозможно отнести к определённым физическим лицам? В ином случае, ч. 4 п. 2 ст. 22 закона позволяет не уведомлять Роскомнадзор в случае обработки данных «...являющихся общедоступными персональными данными».

      б) Ч. 2 п. 2 ст. 22 закона позволяет не уведомлять Роскомнадзор в случае обработки данных «...полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных».

      в) При ответе на этот пункт я полагал, что речь идёт о рассылках в рамках программы лояльности, о которой идёт речь в п. 2 вашего вопроса, иначе непонятно, зачем запрашивается номер телефона. В случае, если условия программы лояльности оформлены в качестве договора (например, оферты), то в силу ч. 2 п. 2 ст. 22 также можно не подавать уведомление, как указано выше.

      2) Здесь отмечу, что определение категории персональных данных и класса информационной системы персональных данных — дела давно ушедших дней (актуальная нормативная база оперирует понятием уровня защищённости персональных данных).

      Для осуществления рассылки, конечно же, не стоит запрашивать паспортные данные, ведь они не требуются для её проведения. При этом ч. 1 ст. 6 и ч. 1 ст. 15 закона говорят, что для осуществления рассылки необходимо согласие субъекта персональных данных — заполненная анкета (например, содержащая собственноручно указанные имя, номер телефона, адрес электронной почты, дату и подпись) поможет подтвердить, что такое согласие было получено.

      Ч. 1 ст. 9 и ч. 2 ст. 15 говорят, что по требованию субъекта обработка его данных (и осуществление рассылки) должно быть прекращено. Рекомендую указать в самой анкете, как участники программы лояльности могут от неё отказаться: например, написав письмо с указанного ими адреса электронной почты или написав сообщение с указанного ими номера телефона.
      Ответить
      • Марина 12 марта 2014, 11:13
        Игорь, спасибо за подробные ответы)
        А про паспортные данные я спросила потому, что в сети встречала образец анкеты согласия для подписки на рассылку, содержащей паспортные данные. Авторы статьи даже приводили какие-то доводы, почему нужно включать в анкету паспортные данные. Мне такая позиция показалась ошибочной, поэтому решила уточнить у эксперта)
        Ответить
        • Lukanin Igor 12 марта 2014, 17:13
          Я вижу два варианта: или авторы считали, что любое письменное согласие должно соответствовать форме, установленной ч. 4 ст. 9 закона, где предлагается указать паспортные данные; или они считали, что иначе доказать, что анкета заполнена непосредственно физ. лицом не получится. Но мой взгляд (и исходя из практики), собственноручно указанных имени, даты и подписи для этого достаточно.
          Ответить
  • Алексей 12 марта 2014, 08:26
    Небольшое уточнение!

    В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?

    В соответствии частью 1 статьи 22 Федерального закона «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

    Исключение составляют случаи, предусмотренные частью 2 комментируемой статьи, при обработке персональных данных:

    1) обрабатываемых в соответствии с трудовым законодательством;

    2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

    3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

    4) сделанных субъектом персональных данных общедоступными;

    5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

    6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

    7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

    8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

    9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

    Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

    Образец формы уведомления об обработке персональных данных и рекомендации по его заполнению размещены на официальном сайте Роскомнадзора - www.rsoc.ru и Портале персональные данные www.pd.rsoc.ru. В информационно-телекоммуникационной сети «Интернет».

    Кроме того, на Портале персональные данные реализована функция по заполнению уведомления об обработке персональных данных в электронной форме, при заполнении которой Вашими помощниками будут всплывающие подсказки, которые поясняют каждую графу. В ближайшее время можно будет в полном объеме воспользоваться и Единым порталом государственных и муниципальных услуг, откуда можно будет подать уведомление в электронной форме, не используя бумажный вариант (в настоящее время в размещенные на нем формы документов вносятся необходимые изменения).
    http://pd.rkn.gov.ru/faq/faq10.htm
    Ответить
    • Lukanin Igor 12 марта 2014, 09:23
      Алексей, благодарю за отличную цитату материала с сайта Роскомнадзора, практически повторяющего содержание ст. 22 закона :)
      Ответить
  • Буланов Михаил 12 марта 2014, 15:19
    Статью надо дополнить сроками хранения документов.
    Ответить
    • Lukanin Igor 12 марта 2014, 17:16
      Михаил, спасибо! Дельное замечание. В п. 7 статьи мы указали, что придётся время от времени уничтожать носители персональных данных или удалять их из компьютеров. Действительно, это делается по достижения цели обработки данных либо по истечения срока хранения. А вот конкретные сроки хранения различных типов документов (записей в компьютерах) — это, пожалуй, тема отдельной статьи.
      Ответить
  • Сергей 12 марта 2014, 15:55
    Нам присылал Роскомнадзор письмо, что при мониторинге нашего сайта было выявлено что мы занимаемся хранением и обработкой персональных данных. Просили предоставить документы в установленном законом порядке, подтверждающие право делать это.

    Почитали немного интернеты и направили к ним запрос, в котором содержались требования предоставить информацию для ознакомления, какие-такие мониторинги были, почему нас не оповестили, что намониторили и вообще всю информацию по этому вопросу, какие критерии, какие специалисты, их квалификацию, какое оборудование, документы о соответствии оборудования предъявляемым к нему требованиям и т.д..

    Поступил ответ - приезжайте мол, покажем, ибо закон говорит что имеем право ознакомиться. Ну ради этого ехать в Москву никто не стал, из наших сотрудников. Отписали им что не приедем - у организации нет средств на такие поездки.

    Уже около года нет от них вестей, не пишут...
    Ответить
    • Lukanin Igor 12 марта 2014, 17:21
      Сергей, в данном случае мне хочется удивиться нерешительности контролирующего органа. Ч. 4 ст. 20 закона говорит: «Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса». Честно скажу, что после того, как вы отказались предоставить Роскомнадзору запрошенную информацию, следовало ожидать санкций по статье 19.7 КоАП. Рад, что обошлось без этого :)
      Ответить
      • Сергей 26 марта 2014, 16:46
        Наверное, дело в том, что владелец сайта, доменного имени, физ.лицо, и вообще не имеет никакого отношения к сбору информации и операторам, таковым не является, а значит и санкции к нему применить нельзя. Хотя не знаю, как на самом деле.
        Ответить
  • Ирина 13 марта 2014, 10:28
    Добрый день. Я отчет делаю и сдаю через электронку ( КОНТУР). Трудовой договор на сотрудников готовила при принятии на работу. Сейчас я могу сделать дополнение к договору или целесообразней подготовить новые договора на всех сотрудников?
    Ответить
    • Lukanin Igor 13 марта 2014, 13:08
      Добрый день! Как я понял, вы хотели бы получить согласия работников (по ТК РФ) на обработку их персональных данных. Во-первых, совершенно необязательно готовить новые договора: дополнительных соглашений будет достаточно. Во-вторых, в большой части случаев получать согласие именно работников не требуется. Чтобы сказать точно, необходимо чуть глубже разобраться в особенностях вашей компании.
      Ответить
  • Анна 13 марта 2014, 14:23
    Здравствуйте! Подскажите пожалуйста, в нашей организации 3 работника, есть сайт (там нет форумов, просто ознакомительный сайт с возможностью оставить комментарий). Я так поняла что нам нужно подать Уведомление в Роскомнадзор, но они не наложат штраф что до сих пор не подали это уведомление (работаем то мы довольно давно)?
    Ответить
    • Lukanin Igor 13 марта 2014, 16:20
      Добрый день! В вашем случае, когда ведётся обработка только персональных данных работников в рамках трудового законодательства, необходимости подавать уведомление нет — об этом говорит п. 1 ч. 1 ст. 22 закона. При этом практика показывает, что контролирующий орган не всегда соглашается с этой позицией и настаивает на подаче уведомления. Я говорил об этом подробнее здесь: http://www.b-kontur.ru/blog/13494#comment_18662

      Также могу заверить, что после подачи уведомления вашу компанию не станут штрафовать: вы пополните реестр компаний, подавших уведомление; поможете контролирующему органу в достижении плановых показателей пополнения реестра.
      Ответить
  • Чащина Наталья 13 марта 2014, 14:31
    Здравствуйте, меня заинтересовали ваши слова "Во-вторых, в большой части случаев получать согласие именно работников не требуется. Чтобы сказать точно, необходимо чуть глубже разобраться в особенностях вашей компании." у нас ип, занимаемся торговлей бытовой техники и мебелью, при приеме на работу работники у нас подписывают согласие на обработку своих персональных данных и знакомятся с положением по подпись и этого не надо делать?
    Ответить
    • Lukanin Igor 13 марта 2014, 17:09
      Добрый день, Наталья.

      По порядку. Знакомить работников с документами организации под роспись нужно — этого требует п. 8 ст. 86 Трудового кодекса и п. 6 ч. 1 ст. 18.1 закона «О персональных данных».

      Получать согласие работников на обработку их персональных данных в рамках трудового законодательства (более простыми словами — в объёме, необходимом для заключения трудового договора и заполнения формы Т-2) не нужно. Об этом говорит п. 2 ч. 1 ст. 6 закона «О персональных данных».

      Однако могут быть случаи (в цитируемом комментарии я назвал их «особенностями организации»), когда согласие работников или других физ. лиц требуется:

      1. Если данные работников передаются в другую организацию (кроме госорганов). Например, согласие работников на передачу их данных требуется получить всем пользователям Бухгалтерии.Контур, согласно п. 2.2 лицензионного договора и ч. 3 ст. 6 закона «О персональных данных». Надеюсь, я не удивил никого из тех, кто читает лицензионные договоры :)

      2. Если обрабатываются так называемые биометрические персональные данные (обычно используются в системах контроля доступа, не самый типичный случай).

      3. Если обрабатываются так называемые специальные категории персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) — снова за рядом исключений. Обычно такие данные обрабатываются в отдельных отраслях (хороший пример — медицинские учреждения).

      4. Если данные передаются в заграничные компании — за исключением ряда стран (хороший пример — контрагенты туристических операторов и агентств).

      5. Если с физическим лицом совершаются контакты для продвижения товаров и услуг с помощью средств связи (хорошие примеры — персонализированные рекламные рассылки по электронной почте и смс, «горячие звонки» с предложением услуг).

      6. Если исключительно автоматизированно принимаются решения, порождающие юридические последствия в отношении физ. лиц. Это достаточно редкие случаи (хороший пример — если решение о выдаче или невыдаче кредита принимает бездушная скоринговая система без участия человека; гипотетический пример — если особым образом настроенная бухгалтерская программа автоматически лишает премии отъявленных «опоздунов»).

      Здесь нужно отметить, что для упрощения в перечислении выше я не разделял случаи, когда согласие может быть получено в «свободной» форме (например, включением произвольного пункта в договор с физ. лицом или установкой «галочки» на сайте) и когда согласие должно быть получено обязательно в установленной законом письменной форме.
      Ответить
  • Екатерина 13 марта 2014, 14:58
    Здравствуйте Игорь.
    С одной стороны - "Исключение составляют случаи, предусмотренные частью 2 комментируемой статьи, при обработке персональных данных: 1) обрабатываемых в соответствии с трудовым законодательством;"
    С другой - должны подавать уведомление все компании поголовно..
    Наша ситуация:
    ООО, один сотрудник (он же директор и гл.бух). Работаем с юр.лицами.
    Бухгалтерию ведем в "Контур Бухгалтерия".
    Сайт с форумом есть, но персональных данных на нем не оставляют (этот вопрос мы уже обсуждали с сотрудниками Роскомнадзора года полтора назад в рамках разбирательства связанного именно с форумом, они подтвердили, что связка ник+e-mail - не персональные данные и пользователь не может требовать их удаления на основании закона о ПД (это было предметом разбирательства)).
    У нас бывают оплаты от физ.лиц по квитанции (ИП часто так платят), в банковских выписках бывают их ФИО и адрес. Но, на сколько я понимаю, это не попадает по ПД?
    И еще иногда могут присылать резюме. Пока мы еще ни одного человека не приняли и не оформляли. Если будут - это будут агенты на %, т.е. оформляться они будут как физ.лица по агентскому договору.
    Вопросы:
    1) Должны ли мы что-то оформлять у себя и заявлять в Роскомнадзор по деятельности нашей компании?
    2) Пока только потенциально могут приходить резюме - должны ли что-то заявлять и оформлять?
    3) Если будет оформляться договор с агентом - что нужно оформлять и заявлять в этом случае?
    Буду благодарна за разъяснения.
    Ответить
    • Lukanin Igor 13 марта 2014, 18:00
      Екатерина, добрый день!

      Сформулирую мысль о подаче уведомлений в Роскомнадзор иначе: закон требует подавать уведомление от всех компаний, кроме подпадающих под достаточно широкие исключения; при этом разобраться, подпадает конкретная компания под исключение или нет — отдельная задача, а контролирующий орган рассматривает исключения более узко, чем хотелось бы компаниям.

      1. В рамках описанной вами ситуации необходимости подавать уведомление в Роскомнадзор нет. Необходимость выполнять остальные требования закона (в частности, подготавливать документы) — есть. Действительно, может казаться нелогичным, что на холдинг с 10 000 работников и на ООО с одним работником распространяются сходные требования, но закон таков.

