Согласно статье 22 Федерального закона №152 от 27 июля 2006 г. «О персональных данных», уведомление о сборе и обработке персональных данных обязаны предоставлять все организации, индивидуальные предприниматели и самозанятые лица. Сейчас требования и штрафы за их невыполнение ужесточаются. Руководитель «Бухгалтерского бюро» Елена Марченко поделилась нюансами и пояснила сложные аспекты требований.
— Расскажите, какие данные считаются персональными?
К персональным данным относятся:
— Данные сотрудников и кандидатов на работу;
— Информация контрагентов;
— Данные членов общественных объединений и религиозных организаций;
— Информация посетителей для однократного доступа на территорию компании;
— ФИО любых лиц, полученные организацией.
Основные виды данных включают ФИО, электронную почту, место работы, телефон и паспортные данные.
― Зачем вообще надо подавать уведомление?
— Уведомление необходимо для легализации работы по сбору и обработке персональных данных. Если у компании (включая ИП и самозанятых лиц) есть хотя бы один клиент или сотрудник, чьи личные данные обрабатываются, она становится оператором персональных данных и должна уведомить РКН. Например, ИП Кошечкин А.В., не имея сотрудников, тем не менее обязан уведомить РКН, если у него есть хотя бы один поставщик ― ИП. Кроме того, если организация арендует программное обеспечение или облачные хранилища данных, она также должна подать уведомление.
Находясь в реестре Роскомнадзора, компания поддерживает свою репутацию как ответственного контрагента в деловом сообществе. Доступ к реестру открыт, и проверка в нем обязательна при заключении государственных контрактов или участии в торгах. Уведомление подается однократно, после чего требуется только актуализировать сведения.
― В каких случаях компании подвергаются проверке, и что им грозит, если обнаруживается нарушение требований?
— Контролирующие органы будут проводить проверки, независимо от того, зарегистрирована ли компания в реестре. За неподачу уведомления предусмотрены штрафы по статье 19.7 Кодекса об административных правонарушениях РФ: до 5 тыс. руб. для юридических лиц и до 500 руб. для индивидуальных предпринимателей. С 30 мая 2025 года вступает в силу новый закон, который увеличит штрафы: для граждан — от 5 до 10 тыс. руб., для должностных лиц — от 30 до 50 тыс. руб., для организаций — от 100 до 300 тыс. руб.
― Предусмотрена ли возможность освобождения от подачи уведомления?
— Уведомление не требуется, если вся учетная работа с персональными данными ведется на бумаге, организация включена в государственные информационные системы или работает с данными в сфере транспортной безопасности.
― Расскажите, как подать уведомление.
— Уведомление можно подать несколькими способами: заполнить электронную форму, распечатать и отправить почтой, курьером или лично; сформировать и отправить через портал Роскомнадзора с использованием электронной подписи, либо воспользоваться порталом «Госуслуги» для формирования и отправки уведомления.
— Политика конфиденциальности и политика сбора ПДн — это один и тот же документ?
— В законе есть только понятие «Политика в отношении обработки ПДн». Некоторые называют этот документ иначе или делают несколько документов, определяющих политику (например, «Политика конфиденциальности», «Политика сбора ПДн»). Поэтому это могут быть разные документы, но определяющие политику, а могут быть вообще разные документы в зависимости от того, какой смысл оператор в них вкладывает.
― Давайте рассмотрим некоторые конкретные случаи, которые могут вызвать сложности у предпринимателей. Уточните, например, подпадает ли под данный закон запись разговоров с клиентами?
— Если запись разговора содержит даже одного клиента ПДн, то, конечно, подпадает.
— А видеонаблюдение в офисе организации является сбором биометрии?
— Нужно понимать цель видеонаблюдения и технологии сбора и обработки видеозаписей. Если цель — обеспечение безопасности и сохранности имущества, контроль качества и количества выполняемой работниками работы, — то нет.
— Нужно ли работодателю становиться оператором по обработке персональных данных? И каким образом работодатель должен хранить личные дела, в сейфе с замком?
— Оператором становятся сразу, как только приступают к обработке ПДн. Главное требование — хранить так, чтобы обеспечить сохранность и исключить случайный или несанкционированный доступ к ним. ФЗ №152 не устанавливает, где именно хранить, а вот отраслевое законодательство может такие требования содержать. Например, есть требования к документам строгой отчетности — хранить их в сейфе, металлических шкафах или специальных помещениях, позволяющих обеспечить их сохранность
— Нужно ли согласие для указания личного телефона и почты директора в договоре на оказание услуг?
— Договор подписывает директор, поэтому при подписании он вправе сам определить, какой номер телефона или адрес почты укажет (или не укажет), какая форма договора и внесение каких данных в него будет согласовано сторонами. Почта и номер соответствуют цели исполнения договора, значит, согласие не потребуется.
— Подскажите, могут ли в компании запрашивать у работников контакты родственников для связи в экстренных случаях? Надо ли для этого получать письменное согласие у третьих лиц на предоставление такой информации?
— При получении сведений о родственнике ПДн от третьего лица (от кандидата) нужно сообщать родственнику о получении этих данных и получать согласие (от кого и зачем получены и сохранять получение согласия — в любой форме). Но есть хитрость: можно спросить у работника номер как свой дополнительный без знания о том, что это номер третьего лица и, соответственно, без указания дополнительной информации.
— Рассмотрим такую ситуацию: субъект персональных данных отказался давать согласие на их обработку, это может быть работник или экзаменуемый. Что делать в таком случае, отказать в работе или принятии экзамена?
— Следует действовать на основании иных условий обработки ПДн. Отказ в предоставлении согласия не может являться основанием для отказа в получении услуги, трудоустройства и принятия экзамена.
— С ПДн связана и медицинская сфера. Когда, например, работника отправляют на периодический медосмотр, предварительно подается список работников с их должностями в медицинское учреждение. Нужно ли в этом случае брать с них согласие?
— Нет. Если сотрудник согласие не подпишет — это же не лишит его необходимости проходить обязательный медосмотр
— А нужно ли брать согласие, если организация размещает рекомендательные письма довольных клиентов на своем сайте, указывая ФИО, должность подписанта?
— Можно либо исключать из отзывов ПДн, либо все-таки брать согласие для распространения.
— Каким образом компании следует уведомить Роскомнадзор насчет того, что используется телеграм-бот для взаимодействия с покупателями?
— О конкретных инструментах/программах РКН не уведомляют, но цели, для которых используется бот должны найти отражение в локальном нормативном акте (ЛНА) и в уведомлении в РКН.
— А наличие оферты обязательно на сайте? Например, для ретейла обуви и одежды.
— Размещение оферты зависит от деятельности компании и от того, о какой форме сбора идет речь и в чем ее цель. Если цель, например, — оформление товара/услуги, и данная деятельность осуществляется на основании оферты, то, конечно, такая оферта должна быть. В такой ситуации можно будет обойтись и без согласия (если не предлагаются вспомогательные услуги, например, подписка на