      2. Если ни одного резюме вы сейчас не храните и не объявляете, что ждёте резюме (то есть вам их могут прислать только по собственному желанию) — ничего делать не нужно.

      3. При приёме агента нужно будет с вниманием подойти к составлению договора. Например, если данные агента будут попадать в Бухгалтерию.Контур, в договор нужно будет включить пункт о согласии агента на это.
      Ответить
  • елена 15 марта 2014, 22:55
    Здравствуйте! Мы медицинская организация (стоматология).Нужно ли нам получать согласие пациентов на обработку их ПД (внесение сведений в медицинскую карту)? В какой форме это необходимо делать и надо ли падать сведения в РОСКОМнадзор и как это делается??? Заранее благодарим
    Ответить
    • Lukanin Igor 17 марта 2014, 09:27
      Добрый день, Елена!

      П. 4 ч. 2 ст. 10 закона «О персональных данных» даёт возможность обрабатывать сведения о состоянии здоровья без согласия пациентов, если «обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну». При наличии у вашей организации медицинской лицензии — это ваш случай.

      Если вы всё же хотите получать согласие пациентов, то это необходимо делать в письменном виде (п. 1 ч. 2 ст. 10 закона) по форме, установленной ч. 4 ст. 9 закона (не привожу здесь перечень сведений, которые должно содержать согласие из-за его значительного размера).

      Уведомление в Роскомнадзор ваша компания может не подавать, если она подпадает под ряд исключений. Познакомиться с ними вы можете в комментарии Алексея (в самом верху списка комментариев).
      Ответить
  • Polosat 16 марта 2014, 19:03
    А может есть некая стандартная форма, которую мог бы подписывать каждый клиент, как приложение к договору что мол согласен на обработку и все такое. Что бы в случае проверки просто предоставить эту бумагу и не беспокоится об этом вопросе?
    Ответить
    • Lukanin Igor 17 марта 2014, 07:41
      Добрый день! Если вы задаёте такой вопрос, значит мы плохо поработали над статьёй :) К сожалению, волшебной пилюли нет: получение согласия клиентов, работников и т. д. — лишь один из необходимых шагов к выполнению требований закона. Более того, иногда этот конкретный шаг можно опустить, если закон это разрешает. Но это не избавляет от необходимости делать всё остальное, что мы перечислили в пунктах 1-7 статьи.

      Веб-сервис «Контур — Персональные данные» пытается быть такой волшебной пилюлей, но даже он серьёзно помогает выполнить требования закона, а не избавляет от необходимости выполнять их.
      Ответить
  • Татьяна 16 марта 2014, 20:34
    Игорь, подскажите пожалуйста, у нас агентство недвижимости, есть сайт, на котором есть возможность заполнить заявку на продажу/покупку недвижимости, указав при этом имя, номер телефона или e-mail для связи, также мы заключаем с клиентами договора об оказании услуг, где указываются персональных данные клиентов, потом на основании этих договоров они оплачивают услуги через банк. Надо ли предоставлять уведомления в Роскомнадзор в первом и втором случае и нужно ли клиентам давать на подпись согласие на обработку ПД?
    Ответить
    • Lukanin Igor 17 марта 2014, 09:16
      Добрый день, Татьяна!

      1. Я полагаю, что заявки, которые вы получаете через сайт, используются для того, чтобы связаться с клиентом и, в итоге, заключить с ним договор об оказании услуг. В таком случае подавать уведомление в Роскомнадзор не нужно, об этом говорит п. 2 ч. 2 ст. 22 закона «О персональных данных»: «[Можно вести без уведомления обработку данных,] полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных».

      При этом на сайте необходимо получить согласие потенциального клиента на обработку его данных. Например, это можно сделать с помощью «галочки» с текстом «Согласен на обработку моих персональных данных в соответствии с Политикой», которую клиент обязан поставить перед отправкой заявки. Слово «Политика» можно сделать ссылкой на политику в отношении обработки персональных данных — документ, который вы, в соответствии с ч. 2 ст. 18.1 закона должны разработать и опубликовать на сайте.

      2. Заключение договора об оказании услуг в силу уже упомянутого выше п. 2 ч. 2 ст. 22 закона не ведёт к обязанности подавать уведомление в Роскомнадзор.

      Кроме того, вам не требуется давать клиентам на подпись согласие на обработку их данных (п. 5 ч. 1 ст. 6 закона) — если, конечно, вы не делаете с данными клиентами что-либо из описанного мною в ответе на вопрос Натальи Чащиной (чуть выше).
      Ответить
  • Артур 25 марта 2014, 16:19
    Здравствуйте, Игорь.
    Очень интересная и актуальная тема.
    Есть вопрос по этой теме:
    Ситуация 1.
    Медицинская лаборатория (юр.лицо 1) принимает заказы от своих франчайзи (юр.лицо 2) на проведение медицинских исследований. Для этого франчайзи должен: 1) заключить договор с пациентом; 2) передать в лабораторию некую "анкету пациента" и биоматериалы для выполнения исследований. Т.е. физ.лицо заключает договор с юр.2, юр.2 в свою очередь принимает и передает ПД в юр.1.
    Передача осуществляется как в цифровом виде (информационная система + защищеный канал интернета), так и в бумажном (копии сформированных анкет).

    Ситуация 2.
    Франчайзи (юр. лицо 2 из предыдущего абзаца) может самостоятельно оказывать мед. услуги. Для этого нанимает мед персонал (врачи, мед сестры). При этом ведется электронная история болезни, история приема пациента, протоколы лечения и т.д. Т.е. весь набор ПД первого класса.

    Возникает несколько вопросов:
    1) Какой договор должен быть заключен с пациентом? Есть возможность заключать договор от имени юр.1, но наверняка необходимо заключать с юр.2, который в свою очередь передает данные в юр.1 ?
    2) Может ли быть единый формат договора (в контексте ПД), если планируется оказание мед. услуг (ситуация 2)?
    3) Где физически должны находиться данные (данные информационной системы), если этими данными должны и могут оперировать оба юр. лица? Необходимо ли разбивать эти данные на отдельные физические носители, если, к примеру, у юр. лица 1 нет потребности в историях болезни пациентов? Другими словами, как необходимо разграничить права персонала (ровно как и модулей ИС) к ПД, чтобы по возможности снизить класс ПД и повысить безопасность в работе с ПД?

    Спасибо.
    Ответить
    • Lukanin Igor 26 марта 2014, 14:56
      Артур, добрый день!

      1. Прежде всего отмечу, что в договор между лабораторией (ЮЛ 1) и франчайзи (ЮЛ 2) необходимо включить положения о том, что франчайзи будет осуществлять передачу лаборатории персональных данных своих клиентов, а лаборатория обязуется обеспечить защиту этих данных в соответствии с законом. Положения такого рода называются поручением обработки персональных данных. Требования к поручению изложены в ч. 3 ст. 6 закона «О персональных данных».

      В договор между франчайзи и его клиентом следует включить положения о согласии клиента на передачу его персональных данных третьему лицу (лаборатории). Это требования также установлено ч. 3 ст. 6 152-ФЗ.

      2. Вполне возможно совместить «ситуацию 1» и «ситуацию 2» в единой форме договора франчайзи с клиентом. Договор нужно сформулировать таким образом, что франчайзи может осуществлять лабораторные исследования самостоятельно либо с привлечением третьего лица (лаборатории) в зависимости от определённых обстоятельств (например, вида исследования). А пациент будет предоставлять согласие на передачу его данных, как я указал выше в п. 1.

      3. Из формулировки вопроса я делаю сделал вывод, что для проведения лабораторного исследования необходимы прежде всего биоматериалы и анкетные данные. Хочу предложить свести анкетные данные к минимуму. необходимому непосредственно для проведения исследования, а пациента идентифицировать по определённому индивидуальному коду (используя термины закона — обрабатывать обезличенные персональные данные). При этом франчайзи будет передавать в лабораторию биоматериалы пациента 123456 вместе с анкетными данными, не раскрывающими его личность, а лаборатория будет предоставлять франчайзи результаты исследования данных пациента 123456.

      В таком случае лаборатория будет оперировать необходимым минимумов сведений о физических лицах и не будет использовать данные об историях их болезни, которые ей не требуются. Франчайзи при этом смогут использовать всю информацию, необходимую для их работы, которую они получили от пациентов.

      Надеюсь, я смог дать ответ на ваш вопрос. Если требуется уточнить что-либо — обязательно спрашивайте!
      Ответить
      • Артур 27 марта 2014, 15:41
        Спасибо большое за развернутый ответ.
        Я еще несколько раз осмыслю ваш ответ и подумаю над уточнениями, если они возникнут.
        Ответить
        • Артур 7 апреля 2014, 13:45
          Здравствуйте снова, Игорь!

          Речь по прежнему идет о франчайзинговой сети, и у меня возник еще один достаточно серьезный вопрос.

          По задумке в бизнес-процессах любой из партнеров (ЮР2 и аналогичные ЮРы) имеет доступ к общей информационной базе с ПД. Каждый из ЮР2 добавляет своих пациентов и их заказы в эту базу.

          Вопрос:
          1) Нужно ли как-то учитывать этот факт в договорах между ЮР2 и физ.лицом? Ведь необходимо определить круг "третьих сторон" и "лиц, имеющих доступ к ПД". И получается, что после появления каждого нового ЮР2 необходимо вносить изменения в бумаги? Так ли это? И как это обстоятельство должно регулироваться в договорах с физ.лицом? в договорах между ЮР1 и ЮР2?

          2) Возможно будет лучше пересмотреть ситуацию с ПД и не давать возможности ЮР2 видеть ПД, занесенные другими ЮР2. А при необходимости (по намерению со стороны физ.лица) запрашивать эти данные из общей базы, либо из базы ЮР2-оператора.
          Как в этом случае регулировать отношения между ЮР2-оператором и ЮР2-запрашивателем? Как зафиксировать/отразить "намерение физ.лица" для защиты действий ЮР2-запрашивателя?

          Надеюсь, не сильно усложнил терминами формулировку вопроса.
          Спасибо за консультацию.
          Ответить
          • Елена Крюкова 8 апреля 2014, 10:19
            Здравствуйте, Артур!
            1. В согласии клиента на обработку персональных данных, указывается, что персональные данные передаются другим франчайзи в рамках исполнения договора (согласно п.3 ст.6 152-ФЗ). При этом для всех франчайзи, выполняющих один и тотже функционал, дается обобщенное определение и указывается цель передачи. В таком случае не нужно будет каждый раз вносить изменения в договоры.
            В договорах между лабораторией и франчайзи (ЮР1 и ЮР2) остается все без изменения. В поручении обработки персональных данных указывается, что франчайзи (все похожие ЮЛ2) передают персональные данные клиентов лаборатории, которая в свою очередь обязуется выполнять требования законодательства и обеспечивать надлежащую защиту персональных данных.

            2. Необходимо определиться с целесообразностью ведения общей базы. Ситуация, когда у каждого франчайзи хранятся персональные данные только своих клиентов, с точки зрения безопасности выглядит надежнее. В согласии на обработку персональных данных в качестве "третьей стороны" выступает только лаборатория. Если же клиент изъявляет желание передать данные другому франчайзи, и вам это необходимо для ваших бизнес-процессов, то на этот случай дается согласие на передачу франчайзи. Т.е. у вас может быть утверждено две формы согласия. А франчайзи между собой заключают договор, как с лабораторией.
            Ответить
  • Елена С. 14 июля 2014, 06:34
    Вопрос:
    Если фирма объявляет об открытой вакансии и получает ПД соискателей в резюме: 1) Какие данные можно запрашивать; 2) Как можно их использовать, сколько и как хранить; 3) Становится ли фирма "оператором". Спасибо!
    Ответить
    • Крюкова Елена 14 июля 2014, 10:53
      Здравствуйте, Елена!

      По поводу вопросов, касающихся обработки персональных данных соискателей на замещение вакантных должностей, есть разъяснение Роскомнадзора (http://rkn.gov.ru/news/rsoc/news17877.htm). Основываясь на нём, постараюсь ответить на ваши вопросы:

      1. Работодатель вправе обрабатывать персональные данные соискателей на замещение вакантных должностей в объёме, необходимом для принятия решения о приёме либо отказе в приёме на работу. Работодатель сам определяет перечень персональных данных, на основании которых он сможет принять решение. Но при этом персональные данные соискателей не должны быть избыточными по отношению к цели обработки, согласно ч. 5 ст. 5 закона «О персональных данных».

      2. Персональные данные соискателей могут использоваться только для принятия решения о приёме либо отказе в приёме на работу. В случае отказа персональные данные, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя составляет 3 года.

      3. Конечно, компания, осуществляющая обработку персональных данных, определяющая цели обработки, состав персональных данных, действия, совершаемые с персональными данными, по п. 2 ст. 3 закона «О персональных данных» является оператором.

      Хорошего вам дня :)
      Ответить
  • Bolshakova Anastasia 3 сентября 2014, 23:26
    Добрый день,
    дошли руки до заполнения информации в новом интернет-магазине.
    Насколько я поняла из норматива, цитирую:
    "полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;"

    То есть, если у меня на сайте есть Договор оферты, который пользователь принимает, совершая регистрацию на сайте, а потом еще раз делая заказ, то
    уведомлять Роскомнадзор не нужно?

    Политику в отношении персональных данных я разместила:
    http://zeneva.ru/index.php?route=information/information&information_id=3
    Ответить
    • Крюкова Елена 4 сентября 2014, 09:18
      Добрый день, Анастасия!
      Компания до начала обработки персональных данных своих работников и клиентов должна уведомить Роскомнадзор о намерении осуществлять такую обработку согласно ч. 1 ст. 22 закона «О персональных данных». Как вы верно заметили, есть исключения, в том числе и то, которое вы процитировали.

      На вашем сайте клиент принимает Договор оферты, соглашаясь с тем, что его персональные данные будут обрабатываться с целью исполнения Договора, в том числе передаваться третьей стороне (службе доставки) для исполнения Договора.

      В таком случае вы попадаете под исключение закона п. 2 ч. 2 ст. 22 закона «О персональных данных» и подавать Уведомление в Роскомнадзор не обязательно.
      Ответить
      • Анастасия 4 сентября 2014, 11:02
        Елена, благодарю за ответ!
        Ответить
  • Азат 26 сентября 2014, 10:20
    Здравствуйте!
    Мы хотим начать работать как кадровое агенство, но на бесплатной основе! для соискателя!
    1. Подали заявку в Роскомнадзор
    2. На сайте сделали галочку на согласие предоставить нам и обработку персональных данных
    3. Прописали политику по обработке персональных данных

    Вопросы:
    1.Нужно ли заключать договор с сервером на хранения, либо с электронной почтой где будут храниться резюме?
    2.Нужно ли закупать сервер для хранения личных данных, или же подписать договор с сертифицированной фирмой, кто даст сертификат, что наше оборудование подходит для хранения личных данных?

    Или же достаточно 3 этих пунктов для работы с персональными данными как кадровое агенство, бесплатное для соискателя?
    Ответить
    • Игорь Луканин 6 октября 2014, 12:27
      Добрый день, Азат!

      Насколько я понял из вопроса, вы собираетесь получать данные соискателей через свой сайт, который разместите у какого-либо провайдера услуг хостинга. Скорее всего вы заключите договор с данным провайдером на размещение вашего сайта, однако указывать в этом договоре какие-то положения, связанные с обработкой персональных данных не требуется — сам провайдер не занимается обработкой персональных данных соискателей и вы их ему не передаёте.

      Кроме того, в вашем случае можно обойтись без специального оборудования (без покупки «сервера для хранения личных данных»). Законодательство позволяет обеспечить должный уровень защиты персональных данных и без его использования. Для этого необходимо грамотно составить модель угроз безопасности персональных данных и составить документы, объясняющие, почему сертифицированные средства защиты информации ваша компания применять не должна.

      Наконец, поздравлю вас с тем, что ваша компания подала уведомление в Роскомнадзор, разместила на сайте политику и берёт согласие на обработку данных соискателей — многие компании могли бы позавидовать вашей :)
      Ответить
      • Азат 7 ноября 2014, 07:49
        1. Антивирус и программы на компьютере нужны для хранения ИД?
        2. ну так как мы храним все на рабочем компьютере, и на арендованном сервере, необходимость решеток на окнах, металлические двери отпадают, ну и сейф, охрана(тревожная кнопка)

        "модель угроз безопасности персональных данных и составить документы " сколько стоит эта услуга у Контур.эдьба!? Включая договор о оказании услуг в сфере составление модели угроз и всех прилагаемых документов (к какому классу мы относимся, внутренний документ с ответственным)
        Ответить
        • Гость 21 ноября 2014, 13:40
          Добрый день, Азат!

          1. Набор программных средств защиты, необходимых для защиты персональных данных на компьютере, также зависит от модели угроз. Средства защиты используются для исключения угроз, которые в модели были признаны актуальными. Если угрозы нет, то и защищаться от неё нет необходимости. От некоторых угроз помогают избавиться встроенные средства операционной системы. Например, Microsoft Security Essentials — бесплатное приложение для Windows 7, которое помогает защитить компьютер от вирусов, шпионских и других вредоносных программ. Антивирус — это одно из самых доступных средств защиты, и его нужно использовать.
          2. Здесь также нужно ориентироваться на модель угроз. Например, если есть угроза считывания информации с экрана монитора, то, как вариант защиты — установить жалюзи на окна. То есть, нужно применять те меры защиты, которые необходимы, чтобы исключить все угрозы.

          Контур.Эльба не предоставляет таких услуг. Есть сервис «Контур.Персональные данные», который помогает сформировать пакет документов по персональным данным. Но в сервисе сейчас нет модели угроз, мы добавим её чуть позже. Если вопрос будет для вас ещё актуален, то мы сообщим вам, как только документ появится.
          Ответить
  • Дмитрий 6 ноября 2014, 17:45
    Спасибо за статью и отдельные спасибо за разъяснения Игорю!
    А вот как быть со следующим случаем:
    Есть ТСЖ (УК, ЖСК) (оператор 1), которая использует программу взятую в аренду (оператор 2), а база данных находится на хостинге (оператор 3).
    Т.е. ПД субъекта обрабатываются тремя операторами (правление ТСЖ, оператор предоставляющий программу и оператор хостинга). Какие документы у каждого из операторов должны быть?
    И еще вопрос: если программа не использует ФИО, а использует только номера квартир с привязанными к ней атрибутами (водосчетчики, электросчетчики, email и телефон) - являются ли эти атибуты ПД?
    Заранее спасибо!
    Ответить
    • Елена Крюкова 24 ноября 2014, 10:09
      Добрый день, Дмитрий!

      Чтобы разобраться в ситуации, давайте рассмотрим каждого участника отношений отдельно.
      ТСЖ обрабатывает персональные данные, следовательно у него должен быть полный комплект документов, регламентирующих обработку персональных данных, приняты все организационно-правовые меры. Так как ТСЖ для обработки персональных данных арендует программу, то оно должно получить согласие субъектов на обработку их персональных данных с использованием арендуемой программы.
      С арендодателем программы нужно заключить договор поручения согласно ч. 3 ст. 6 закона «О персональных данных». А арендодатель должен принять необходимые организационные и технические меры для защиты персональных данных.
      Остаётся ещё один участник — компания, предоставляющая хостинг. Для такой компании нет особых требований по документам, касающимся обработки персональных данных, ведь она предоставляет только инфраструктуру.

      По второму вопросу. Предположу, что в программе используются не только номера квартир, но и полный адрес. В совокупности с номером телефона, адресом электронной почты, информации вполне достаточно, чтобы отнести её к персональным данным.
      Ответить
  • Андрей 4 февраля 2015, 07:30
    Добрый день. Вопрос: наше ООО оказывает косметологические услуги, перед осуществлением некоторых оформляется информированное согласие, в нем только ФИО и адрес клиента, дальше организации сведения о клиентах не распространяются, т.е. другим лицам не передаются. Необходимо ли уведомлять Роскомнадзор?
    Ответить
    • Елена Крюкова 5 февраля 2015, 12:05
      Добрый день, Андрей!

      В ст. 22 закона «О персональных данных» есть ряд исключений, когда компания вправе не подавать уведомление. Из вашего вопроса предположу, что ФИО и адрес хранятся только в согласии клиента, не заносятся в компьютер. В таком случае вы попадаете под п. 8 ч. 2 ст. 22 152-ФЗ, согласно которому уведомление не нужно подавать при неавтоматизированной обработке персональных данных. Но не забудьте, что персональные данные и в этом случае нужно защищать и выполнять 152-ФЗ :)
      Ответить
      • Андрей 8 июня 2015, 00:56
        Здравствуйте. Уточните пожалуйста насчет последнего ответа.
        Вы пишете, что если "ФИО и адрес хранятся только в согласии клиента, не заносятся в компьютер", то уведомление не нужно подавать.
        А если данные хранятся (вносятся, сохраняются) все же в CRM, на веб-сервере
        тогда уже не действует исключение:
        2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

        Вероятно проблема в определении "для исполнения указанного договора",
        т.е. если я желаю сохранять эту информацию для удобства оказания услуг
        клиенту в будущем и для получения статистики для себя, то это уже другие
        цели?
        А если я буду сохранять (в базе на веб-сервере) только "Как к вам обращаться",
        "e-mail" и "Ваши предпочтения в этом", "Ваши предпочтения в том" и т.д.?
        (Здесь интересуют два варианта еще: если я вообще буду использовать e-mail
        только для авторизации/получения или сброса пароля и если я буду отправлять
        клиенту письма подтверждающие бронирование, напоминающие о
        забронированном времени)
        Ответить
        • Андрей 8 июня 2015, 00:59
          О, извиняюсь за пропущенные запятые, и еще хотел написать благодарность. Спасибо за хорошую статью и комментарии к ней, много разъясняете доходчиво
          и понятно!
          Ответить
          • Lukanin Igor 8 июня 2015, 13:23
            Андрей, добрый день!

            Я правильно понял, что под «ФИО и адрес» на самом деле имеется в виду «ФИО и адрес электронной почты»? Это не влияет на корректность ответа Лены, просто хочу уточнить :)

            Вы верно поняли: если данные будут использоваться не только для исполнения договора, то исключение перестаёт действовать. Можно попробовать включить дополнительные варианты использования данных в состав оказываемых клиенту услуг. Можно указать в договоре, что услуга включает, скажем, не только чистку лица, но и информирование о бронировании через электронную почту или, например, смс, а также предоставление доступа к личному кабинету на сайте компании.

            С некоторыми вариантами использования данных (например, накоплением и анализом статистики) так поступить не выйдёт. Кроме того, нужно быть готовым доказать Роскомнадзору, что никто, кроме работников компании не может получить доступ к данным на сайте (не происходит распространения неопределённому кругу лиц или передачи третьей стороне). В этом может помочь договор с хостинг-провайдером, где обычно говорится, что ни хостинг-провайдер, ни другие лица не могут получить доступ к данным сайта.

            Подумайте, насколько варианты, которые я описал выше, подходят вашей компании. Возможно, стоит таки подать уведомление? Роскомнадзор «по умолчанию» считает, что уведомление нужно подавать всем, и обычно скрупулёзно разбирается, точно ли были у компании причины не подавать уведомление. Может оказаться, что подать уведомление — более беспроблемный вариант в долгосрочной перспективе.

            Всегда рад помочь :)
            Ответить
            • Лео 17 июня 2015, 19:36
              Скажите.

              Можно ли прищючить?
              Если МФО передает свои списки должников другим компаниям (например коллекторским организациям)
              Ответить
              • Lukanin Igor 18 июня 2015, 07:18
                Добрый день! Чтобы ответить точно, категорически не хватает подробностей. Можно представить ситуацию, когда МФО обращается к коллекторам строго в рамках закона, а можно представить несколько вариантов, когда закон нарушается.

                Может быть, вы расскажете подробнее? Каким образом был заключён договор с МФО? Было ли указано в нём, что данные могут быть переданы третьим организациям? На какие действия с данными было дано согласие при заключении договора с МФО? Это бы сильно помогло ответить.
                Ответить
  • Алена 2 декабря 2015, 10:31
    Подскажите, является ли разглашением персональных данных или банковской тайны сообщение о просьбе связаться с кредиторами через соц сети ( друзей должника) ?
    Ответить
    • Lukanin Igor 2 декабря 2015, 13:39
      Добрый день, Алёна! Я не могу дать точный ответ, потому что многое зависит от формы, в которой поступило такое сообщение: возможны варианты, когда при этом был нарушен закон, и когда этого не произошло.

      Само по себе сообщение с просьбой передать знакомому, что ему необходимо связаться с третьим лицом, насколько я могу судить, закон не нарушает. С другой стороны, изложение точных данных о заёмщике, указание кредитной организации и истории их взаимоотношений может нарушить закон.

      Алёна, помог ли вам мой комментарий? Нужно ли дать более конкретный совет для вашего случая?
      Ответить
      • Алена 2 декабря 2015, 16:23
        примерный текст : 1) Добрый день! Вас беспокоят из службы безопасности микрофинансовой организации ООО "Ромашка ", выдающей краткосрочные займы населению. Убедительно просим Вас передать ФИО должника (если поддерживаете с ней связь), незамедлительно погасить задолженность по договору займа . Сами не можем с ней связаться, так как она наглым образом игнорирует наши звонки и сообщения .Сумма задолженности увеличивается каждый день за счёт процентов ! В ее же интересах погасить задолженность как можно быстрее , не доводя дело до негативных последствий, таких как передача права по займу в коллекторские агентства и взыскания задолженности в судебном порядке. Так же оставляем за собой право инициировать судебное разбирательство по факту причинения имущественного вреда ,путем злоупотребления доверием согласно ст.165 УК РФ .Заранее благодарим за понимание и содействие !
        С уважением ООО "Ромашка"!
        2)Добрый день! Вас беспокоят из службы безопасности микрофинансовой организации ООО "Ромашка", выдающей краткосрочные займы населению. Просим Вас передать ФИО должника (если поддерживаете с ним связь), незамедлительно с нами связаться. И что в его же интересах как можно быстрее выйти с нами на контакт. Сами не можем, так как он наглым образом игнорирует наши звонки и сообщения . Заранее благодарим за понимание! С уважением ООО "Ромашка"!
        Ответить
        • Lukanin Igor 3 декабря 2015, 12:53
          Алёна, благодарю за уточнение. Как я понял из вашего ответа, в таких сообщениях физическое лицо («должник») обозначается указанием фамилии, имени и отчества. При этом указание исключительно ФИО не идентифицирует конкретное физическое лицо, поэтому маловероятно, что Роскомнадзор или суд, в случае обращения, примет решение, что в данном случае нарушается закон «О персональных данных». При этом указание дополнительных сведений (например, домашнего адреса или фото) может привести к ситуации, когда физическое лицо будет указано точно, и Роскомнадзор либо суд займёт его сторону.

          При этом отмечу, что в случае, если указываются сведения, точно идентифицирующие физическое лицо, то нарушается п. 4 ч. 2 ст. 9 закона «О микрофинансовой деятельности и микрофинансовых организациях».

          Могу посоветовать при возникновении описанной выше ситуации направлять электронное обращение с указанием на нарушение закона «О микрофинансовой деятельности...» через интернет-приёмную Банка России (http://www.cbr.ru/IReception/), а также пользоваться инструментами социальных сетей для блокировки пользователей, обращающихся с подобными сообщениями.
          Ответить
          • Алена 3 декабря 2015, 13:51
            Игорь спасибо за ответ! если я правильно Вас поняла ,то одно ФИО не попадает под п. 4 ч. 2 ст. 9 закона «О микрофинансовой деятельности и микрофинансовых организациях». ?
            4) гарантировать соблюдение тайны об операциях своих заемщиков. Все работники микрофинансовой организации обязаны соблюдать тайну об операциях заемщиков микрофинансовой организации, а также об иных сведениях, устанавливаемых микрофинансовой организацией, за исключением случаев, установленных федеральными законами;
            Ответить
            • Lukanin Igor 3 декабря 2015, 14:20
              Правильней поднять два вопроса: получится ли связать сообщение, полученное через социальную сеть, с конкретной микрофинансовой организацией (доказать, что именно её работник разглашает сведения) и получится ли связать сказанное ФИО с конкретным физическим лицом. Я не могу однозначно сказать, какую позицию займут Роскомнадзор, Банк России и суд.
              Ответить
  • Михаил 2 декабря 2015, 19:16
    Сделал всё как написано 152.kontur.ru, а в ответ пришло что где базу то храните. Храм не мы ведь, а сервис evrika.kontur.ru.
    Что писать то?
    Ответить
    • Isheev Kirill 3 декабря 2015, 11:16
      Добрый день.

      Михаил, вы в Контур.Бухгалтерии работаете, верно?
      Ответить
      • Михаил 3 декабря 2015, 12:54
        Использую сервис, да
        Ответить
  • Михаил 2 декабря 2015, 19:16
    Сделал всё как написано 152.kontur.ru, а в ответ пришло что где базу то храните. Храм не мы ведь, а сервис evrika.kontur.ru.
    Что писать то?
    Ответить
    • Анастасия Успенская 3 декабря 2015, 13:07
      Михаил, добрый день!
      Подробную инструкцию о том, что делать в этой ситуации, вы можете посмотреть вот здесь https://kontur.ru/qa/2861.

      С уважением, Анастасия Успенская
      Эксперт по защите персональных данных
      СКБ Контур
      Ответить
  • alex 17 февраля, 22:46
    Подскажите, а если у меня сняли скан паспорта допустим для разового занятия в тренажерный зал. И не предоставили никаких документов для подписи где я разрешаю производить обработку персональных данных, является ли это нарушением и куда можно обратиться?
    Ответить
    • Lukanin Igor 18 февраля, 16:30
      Алекс, добрый день!

      То, что у вас не попросили письменного согласия, само по себе не говорит о нарушении закона «О персональных данных». Насколько я понял из вопроса, вы передали паспорт и скан был сделан с вашего ведома и согласия, что является одним из условий обработки персональных данных, указанных в законе (*). Кроме того, скорее всего, данные паспорта были необходимы для заключения договора с тренажёрным залом, что указано в законе, как достаточное основание для обработки данных.

      С другой стороны, некоторые данные паспорта (например, место рождения, возможно, фото, дата рождения и др.) не могут быть необходимы для того, чтобы заключить с вами договор и пустить в тренажёрный зал. Закон разрешает использовать только те данные, которые необходимы для достижения цели (**). Похоже, здесь было допущено нарушение.

      Вы можете обратиться за защитой своих прав в контролирующий орган — Роскомнадзор. На его сайте есть список часто задаваемых вопросов (***), а также форма для отправки обращения (****).

      *: ст. 6, ч. 1, п. 1: https://normativ.kontur.ru/document?moduleId=1&documentId=241923#h204
      **: ст. 5, ч. 2 и 4: https://normativ.kontur.ru/document?moduleId=1&documentId=241923#h203
      ***: http://rkn.gov.ru/treatments/p459/p468/
      ****: https://rkn.gov.ru/treatments/ask-question/
      Ответить
  • Сергей 18 февраля, 22:48
    Не требуется уведомление, если:
    "полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных"

    - иными словами, если у меня на сайте есть Публичная оферта и при регистрации пользователь ее принимает, мы фактически заключаем договор. В этот момент пользователь указывает персональную информацию. Уведомление Роскомнадзору не требуется?
    Ответить
    • Lukanin Igor 25 февраля, 08:08
      Сергей, вы правы. Обратите только внимание на слова «используются оператором исключительно для исполнения указанного договора». Например, если вы заключаете договор на предоставление услуги, а затем решаете сделать email-рассылку по базе клиентов, то это не будет соответствовать закону. Проверьте, что указанные в договоре цели использования данных и действия с ними не противоречат вашим намерениям.
      Ответить
  • Руслан 2 марта, 15:11
    Такой вопрос. Мне звонят коллекторы. Знакомы взял кредит в срочно деньги. И оставил мой номер.( но в тот день когда он брал кредит, (срочно деньги) не могли до меня дозвониться т к.на моём номере был минус и был заблокированным . И взять у меня согласие. Таким образом я спустя 2 недели узнал, что я являюсь заинтересованным лицом. И теперь требуют что бы искал своего друга. Хотя я не имел даже в виду что он взял кредит. И без моего согласия звонят мне.
    Ответить
    • Рязанов Михаил 10 марта, 13:02
      Руслан, добрый день.
      Да, ситуация непростая, но выход всегда есть :)
      Советую обратиться за грамотным юридическим ответом к нашим партнерам "Правовед.ru" - профессионалам в области юридических консультаций.
      Адрес: https://pravoved.ru/
      Ответить
      • Екатерина 10 марта, 13:45
        ага, только денег сразу приготовьте.
        Ответить
  • Ольга 31 марта, 13:11
    Добрый день! Подскажите, пожалуйста, в нашей компании при трудоустройстве берется согласие на обработку персональных данных. Но есть такой внутренний документ, как заявление, которое прикладывается к больничному листу сотрудника, и в котором содержатся его персональные данные. В редких случаях, но приходится распечатывать данный документ и передавать его 3-му лицу (коллеге, начальнику сотрудника, которому нужно это заявление), есть в этом случае какие-либо риски по закону? Распечатывает заявления также сотрудник, с котором подписаны всякие бумаги о неразглашении и т.д. (по идее они с каждым сотрудником при поступлении на работу подписываются).
    Ответить
    • Lukanin Igor 31 марта, 15:47
      Добрый день, Ольга! Подскажите, а зачем, с какой целью третье лицо использует это заявление?
      Ответить
      • Ольга 1 апреля, 09:28
        Третье лицо всего лишь передает документ тому лицу, которое его попросило это сделать (или например, руководитель сотрудника забирает документ для подчиненного, который находится в декрете, также, чтобы передать, и не задерживать с оформлением документов, так сказать "подготовиться" к приходу и оформлению отпуска по уходу за ребенком). Документ печатный и вероятнее всего будет использоваться по назначению, но есть ли тут риски, если нас, например, захотят проверить или какой-нибудь сотрудник "вдруг" заявит, что ничего не получал...
        Ответить
  • Валентин 27 августа, 12:42
    Мне звонит девушка, представляется Росгосстрах, задает вопрос знаю ли я какого-то человека, потом просит передать ему, что он должен денег.
    Так продолжается уже четвертый день.
    Могу ли я по номеру телефону, который потом недоступен, с этой компании потребовать компенсацию за моральный ущерб, отталкиваясь от УК РФ закона #153 Ф3?
    Звонит каждое утро с 7.00
    Ответить
    • Lukanin Igor 29 августа, 10:29
      Валентин, добрый день! Насколько мне известно, такие звонки не нарушают требований 152-ФЗ, равно как и УК РФ. Могу посоветовать такой выход:

      1. Пожаловаться в сам Росгосстрах (или, возможно, «Росгосстрах Банк»?) через их сайт: http://rgsbank.ru/about/contact/
      2. Оставить отзыв на сайте Банки.ру — обычно на него оперативно реагируют: http://www.banki.ru/services/responses/list/
      3. Добавить телефон, с которого вам звонят, если он один и тот же, в чёрный список на телефоне
      Ответить

Блог /

Чем грозит несоблюдение закона о персональных данных?

В обычной жизни мы довольно часто сталкиваемся с законодательством о персональных данных. Это происходит, когда мы подписываем бумаги под названием «Согласие на обработку персональных данных» или ставим галочку, заполняя информацию о себе на сайтах в интернете. А вот какие требования закон № 152-ФЗ «О персональных данных» предъявляет к компаниям, как их выполнить директору или бухгалтеру, и что произойдет, если их проигнорировать, мы сегодня подробно расскажем.

Какие компании должны соблюдать закон «О персональных данных»?

Возможно, мы вас удивим, но это должна делать каждая компания, независимо от организационно-правовой формы или вида деятельности. Даже совсем небольшие фирмы хранят и используют персональные данные и обязаны соблюдать закон. Почему? Потому что персональные данные — это любая информация о физическом лице, и в каждой организации при ведении кадрового и бухгалтерского учёта, расчёте заработной платы, подготовке отчётности используются персональные данные работников. Многие компании предлагают товары и услуги и накапливают информацию о своих клиентах, и так далее.

Как соблюсти требования закона. Пошаговая инструкция.

1. Назначьте ответственного. Решите, кто из ваших работников будет заботиться о том, чтобы были выполнены требования закона. Обычно это бухгалтер или руководитель компании.

Если вы — директор фирмы, можете пожалеть бухгалтера и подписать приказ, которым назначите ответственным самого себя. Большой роли это не играет.

2. Определите особенности компании. Разберитесь вот в чем:

  • какие именно персональные данные каких физических лиц (работников, клиентов, соискателей вакансий и т.д.) вы собираете, храните и используете; с какой целью это делаете;
  • убедитесь, что 152-ФЗ или другие законы разрешают вам использовать эти данные;
  • в какие компьютерные программы и бумажные документы вы вносите персональные данные и как именно их храните.

3. Подготовьте комплект документов. Закрепите результаты двух предыдущих этапов в приказах, положениях, актах и подготовьте специальный документ для всех работников и клиентов — политику в отношении обработки персональных данных.

С этим может помочь знакомый юрист: он объяснит на пальцах, что нужно записать в документах, и поможет их составить.

4. Оформите отношения с физическими лицами. Иногда компания должна внести изменения в договоры со своими работниками, клиентами и другими лицами: например, включить туда форму согласия на обработку персональных данных. А Трудовой кодекс требует, чтобы все работники компании были ознакомлены «под роспись» с упомянутыми в предыдущем пункте документами.

Если у вашей компании есть сайт и вы принимаете заказы с его помощью, то дайте клиентам возможность поставить при оформлении заказа отметку, что они согласны предоставить вам свои персональные данные и что вы можете передавать их в курьерскую компанию для доставки заказа. При этом не забудьте поместить на сайт ссылку на «политику в отношении обработки персональных данных».

5. Оформите отношения с другими компаниями. Часто фирма передаёт имеющиеся у неё персональные данные другим компаниям (например, в банк в рамках зарплатного проекта) или получает персональные данные от других компаний. Закон требует включить в договоры с такими компаниями особые положения. Например, о неразглашении переданных персональных данных.

6. Подайте специальное уведомление в Роскомнадзор. Его подготовить несложно: укажите примерно те же сведения, что и в политике в отношении обработки персональных данных.

7. Ведите оперативную деятельность. Некоторые действия нужно выполнять время от времени: уничтожать персональные данные, цель обработки которых достигнута, знакомить новых работников компании с комплектом документов и следить за его актуальностью, вовремя отвечать на обращения субъектов персональных данных и Роскомнадзора и так далее.

Чем грозит несоблюдение закона?

Директору:

  • Штрафом за нарушение законодательства о персональных данных (обычно налагается после проверки, максимальный размер — 10 000 рублей;
  • Штрафом за неустранение нарушений (обычно налагается, если вы нерасторопно реагируете на результаты проверки; максимальный размер — 20000 рублей);
  • Штрафом за непредоставление сведений в Роскомнадзор (максимальный размер — 5000 рублей).
  • Кроме этого, законопроект об изменениях в законе «О персональных данных» ещё в конце 2013 года отправился в Государственную Думу. Он предполагает увеличение максимальной суммы штрафа за невыполнение требования закона до 300 000 рублей.

Бухгалтеру:

Проверка закончится, штраф компания заплатит, но требования закона нужно будет так или иначе соблюсти: в течение 30 дней пройти по 7 шагам, озвученным выше. Потратить изрядное количество времени, нервов и, возможно, денег на консультацию.

В комментариях вы можете рассказать, как обстоит дело с выполнением закона о персональных данных в вашей компании, задать вопросы. На них ответит Игорь Луканин, эксперт сервиса «Контур — Персональные данные».

Сервис помогает компаниям малого бизнеса с минимальными затратами сил и времени выполнить закон «О персональных данных»: за несколько шагов разобраться в требованиях закона и легко подготовить все нужные документы.

Оставить комментарий
Комментарии (73)
  • Станислав 11 марта 2014, 22:00
    На сайте при регистрации пользователь оставляет свое Имя и E-mail
    Это тоже считается персональными данными которые надо сдавать?
    Ответить
    • Lukanin Igor 12 марта 2014, 07:16
      Поо закону, персональные данные — любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу. Значит, имя и адрес электронной почты, которые пользователи оставляют у вас на сайте, будут персональными данными, если будет возможно понять, к какому определённому физическому лицу они относятся. Общепринято считать, что имени (например, «Вася») и адреса электронной почты (например, «[email protected]») недостаточно, чтобы понять, к какому конкретному физическому лицу эти данные относятся. Таким образом, эти данные не являются персональными и требования 152-ФЗ на вас, как на владельца сайта, не распространяются.

      Вообще, определение «минимального набора» данных, которые являются персональными — «серая зона» текущей редакции закона, что можно было заметить по слову «общепринято» в предыдущем абзаце. Если в качестве примера привести имя «Игорь» и адрес электронной почты «[email protected]», то ответ на вопрос, относятся ли эти данные к определённому физическому лицу будет уже не таким однозначным. Однако есть хороший способ упрочнить юридическую позицию, изложенную в предыдущем абзаце — запрашивайте на сайте не «имя» пользователя, а его «псевдоним». С фактической точки зрения ничего не изменится, с юридической — уж точно нельзя нельзя будет рассчитывать, что некий псевдоним, который выбирает сам пользователь, относится к определённому физическому лицу.
      Ответить
  • Марина 11 марта 2014, 23:45
    Спасибо за статью! В 2011 проходило много семинаров, а сейчас все как-будто забыли о персональных данных)

    Хотела бы задать вопросы Игорю:
    1) Нужно ли уведомлять Роскомнадзор:
    а) если компания обрабатывает общедоступные данные (например, имеет сайт с форумом, где пользователи указывают свои имена/интересы итп)?
    б) если данные требуются для выполнения договоров поставки/купли продажи (в том числе по договору оферты на сайте)
    в) в случае подписки на тематические рассылки сайта (e-mail, имя, телефон)
    2) Программа лояльности предполагает заполнение анкеты физ.лица с согласием на рассылку смс и e-mail. Можно ли в анкете не запрашивать паспортные данные (чтобы не повышать категорию ПД)?

    Заранее спасибо!
    Ответить
    • Lukanin Igor 12 марта 2014, 09:18
      Спасибо вам, мне тоже статья очень нравится. Вообще, в течение 2013 года законодательство о персональных данных активно реформировалось, и есть предпосылки к тому, что реформы продолжатся в 2014 и 2015 годах. Так что, я думаю, инициативы законодателей и контролирующих органов ещё не раз напомнят вам о теме персональных данных :)

      1) Про уведомление Роскомнадзора: закон говорит, что уведомление должны подавать абсолютно все компании — правда, за рядом исключений. Я рекомендую подавать уведомление безусловно, потому что наличие уведомления проверяется Роскомнадзором в первую очередь, а вот в толковании того, распространяются ли на вашу компанию исключения, вы вполне можете с Роскомнадзором разойтись во взглядах. При этом на его стороне будут властные полномочия и возможность наложить штраф, на на вашей — только возможность обратиться в суд для обжалования.

      Распространено мнение, что подача уведомления увеличивает вероятность проведения плановой проверки компании. Это заблуждение, и анализ ежегодных планов проверок это подтверждает.

      а) Относительно сайта с форумом я рекомендую посмотреть мой предыдущий комментарий (чуть выше). Может быть, что данные пользователей на этом сайте невозможно отнести к определённым физическим лицам? В ином случае, ч. 4 п. 2 ст. 22 закона позволяет не уведомлять Роскомнадзор в случае обработки данных «...являющихся общедоступными персональными данными».

      б) Ч. 2 п. 2 ст. 22 закона позволяет не уведомлять Роскомнадзор в случае обработки данных «...полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных».

      в) При ответе на этот пункт я полагал, что речь идёт о рассылках в рамках программы лояльности, о которой идёт речь в п. 2 вашего вопроса, иначе непонятно, зачем запрашивается номер телефона. В случае, если условия программы лояльности оформлены в качестве договора (например, оферты), то в силу ч. 2 п. 2 ст. 22 также можно не подавать уведомление, как указано выше.

      2) Здесь отмечу, что определение категории персональных данных и класса информационной системы персональных данных — дела давно ушедших дней (актуальная нормативная база оперирует понятием уровня защищённости персональных данных).

      Для осуществления рассылки, конечно же, не стоит запрашивать паспортные данные, ведь они не требуются для её проведения. При этом ч. 1 ст. 6 и ч. 1 ст. 15 закона говорят, что для осуществления рассылки необходимо согласие субъекта персональных данных — заполненная анкета (например, содержащая собственноручно указанные имя, номер телефона, адрес электронной почты, дату и подпись) поможет подтвердить, что такое согласие было получено.

      Ч. 1 ст. 9 и ч. 2 ст. 15 говорят, что по требованию субъекта обработка его данных (и осуществление рассылки) должно быть прекращено. Рекомендую указать в самой анкете, как участники программы лояльности могут от неё отказаться: например, написав письмо с указанного ими адреса электронной почты или написав сообщение с указанного ими номера телефона.
      Ответить
      • Марина 12 марта 2014, 11:13
        Игорь, спасибо за подробные ответы)
        А про паспортные данные я спросила потому, что в сети встречала образец анкеты согласия для подписки на рассылку, содержащей паспортные данные. Авторы статьи даже приводили какие-то доводы, почему нужно включать в анкету паспортные данные. Мне такая позиция показалась ошибочной, поэтому решила уточнить у эксперта)
        Ответить
        • Lukanin Igor 12 марта 2014, 17:13
          Я вижу два варианта: или авторы считали, что любое письменное согласие должно соответствовать форме, установленной ч. 4 ст. 9 закона, где предлагается указать паспортные данные; или они считали, что иначе доказать, что анкета заполнена непосредственно физ. лицом не получится. Но мой взгляд (и исходя из практики), собственноручно указанных имени, даты и подписи для этого достаточно.
          Ответить
  • Алексей 12 марта 2014, 08:26
    Небольшое уточнение!

    В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?

    В соответствии частью 1 статьи 22 Федерального закона «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.

    Исключение составляют случаи, предусмотренные частью 2 комментируемой статьи, при обработке персональных данных:

    1) обрабатываемых в соответствии с трудовым законодательством;

    2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

    3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

    4) сделанных субъектом персональных данных общедоступными;

    5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

    6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

    7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

    8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

    9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

    Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

    Образец формы уведомления об обработке персональных данных и рекомендации по его заполнению размещены на официальном сайте Роскомнадзора - www.rsoc.ru и Портале персональные данные www.pd.rsoc.ru. В информационно-телекоммуникационной сети «Интернет».

    Кроме того, на Портале персональные данные реализована функция по заполнению уведомления об обработке персональных данных в электронной форме, при заполнении которой Вашими помощниками будут всплывающие подсказки, которые поясняют каждую графу. В ближайшее время можно будет в полном объеме воспользоваться и Единым порталом государственных и муниципальных услуг, откуда можно будет подать уведомление в электронной форме, не используя бумажный вариант (в настоящее время в размещенные на нем формы документов вносятся необходимые изменения).
    http://pd.rkn.gov.ru/faq/faq10.htm
    Ответить
    • Lukanin Igor 12 марта 2014, 09:23
      Алексей, благодарю за отличную цитату материала с сайта Роскомнадзора, практически повторяющего содержание ст. 22 закона :)
      Ответить
  • Буланов Михаил 12 марта 2014, 15:19
    Статью надо дополнить сроками хранения документов.
    Ответить
    • Lukanin Igor 12 марта 2014, 17:16
      Михаил, спасибо! Дельное замечание. В п. 7 статьи мы указали, что придётся время от времени уничтожать носители персональных данных или удалять их из компьютеров. Действительно, это делается по достижения цели обработки данных либо по истечения срока хранения. А вот конкретные сроки хранения различных типов документов (записей в компьютерах) — это, пожалуй, тема отдельной статьи.
      Ответить
  • Сергей 12 марта 2014, 15:55
    Нам присылал Роскомнадзор письмо, что при мониторинге нашего сайта было выявлено что мы занимаемся хранением и обработкой персональных данных. Просили предоставить документы в установленном законом порядке, подтверждающие право делать это.

    Почитали немного интернеты и направили к ним запрос, в котором содержались требования предоставить информацию для ознакомления, какие-такие мониторинги были, почему нас не оповестили, что намониторили и вообще всю информацию по этому вопросу, какие критерии, какие специалисты, их квалификацию, какое оборудование, документы о соответствии оборудования предъявляемым к нему требованиям и т.д..

    Поступил ответ - приезжайте мол, покажем, ибо закон говорит что имеем право ознакомиться. Ну ради этого ехать в Москву никто не стал, из наших сотрудников. Отписали им что не приедем - у организации нет средств на такие поездки.

    Уже около года нет от них вестей, не пишут...
    Ответить
    • Lukanin Igor 12 марта 2014, 17:21
      Сергей, в данном случае мне хочется удивиться нерешительности контролирующего органа. Ч. 4 ст. 20 закона говорит: «Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса». Честно скажу, что после того, как вы отказались предоставить Роскомнадзору запрошенную информацию, следовало ожидать санкций по статье 19.7 КоАП. Рад, что обошлось без этого :)
      Ответить
      • Сергей 26 марта 2014, 16:46
        Наверное, дело в том, что владелец сайта, доменного имени, физ.лицо, и вообще не имеет никакого отношения к сбору информации и операторам, таковым не является, а значит и санкции к нему применить нельзя. Хотя не знаю, как на самом деле.
        Ответить
  • Ирина 13 марта 2014, 10:28
    Добрый день. Я отчет делаю и сдаю через электронку ( КОНТУР). Трудовой договор на сотрудников готовила при принятии на работу. Сейчас я могу сделать дополнение к договору или целесообразней подготовить новые договора на всех сотрудников?
    Ответить
    • Lukanin Igor 13 марта 2014, 13:08
      Добрый день! Как я понял, вы хотели бы получить согласия работников (по ТК РФ) на обработку их персональных данных. Во-первых, совершенно необязательно готовить новые договора: дополнительных соглашений будет достаточно. Во-вторых, в большой части случаев получать согласие именно работников не требуется. Чтобы сказать точно, необходимо чуть глубже разобраться в особенностях вашей компании.
      Ответить
  • Анна 13 марта 2014, 14:23
    Здравствуйте! Подскажите пожалуйста, в нашей организации 3 работника, есть сайт (там нет форумов, просто ознакомительный сайт с возможностью оставить комментарий). Я так поняла что нам нужно подать Уведомление в Роскомнадзор, но они не наложат штраф что до сих пор не подали это уведомление (работаем то мы довольно давно)?
    Ответить
    • Lukanin Igor 13 марта 2014, 16:20
      Добрый день! В вашем случае, когда ведётся обработка только персональных данных работников в рамках трудового законодательства, необходимости подавать уведомление нет — об этом говорит п. 1 ч. 1 ст. 22 закона. При этом практика показывает, что контролирующий орган не всегда соглашается с этой позицией и настаивает на подаче уведомления. Я говорил об этом подробнее здесь: http://www.b-kontur.ru/blog/13494#comment_18662

      Также могу заверить, что после подачи уведомления вашу компанию не станут штрафовать: вы пополните реестр компаний, подавших уведомление; поможете контролирующему органу в достижении плановых показателей пополнения реестра.
      Ответить
  • Чащина Наталья 13 марта 2014, 14:31
    Здравствуйте, меня заинтересовали ваши слова "Во-вторых, в большой части случаев получать согласие именно работников не требуется. Чтобы сказать точно, необходимо чуть глубже разобраться в особенностях вашей компании." у нас ип, занимаемся торговлей бытовой техники и мебелью, при приеме на работу работники у нас подписывают согласие на обработку своих персональных данных и знакомятся с положением по подпись и этого не надо делать?
    Ответить
    • Lukanin Igor 13 марта 2014, 17:09
      Добрый день, Наталья.

      По порядку. Знакомить работников с документами организации под роспись нужно — этого требует п. 8 ст. 86 Трудового кодекса и п. 6 ч. 1 ст. 18.1 закона «О персональных данных».

      Получать согласие работников на обработку их персональных данных в рамках трудового законодательства (более простыми словами — в объёме, необходимом для заключения трудового договора и заполнения формы Т-2) не нужно. Об этом говорит п. 2 ч. 1 ст. 6 закона «О персональных данных».

      Однако могут быть случаи (в цитируемом комментарии я назвал их «особенностями организации»), когда согласие работников или других физ. лиц требуется:

      1. Если данные работников передаются в другую организацию (кроме госорганов). Например, согласие работников на передачу их данных требуется получить всем пользователям Бухгалтерии.Контур, согласно п. 2.2 лицензионного договора и ч. 3 ст. 6 закона «О персональных данных». Надеюсь, я не удивил никого из тех, кто читает лицензионные договоры :)

      2. Если обрабатываются так называемые биометрические персональные данные (обычно используются в системах контроля доступа, не самый типичный случай).

      3. Если обрабатываются так называемые специальные категории персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) — снова за рядом исключений. Обычно такие данные обрабатываются в отдельных отраслях (хороший пример — медицинские учреждения).

      4. Если данные передаются в заграничные компании — за исключением ряда стран (хороший пример — контрагенты туристических операторов и агентств).

      5. Если с физическим лицом совершаются контакты для продвижения товаров и услуг с помощью средств связи (хорошие примеры — персонализированные рекламные рассылки по электронной почте и смс, «горячие звонки» с предложением услуг).

      6. Если исключительно автоматизированно принимаются решения, порождающие юридические последствия в отношении физ. лиц. Это достаточно редкие случаи (хороший пример — если решение о выдаче или невыдаче кредита принимает бездушная скоринговая система без участия человека; гипотетический пример — если особым образом настроенная бухгалтерская программа автоматически лишает премии отъявленных «опоздунов»).

      Здесь нужно отметить, что для упрощения в перечислении выше я не разделял случаи, когда согласие может быть получено в «свободной» форме (например, включением произвольного пункта в договор с физ. лицом или установкой «галочки» на сайте) и когда согласие должно быть получено обязательно в установленной законом письменной форме.
      Ответить
  • Екатерина 13 марта 2014, 14:58
    Здравствуйте Игорь.
    С одной стороны - "Исключение составляют случаи, предусмотренные частью 2 комментируемой статьи, при обработке персональных данных: 1) обрабатываемых в соответствии с трудовым законодательством;"
    С другой - должны подавать уведомление все компании поголовно..
    Наша ситуация:
    ООО, один сотрудник (он же директор и гл.бух). Работаем с юр.лицами.
    Бухгалтерию ведем в "Контур Бухгалтерия".
    Сайт с форумом есть, но персональных данных на нем не оставляют (этот вопрос мы уже обсуждали с сотрудниками Роскомнадзора года полтора назад в рамках разбирательства связанного именно с форумом, они подтвердили, что связка ник+e-mail - не персональные данные и пользователь не может требовать их удаления на основании закона о ПД (это было предметом разбирательства)).
    У нас бывают оплаты от физ.лиц по квитанции (ИП часто так платят), в банковских выписках бывают их ФИО и адрес. Но, на сколько я понимаю, это не попадает по ПД?
    И еще иногда могут присылать резюме. Пока мы еще ни одного человека не приняли и не оформляли. Если будут - это будут агенты на %, т.е. оформляться они будут как физ.лица по агентскому договору.
    Вопросы:
    1) Должны ли мы что-то оформлять у себя и заявлять в Роскомнадзор по деятельности нашей компании?
    2) Пока только потенциально могут приходить резюме - должны ли что-то заявлять и оформлять?
    3) Если будет оформляться договор с агентом - что нужно оформлять и заявлять в этом случае?
    Буду благодарна за разъяснения.
    Ответить
    • Lukanin Igor 13 марта 2014, 18:00
      Екатерина, добрый день!

      Сформулирую мысль о подаче уведомлений в Роскомнадзор иначе: закон требует подавать уведомление от всех компаний, кроме подпадающих под достаточно широкие исключения; при этом разобраться, подпадает конкретная компания под исключение или нет — отдельная задача, а контролирующий орган рассматривает исключения более узко, чем хотелось бы компаниям.

      1. В рамках описанной вами ситуации необходимости подавать уведомление в Роскомнадзор нет. Необходимость выполнять остальные требования закона (в частности, подготавливать документы) — есть. Действительно, может казаться нелогичным, что на холдинг с 10 000 работников и на ООО с одним работником распространяются сходные требования, но закон таков.

      2. Если ни одного резюме вы сейчас не храните и не объявляете, что ждёте резюме (то есть вам их могут прислать только по собственному желанию) — ничего делать не нужно.

      3. При приёме агента нужно будет с вниманием подойти к составлению договора. Например, если данные агента будут попадать в Бухгалтерию.Контур, в договор нужно будет включить пункт о согласии агента на это.
      Ответить
  • елена 15 марта 2014, 22:55
    Здравствуйте! Мы медицинская организация (стоматология).Нужно ли нам получать согласие пациентов на обработку их ПД (внесение сведений в медицинскую карту)? В какой форме это необходимо делать и надо ли падать сведения в РОСКОМнадзор и как это делается??? Заранее благодарим
    Ответить
    • Lukanin Igor 17 марта 2014, 09:27
      Добрый день, Елена!

      П. 4 ч. 2 ст. 10 закона «О персональных данных» даёт возможность обрабатывать сведения о состоянии здоровья без согласия пациентов, если «обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну». При наличии у вашей организации медицинской лицензии — это ваш случай.

      Если вы всё же хотите получать согласие пациентов, то это необходимо делать в письменном виде (п. 1 ч. 2 ст. 10 закона) по форме, установленной ч. 4 ст. 9 закона (не привожу здесь перечень сведений, которые должно содержать согласие из-за его значительного размера).

      Уведомление в Роскомнадзор ваша компания может не подавать, если она подпадает под ряд исключений. Познакомиться с ними вы можете в комментарии Алексея (в самом верху списка комментариев).
      Ответить
  • Polosat 16 марта 2014, 19:03
    А может есть некая стандартная форма, которую мог бы подписывать каждый клиент, как приложение к договору что мол согласен на обработку и все такое. Что бы в случае проверки просто предоставить эту бумагу и не беспокоится об этом вопросе?
    Ответить
    • Lukanin Igor 17 марта 2014, 07:41
      Добрый день! Если вы задаёте такой вопрос, значит мы плохо поработали над статьёй :) К сожалению, волшебной пилюли нет: получение согласия клиентов, работников и т. д. — лишь один из необходимых шагов к выполнению требований закона. Более того, иногда этот конкретный шаг можно опустить, если закон это разрешает. Но это не избавляет от необходимости делать всё остальное, что мы перечислили в пунктах 1-7 статьи.

      Веб-сервис «Контур — Персональные данные» пытается быть такой волшебной пилюлей, но даже он серьёзно помогает выполнить требования закона, а не избавляет от необходимости выполнять их.
      Ответить
  • Татьяна 16 марта 2014, 20:34
    Игорь, подскажите пожалуйста, у нас агентство недвижимости, есть сайт, на котором есть возможность заполнить заявку на продажу/покупку недвижимости, указав при этом имя, номер телефона или e-mail для связи, также мы заключаем с клиентами договора об оказании услуг, где указываются персональных данные клиентов, потом на основании этих договоров они оплачивают услуги через банк. Надо ли предоставлять уведомления в Роскомнадзор в первом и втором случае и нужно ли клиентам давать на подпись согласие на обработку ПД?
    Ответить
    • Lukanin Igor 17 марта 2014, 09:16
      Добрый день, Татьяна!

      1. Я полагаю, что заявки, которые вы получаете через сайт, используются для того, чтобы связаться с клиентом и, в итоге, заключить с ним договор об оказании услуг. В таком случае подавать уведомление в Роскомнадзор не нужно, об этом говорит п. 2 ч. 2 ст. 22 закона «О персональных данных»: «[Можно вести без уведомления обработку данных,] полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных».

      При этом на сайте необходимо получить согласие потенциального клиента на обработку его данных. Например, это можно сделать с помощью «галочки» с текстом «Согласен на обработку моих персональных данных в соответствии с Политикой», которую клиент обязан поставить перед отправкой заявки. Слово «Политика» можно сделать ссылкой на политику в отношении обработки персональных данных — документ, который вы, в соответствии с ч. 2 ст. 18.1 закона должны разработать и опубликовать на сайте.

      2. Заключение договора об оказании услуг в силу уже упомянутого выше п. 2 ч. 2 ст. 22 закона не ведёт к обязанности подавать уведомление в Роскомнадзор.

      Кроме того, вам не требуется давать клиентам на подпись согласие на обработку их данных (п. 5 ч. 1 ст. 6 закона) — если, конечно, вы не делаете с данными клиентами что-либо из описанного мною в ответе на вопрос Натальи Чащиной (чуть выше).
      Ответить
  • Артур 25 марта 2014, 16:19
    Здравствуйте, Игорь.
    Очень интересная и актуальная тема.
    Есть вопрос по этой теме:
    Ситуация 1.
    Медицинская лаборатория (юр.лицо 1) принимает заказы от своих франчайзи (юр.лицо 2) на проведение медицинских исследований. Для этого франчайзи должен: 1) заключить договор с пациентом; 2) передать в лабораторию некую "анкету пациента" и биоматериалы для выполнения исследований. Т.е. физ.лицо заключает договор с юр.2, юр.2 в свою очередь принимает и передает ПД в юр.1.
    Передача осуществляется как в цифровом виде (информационная система + защищеный канал интернета), так и в бумажном (копии сформированных анкет).

    Ситуация 2.
    Франчайзи (юр. лицо 2 из предыдущего абзаца) может самостоятельно оказывать мед. услуги. Для этого нанимает мед персонал (врачи, мед сестры). При этом ведется электронная история болезни, история приема пациента, протоколы лечения и т.д. Т.е. весь набор ПД первого класса.

    Возникает несколько вопросов:
    1) Какой договор должен быть заключен с пациентом? Есть возможность заключать договор от имени юр.1, но наверняка необходимо заключать с юр.2, который в свою очередь передает данные в юр.1 ?
    2) Может ли быть единый формат договора (в контексте ПД), если планируется оказание мед. услуг (ситуация 2)?
    3) Где физически должны находиться данные (данные информационной системы), если этими данными должны и могут оперировать оба юр. лица? Необходимо ли разбивать эти данные на отдельные физические носители, если, к примеру, у юр. лица 1 нет потребности в историях болезни пациентов? Другими словами, как необходимо разграничить права персонала (ровно как и модулей ИС) к ПД, чтобы по возможности снизить класс ПД и повысить безопасность в работе с ПД?

    Спасибо.
    Ответить
    • Lukanin Igor 26 марта 2014, 14:56
      Артур, добрый день!

      1. Прежде всего отмечу, что в договор между лабораторией (ЮЛ 1) и франчайзи (ЮЛ 2) необходимо включить положения о том, что франчайзи будет осуществлять передачу лаборатории персональных данных своих клиентов, а лаборатория обязуется обеспечить защиту этих данных в соответствии с законом. Положения такого рода называются поручением обработки персональных данных. Требования к поручению изложены в ч. 3 ст. 6 закона «О персональных данных».

      В договор между франчайзи и его клиентом следует включить положения о согласии клиента на передачу его персональных данных третьему лицу (лаборатории). Это требования также установлено ч. 3 ст. 6 152-ФЗ.

      2. Вполне возможно совместить «ситуацию 1» и «ситуацию 2» в единой форме договора франчайзи с клиентом. Договор нужно сформулировать таким образом, что франчайзи может осуществлять лабораторные исследования самостоятельно либо с привлечением третьего лица (лаборатории) в зависимости от определённых обстоятельств (например, вида исследования). А пациент будет предоставлять согласие на передачу его данных, как я указал выше в п. 1.

      3. Из формулировки вопроса я делаю сделал вывод, что для проведения лабораторного исследования необходимы прежде всего биоматериалы и анкетные данные. Хочу предложить свести анкетные данные к минимуму. необходимому непосредственно для проведения исследования, а пациента идентифицировать по определённому индивидуальному коду (используя термины закона — обрабатывать обезличенные персональные данные). При этом франчайзи будет передавать в лабораторию биоматериалы пациента 123456 вместе с анкетными данными, не раскрывающими его личность, а лаборатория будет предоставлять франчайзи результаты исследования данных пациента 123456.

      В таком случае лаборатория будет оперировать необходимым минимумов сведений о физических лицах и не будет использовать данные об историях их болезни, которые ей не требуются. Франчайзи при этом смогут использовать всю информацию, необходимую для их работы, которую они получили от пациентов.

      Надеюсь, я смог дать ответ на ваш вопрос. Если требуется уточнить что-либо — обязательно спрашивайте!
      Ответить
      • Артур 27 марта 2014, 15:41
        Спасибо большое за развернутый ответ.
        Я еще несколько раз осмыслю ваш ответ и подумаю над уточнениями, если они возникнут.
        Ответить
        • Артур 7 апреля 2014, 13:45
          Здравствуйте снова, Игорь!

          Речь по прежнему идет о франчайзинговой сети, и у меня возник еще один достаточно серьезный вопрос.

          По задумке в бизнес-процессах любой из партнеров (ЮР2 и аналогичные ЮРы) имеет доступ к общей информационной базе с ПД. Каждый из ЮР2 добавляет своих пациентов и их заказы в эту базу.

          Вопрос:
          1) Нужно ли как-то учитывать этот факт в договорах между ЮР2 и физ.лицом? Ведь необходимо определить круг "третьих сторон" и "лиц, имеющих доступ к ПД". И получается, что после появления каждого нового ЮР2 необходимо вносить изменения в бумаги? Так ли это? И как это обстоятельство должно регулироваться в договорах с физ.лицом? в договорах между ЮР1 и ЮР2?

          2) Возможно будет лучше пересмотреть ситуацию с ПД и не давать возможности ЮР2 видеть ПД, занесенные другими ЮР2. А при необходимости (по намерению со стороны физ.лица) запрашивать эти данные из общей базы, либо из базы ЮР2-оператора.
          Как в этом случае регулировать отношения между ЮР2-оператором и ЮР2-запрашивателем? Как зафиксировать/отразить "намерение физ.лица" для защиты действий ЮР2-запрашивателя?

          Надеюсь, не сильно усложнил терминами формулировку вопроса.
          Спасибо за консультацию.
          Ответить
          • Елена Крюкова 8 апреля 2014, 10:19
            Здравствуйте, Артур!
            1. В согласии клиента на обработку персональных данных, указывается, что персональные данные передаются другим франчайзи в рамках исполнения договора (согласно п.3 ст.6 152-ФЗ). При этом для всех франчайзи, выполняющих один и тотже функционал, дается обобщенное определение и указывается цель передачи. В таком случае не нужно будет каждый раз вносить изменения в договоры.
            В договорах между лабораторией и франчайзи (ЮР1 и ЮР2) остается все без изменения. В поручении обработки персональных данных указывается, что франчайзи (все похожие ЮЛ2) передают персональные данные клиентов лаборатории, которая в свою очередь обязуется выполнять требования законодательства и обеспечивать надлежащую защиту персональных данных.

            2. Необходимо определиться с целесообразностью ведения общей базы. Ситуация, когда у каждого франчайзи хранятся персональные данные только своих клиентов, с точки зрения безопасности выглядит надежнее. В согласии на обработку персональных данных в качестве "третьей стороны" выступает только лаборатория. Если же клиент изъявляет желание передать данные другому франчайзи, и вам это необходимо для ваших бизнес-процессов, то на этот случай дается согласие на передачу франчайзи. Т.е. у вас может быть утверждено две формы согласия. А франчайзи между собой заключают договор, как с лабораторией.
            Ответить
  • Елена С. 14 июля 2014, 06:34
    Вопрос:
    Если фирма объявляет об открытой вакансии и получает ПД соискателей в резюме: 1) Какие данные можно запрашивать; 2) Как можно их использовать, сколько и как хранить; 3) Становится ли фирма "оператором". Спасибо!
    Ответить
    • Крюкова Елена 14 июля 2014, 10:53
      Здравствуйте, Елена!

      По поводу вопросов, касающихся обработки персональных данных соискателей на замещение вакантных должностей, есть разъяснение Роскомнадзора (http://rkn.gov.ru/news/rsoc/news17877.htm). Основываясь на нём, постараюсь ответить на ваши вопросы:

      1. Работодатель вправе обрабатывать персональные данные соискателей на замещение вакантных должностей в объёме, необходимом для принятия решения о приёме либо отказе в приёме на работу. Работодатель сам определяет перечень персональных данных, на основании которых он сможет принять решение. Но при этом персональные данные соискателей не должны быть избыточными по отношению к цели обработки, согласно ч. 5 ст. 5 закона «О персональных данных».

      2. Персональные данные соискателей могут использоваться только для принятия решения о приёме либо отказе в приёме на работу. В случае отказа персональные данные, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя составляет 3 года.

      3. Конечно, компания, осуществляющая обработку персональных данных, определяющая цели обработки, состав персональных данных, действия, совершаемые с персональными данными, по п. 2 ст. 3 закона «О персональных данных» является оператором.

      Хорошего вам дня :)
      Ответить
  • Bolshakova Anastasia 3 сентября 2014, 23:26
    Добрый день,
    дошли руки до заполнения информации в новом интернет-магазине.
    Насколько я поняла из норматива, цитирую:
    "полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;"

    То есть, если у меня на сайте есть Договор оферты, который пользователь принимает, совершая регистрацию на сайте, а потом еще раз делая заказ, то
    уведомлять Роскомнадзор не нужно?

    Политику в отношении персональных данных я разместила:
    http://zeneva.ru/index.php?route=information/information&information_id=3
    Ответить
    • Крюкова Елена 4 сентября 2014, 09:18
      Добрый день, Анастасия!
      Компания до начала обработки персональных данных своих работников и клиентов должна уведомить Роскомнадзор о намерении осуществлять такую обработку согласно ч. 1 ст. 22 закона «О персональных данных». Как вы верно заметили, есть исключения, в том числе и то, которое вы процитировали.

      На вашем сайте клиент принимает Договор оферты, соглашаясь с тем, что его персональные данные будут обрабатываться с целью исполнения Договора, в том числе передаваться третьей стороне (службе доставки) для исполнения Договора.

      В таком случае вы попадаете под исключение закона п. 2 ч. 2 ст. 22 закона «О персональных данных» и подавать Уведомление в Роскомнадзор не обязательно.
      Ответить
      • Анастасия 4 сентября 2014, 11:02
        Елена, благодарю за ответ!
        Ответить
  • Азат 26 сентября 2014, 10:20
    Здравствуйте!
    Мы хотим начать работать как кадровое агенство, но на бесплатной основе! для соискателя!
    1. Подали заявку в Роскомнадзор
    2. На сайте сделали галочку на согласие предоставить нам и обработку персональных данных
    3. Прописали политику по обработке персональных данных

    Вопросы:
    1.Нужно ли заключать договор с сервером на хранения, либо с электронной почтой где будут храниться резюме?
    2.Нужно ли закупать сервер для хранения личных данных, или же подписать договор с сертифицированной фирмой, кто даст сертификат, что наше оборудование подходит для хранения личных данных?

    Или же достаточно 3 этих пунктов для работы с персональными данными как кадровое агенство, бесплатное для соискателя?
    Ответить
    • Игорь Луканин 6 октября 2014, 12:27
      Добрый день, Азат!

      Насколько я понял из вопроса, вы собираетесь получать данные соискателей через свой сайт, который разместите у какого-либо провайдера услуг хостинга. Скорее всего вы заключите договор с данным провайдером на размещение вашего сайта, однако указывать в этом договоре какие-то положения, связанные с обработкой персональных данных не требуется — сам провайдер не занимается обработкой персональных данных соискателей и вы их ему не передаёте.

      Кроме того, в вашем случае можно обойтись без специального оборудования (без покупки «сервера для хранения личных данных»). Законодательство позволяет обеспечить должный уровень защиты персональных данных и без его использования. Для этого необходимо грамотно составить модель угроз безопасности персональных данных и составить документы, объясняющие, почему сертифицированные средства защиты информации ваша компания применять не должна.

      Наконец, поздравлю вас с тем, что ваша компания подала уведомление в Роскомнадзор, разместила на сайте политику и берёт согласие на обработку данных соискателей — многие компании могли бы позавидовать вашей :)
      Ответить
      • Азат 7 ноября 2014, 07:49
        1. Антивирус и программы на компьютере нужны для хранения ИД?
        2. ну так как мы храним все на рабочем компьютере, и на арендованном сервере, необходимость решеток на окнах, металлические двери отпадают, ну и сейф, охрана(тревожная кнопка)

        "модель угроз безопасности персональных данных и составить документы " сколько стоит эта услуга у Контур.эдьба!? Включая договор о оказании услуг в сфере составление модели угроз и всех прилагаемых документов (к какому классу мы относимся, внутренний документ с ответственным)
        Ответить
        • Гость 21 ноября 2014, 13:40
          Добрый день, Азат!

          1. Набор программных средств защиты, необходимых для защиты персональных данных на компьютере, также зависит от модели угроз. Средства защиты используются для исключения угроз, которые в модели были признаны актуальными. Если угрозы нет, то и защищаться от неё нет необходимости. От некоторых угроз помогают избавиться встроенные средства операционной системы. Например, Microsoft Security Essentials — бесплатное приложение для Windows 7, которое помогает защитить компьютер от вирусов, шпионских и других вредоносных программ. Антивирус — это одно из самых доступных средств защиты, и его нужно использовать.
          2. Здесь также нужно ориентироваться на модель угроз. Например, если есть угроза считывания информации с экрана монитора, то, как вариант защиты — установить жалюзи на окна. То есть, нужно применять те меры защиты, которые необходимы, чтобы исключить все угрозы.

          Контур.Эльба не предоставляет таких услуг. Есть сервис «Контур.Персональные данные», который помогает сформировать пакет документов по персональным данным. Но в сервисе сейчас нет модели угроз, мы добавим её чуть позже. Если вопрос будет для вас ещё актуален, то мы сообщим вам, как только документ появится.
          Ответить
  • Дмитрий 6 ноября 2014, 17:45
    Спасибо за статью и отдельные спасибо за разъяснения Игорю!
    А вот как быть со следующим случаем:
    Есть ТСЖ (УК, ЖСК) (оператор 1), которая использует программу взятую в аренду (оператор 2), а база данных находится на хостинге (оператор 3).
    Т.е. ПД субъекта обрабатываются тремя операторами (правление ТСЖ, оператор предоставляющий программу и оператор хостинга). Какие документы у каждого из операторов должны быть?
    И еще вопрос: если программа не использует ФИО, а использует только номера квартир с привязанными к ней атрибутами (водосчетчики, электросчетчики, email и телефон) - являются ли эти атибуты ПД?
    Заранее спасибо!
    Ответить
    • Елена Крюкова 24 ноября 2014, 10:09
      Добрый день, Дмитрий!

      Чтобы разобраться в ситуации, давайте рассмотрим каждого участника отношений отдельно.
      ТСЖ обрабатывает персональные данные, следовательно у него должен быть полный комплект документов, регламентирующих обработку персональных данных, приняты все организационно-правовые меры. Так как ТСЖ для обработки персональных данных арендует программу, то оно должно получить согласие субъектов на обработку их персональных данных с использованием арендуемой программы.
      С арендодателем программы нужно заключить договор поручения согласно ч. 3 ст. 6 закона «О персональных данных». А арендодатель должен принять необходимые организационные и технические меры для защиты персональных данных.
      Остаётся ещё один участник — компания, предоставляющая хостинг. Для такой компании нет особых требований по документам, касающимся обработки персональных данных, ведь она предоставляет только инфраструктуру.

      По второму вопросу. Предположу, что в программе используются не только номера квартир, но и полный адрес. В совокупности с номером телефона, адресом электронной почты, информации вполне достаточно, чтобы отнести её к персональным данным.
      Ответить
  • Андрей 4 февраля 2015, 07:30
    Добрый день. Вопрос: наше ООО оказывает косметологические услуги, перед осуществлением некоторых оформляется информированное согласие, в нем только ФИО и адрес клиента, дальше организации сведения о клиентах не распространяются, т.е. другим лицам не передаются. Необходимо ли уведомлять Роскомнадзор?
    Ответить
    • Елена Крюкова 5 февраля 2015, 12:05
      Добрый день, Андрей!

      В ст. 22 закона «О персональных данных» есть ряд исключений, когда компания вправе не подавать уведомление. Из вашего вопроса предположу, что ФИО и адрес хранятся только в согласии клиента, не заносятся в компьютер. В таком случае вы попадаете под п. 8 ч. 2 ст. 22 152-ФЗ, согласно которому уведомление не нужно подавать при неавтоматизированной обработке персональных данных. Но не забудьте, что персональные данные и в этом случае нужно защищать и выполнять 152-ФЗ :)
      Ответить
      • Андрей 8 июня 2015, 00:56
        Здравствуйте. Уточните пожалуйста насчет последнего ответа.
        Вы пишете, что если "ФИО и адрес хранятся только в согласии клиента, не заносятся в компьютер", то уведомление не нужно подавать.
        А если данные хранятся (вносятся, сохраняются) все же в CRM, на веб-сервере
        тогда уже не действует исключение:
        2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

        Вероятно проблема в определении "для исполнения указанного договора",
        т.е. если я желаю сохранять эту информацию для удобства оказания услуг
        клиенту в будущем и для получения статистики для себя, то это уже другие
        цели?
        А если я буду сохранять (в базе на веб-сервере) только "Как к вам обращаться",
        "e-mail" и "Ваши предпочтения в этом", "Ваши предпочтения в том" и т.д.?
        (Здесь интересуют два варианта еще: если я вообще буду использовать e-mail
        только для авторизации/получения или сброса пароля и если я буду отправлять
        клиенту письма подтверждающие бронирование, напоминающие о
        забронированном времени)
        Ответить
        • Андрей 8 июня 2015, 00:59
          О, извиняюсь за пропущенные запятые, и еще хотел написать благодарность. Спасибо за хорошую статью и комментарии к ней, много разъясняете доходчиво
          и понятно!
          Ответить
          • Lukanin Igor 8 июня 2015, 13:23
            Андрей, добрый день!

            Я правильно понял, что под «ФИО и адрес» на самом деле имеется в виду «ФИО и адрес электронной почты»? Это не влияет на корректность ответа Лены, просто хочу уточнить :)

            Вы верно поняли: если данные будут использоваться не только для исполнения договора, то исключение перестаёт действовать. Можно попробовать включить дополнительные варианты использования данных в состав оказываемых клиенту услуг. Можно указать в договоре, что услуга включает, скажем, не только чистку лица, но и информирование о бронировании через электронную почту или, например, смс, а также предоставление доступа к личному кабинету на сайте компании.

            С некоторыми вариантами использования данных (например, накоплением и анализом статистики) так поступить не выйдёт. Кроме того, нужно быть готовым доказать Роскомнадзору, что никто, кроме работников компании не может получить доступ к данным на сайте (не происходит распространения неопределённому кругу лиц или передачи третьей стороне). В этом может помочь договор с хостинг-провайдером, где обычно говорится, что ни хостинг-провайдер, ни другие лица не могут получить доступ к данным сайта.

            Подумайте, насколько варианты, которые я описал выше, подходят вашей компании. Возможно, стоит таки подать уведомление? Роскомнадзор «по умолчанию» считает, что уведомление нужно подавать всем, и обычно скрупулёзно разбирается, точно ли были у компании причины не подавать уведомление. Может оказаться, что подать уведомление — более беспроблемный вариант в долгосрочной перспективе.

            Всегда рад помочь :)
            Ответить
            • Лео 17 июня 2015, 19:36
              Скажите.

              Можно ли прищючить?
              Если МФО передает свои списки должников другим компаниям (например коллекторским организациям)
              Ответить
              • Lukanin Igor 18 июня 2015, 07:18
                Добрый день! Чтобы ответить точно, категорически не хватает подробностей. Можно представить ситуацию, когда МФО обращается к коллекторам строго в рамках закона, а можно представить несколько вариантов, когда закон нарушается.

                Может быть, вы расскажете подробнее? Каким образом был заключён договор с МФО? Было ли указано в нём, что данные могут быть переданы третьим организациям? На какие действия с данными было дано согласие при заключении договора с МФО? Это бы сильно помогло ответить.
                Ответить
  • Алена 2 декабря 2015, 10:31
    Подскажите, является ли разглашением персональных данных или банковской тайны сообщение о просьбе связаться с кредиторами через соц сети ( друзей должника) ?
    Ответить
    • Lukanin Igor 2 декабря 2015, 13:39
      Добрый день, Алёна! Я не могу дать точный ответ, потому что многое зависит от формы, в которой поступило такое сообщение: возможны варианты, когда при этом был нарушен закон, и когда этого не произошло.

      Само по себе сообщение с просьбой передать знакомому, что ему необходимо связаться с третьим лицом, насколько я могу судить, закон не нарушает. С другой стороны, изложение точных данных о заёмщике, указание кредитной организации и истории их взаимоотношений может нарушить закон.

      Алёна, помог ли вам мой комментарий? Нужно ли дать более конкретный совет для вашего случая?
      Ответить
      • Алена 2 декабря 2015, 16:23
        примерный текст : 1) Добрый день! Вас беспокоят из службы безопасности микрофинансовой организации ООО "Ромашка ", выдающей краткосрочные займы населению. Убедительно просим Вас передать ФИО должника (если поддерживаете с ней связь), незамедлительно погасить задолженность по договору займа . Сами не можем с ней связаться, так как она наглым образом игнорирует наши звонки и сообщения .Сумма задолженности увеличивается каждый день за счёт процентов ! В ее же интересах погасить задолженность как можно быстрее , не доводя дело до негативных последствий, таких как передача права по займу в коллекторские агентства и взыскания задолженности в судебном порядке. Так же оставляем за собой право инициировать судебное разбирательство по факту причинения имущественного вреда ,путем злоупотребления доверием согласно ст.165 УК РФ .Заранее благодарим за понимание и содействие !
        С уважением ООО "Ромашка"!
        2)Добрый день! Вас беспокоят из службы безопасности микрофинансовой организации ООО "Ромашка", выдающей краткосрочные займы населению. Просим Вас передать ФИО должника (если поддерживаете с ним связь), незамедлительно с нами связаться. И что в его же интересах как можно быстрее выйти с нами на контакт. Сами не можем, так как он наглым образом игнорирует наши звонки и сообщения . Заранее благодарим за понимание! С уважением ООО "Ромашка"!
        Ответить
        • Lukanin Igor 3 декабря 2015, 12:53
          Алёна, благодарю за уточнение. Как я понял из вашего ответа, в таких сообщениях физическое лицо («должник») обозначается указанием фамилии, имени и отчества. При этом указание исключительно ФИО не идентифицирует конкретное физическое лицо, поэтому маловероятно, что Роскомнадзор или суд, в случае обращения, примет решение, что в данном случае нарушается закон «О персональных данных». При этом указание дополнительных сведений (например, домашнего адреса или фото) может привести к ситуации, когда физическое лицо будет указано точно, и Роскомнадзор либо суд займёт его сторону.

          При этом отмечу, что в случае, если указываются сведения, точно идентифицирующие физическое лицо, то нарушается п. 4 ч. 2 ст. 9 закона «О микрофинансовой деятельности и микрофинансовых организациях».

          Могу посоветовать при возникновении описанной выше ситуации направлять электронное обращение с указанием на нарушение закона «О микрофинансовой деятельности...» через интернет-приёмную Банка России (http://www.cbr.ru/IReception/), а также пользоваться инструментами социальных сетей для блокировки пользователей, обращающихся с подобными сообщениями.
          Ответить
          • Алена 3 декабря 2015, 13:51
            Игорь спасибо за ответ! если я правильно Вас поняла ,то одно ФИО не попадает под п. 4 ч. 2 ст. 9 закона «О микрофинансовой деятельности и микрофинансовых организациях». ?
            4) гарантировать соблюдение тайны об операциях своих заемщиков. Все работники микрофинансовой организации обязаны соблюдать тайну об операциях заемщиков микрофинансовой организации, а также об иных сведениях, устанавливаемых микрофинансовой организацией, за исключением случаев, установленных федеральными законами;
            Ответить
            • Lukanin Igor 3 декабря 2015, 14:20
              Правильней поднять два вопроса: получится ли связать сообщение, полученное через социальную сеть, с конкретной микрофинансовой организацией (доказать, что именно её работник разглашает сведения) и получится ли связать сказанное ФИО с конкретным физическим лицом. Я не могу однозначно сказать, какую позицию займут Роскомнадзор, Банк России и суд.
              Ответить
  • Михаил 2 декабря 2015, 19:16
    Сделал всё как написано 152.kontur.ru, а в ответ пришло что где базу то храните. Храм не мы ведь, а сервис evrika.kontur.ru.
    Что писать то?
    Ответить
    • Isheev Kirill 3 декабря 2015, 11:16
      Добрый день.

      Михаил, вы в Контур.Бухгалтерии работаете, верно?
      Ответить
      • Михаил 3 декабря 2015, 12:54
        Использую сервис, да
        Ответить
  • Михаил 2 декабря 2015, 19:16
    Сделал всё как написано 152.kontur.ru, а в ответ пришло что где базу то храните. Храм не мы ведь, а сервис evrika.kontur.ru.
    Что писать то?
    Ответить
    • Анастасия Успенская 3 декабря 2015, 13:07
      Михаил, добрый день!
      Подробную инструкцию о том, что делать в этой ситуации, вы можете посмотреть вот здесь https://kontur.ru/qa/2861.

      С уважением, Анастасия Успенская
      Эксперт по защите персональных данных
      СКБ Контур
      Ответить
  • alex 17 февраля, 22:46
    Подскажите, а если у меня сняли скан паспорта допустим для разового занятия в тренажерный зал. И не предоставили никаких документов для подписи где я разрешаю производить обработку персональных данных, является ли это нарушением и куда можно обратиться?
    Ответить
    • Lukanin Igor 18 февраля, 16:30
      Алекс, добрый день!

      То, что у вас не попросили письменного согласия, само по себе не говорит о нарушении закона «О персональных данных». Насколько я понял из вопроса, вы передали паспорт и скан был сделан с вашего ведома и согласия, что является одним из условий обработки персональных данных, указанных в законе (*). Кроме того, скорее всего, данные паспорта были необходимы для заключения договора с тренажёрным залом, что указано в законе, как достаточное основание для обработки данных.

      С другой стороны, некоторые данные паспорта (например, место рождения, возможно, фото, дата рождения и др.) не могут быть необходимы для того, чтобы заключить с вами договор и пустить в тренажёрный зал. Закон разрешает использовать только те данные, которые необходимы для достижения цели (**). Похоже, здесь было допущено нарушение.

      Вы можете обратиться за защитой своих прав в контролирующий орган — Роскомнадзор. На его сайте есть список часто задаваемых вопросов (***), а также форма для отправки обращения (****).

      *: ст. 6, ч. 1, п. 1: https://normativ.kontur.ru/document?moduleId=1&documentId=241923#h204
      **: ст. 5, ч. 2 и 4: https://normativ.kontur.ru/document?moduleId=1&documentId=241923#h203
      ***: http://rkn.gov.ru/treatments/p459/p468/
      ****: https://rkn.gov.ru/treatments/ask-question/
      Ответить
  • Сергей 18 февраля, 22:48
    Не требуется уведомление, если:
    "полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных"

    - иными словами, если у меня на сайте есть Публичная оферта и при регистрации пользователь ее принимает, мы фактически заключаем договор. В этот момент пользователь указывает персональную информацию. Уведомление Роскомнадзору не требуется?
    Ответить
    • Lukanin Igor 25 февраля, 08:08
      Сергей, вы правы. Обратите только внимание на слова «используются оператором исключительно для исполнения указанного договора». Например, если вы заключаете договор на предоставление услуги, а затем решаете сделать email-рассылку по базе клиентов, то это не будет соответствовать закону. Проверьте, что указанные в договоре цели использования данных и действия с ними не противоречат вашим намерениям.
      Ответить
  • Руслан 2 марта, 15:11
    Такой вопрос. Мне звонят коллекторы. Знакомы взял кредит в срочно деньги. И оставил мой номер.( но в тот день когда он брал кредит, (срочно деньги) не могли до меня дозвониться т к.на моём номере был минус и был заблокированным . И взять у меня согласие. Таким образом я спустя 2 недели узнал, что я являюсь заинтересованным лицом. И теперь требуют что бы искал своего друга. Хотя я не имел даже в виду что он взял кредит. И без моего согласия звонят мне.
    Ответить
    • Рязанов Михаил 10 марта, 13:02
      Руслан, добрый день.
      Да, ситуация непростая, но выход всегда есть :)
      Советую обратиться за грамотным юридическим ответом к нашим партнерам "Правовед.ru" - профессионалам в области юридических консультаций.
      Адрес: https://pravoved.ru/
      Ответить
      • Екатерина 10 марта, 13:45
        ага, только денег сразу приготовьте.
        Ответить
  • Ольга 31 марта, 13:11
    Добрый день! Подскажите, пожалуйста, в нашей компании при трудоустройстве берется согласие на обработку персональных данных. Но есть такой внутренний документ, как заявление, которое прикладывается к больничному листу сотрудника, и в котором содержатся его персональные данные. В редких случаях, но приходится распечатывать данный документ и передавать его 3-му лицу (коллеге, начальнику сотрудника, которому нужно это заявление), есть в этом случае какие-либо риски по закону? Распечатывает заявления также сотрудник, с котором подписаны всякие бумаги о неразглашении и т.д. (по идее они с каждым сотрудником при поступлении на работу подписываются).
    Ответить
    • Lukanin Igor 31 марта, 15:47
      Добрый день, Ольга! Подскажите, а зачем, с какой целью третье лицо использует это заявление?
      Ответить
      • Ольга 1 апреля, 09:28
        Третье лицо всего лишь передает документ тому лицу, которое его попросило это сделать (или например, руководитель сотрудника забирает документ для подчиненного, который находится в декрете, также, чтобы передать, и не задерживать с оформлением документов, так сказать "подготовиться" к приходу и оформлению отпуска по уходу за ребенком). Документ печатный и вероятнее всего будет использоваться по назначению, но есть ли тут риски, если нас, например, захотят проверить или какой-нибудь сотрудник "вдруг" заявит, что ничего не получал...
        Ответить
  • Валентин 27 августа, 12:42
    Мне звонит девушка, представляется Росгосстрах, задает вопрос знаю ли я какого-то человека, потом просит передать ему, что он должен денег.
    Так продолжается уже четвертый день.
    Могу ли я по номеру телефону, который потом недоступен, с этой компании потребовать компенсацию за моральный ущерб, отталкиваясь от УК РФ закона #153 Ф3?
    Звонит каждое утро с 7.00
    Ответить
    • Lukanin Igor 29 августа, 10:29
      Валентин, добрый день! Насколько мне известно, такие звонки не нарушают требований 152-ФЗ, равно как и УК РФ. Могу посоветовать такой выход:

      1. Пожаловаться в сам Росгосстрах (или, возможно, «Росгосстрах Банк»?) через их сайт: http://rgsbank.ru/about/contact/
      2. Оставить отзыв на сайте Банки.ру — обычно на него оперативно реагируют: http://www.banki.ru/services/responses/list/
      3. Добавить телефон, с которого вам звонят, если он один и тот же, в чёрный список на телефоне
      Ответить
8 800 500-02-75
Найти

Темы

Подпишитесь на наши новости
Сегодня
отличный день,
чтобы начать!
Начать пользоваться Эльбой 30 дней бесплатно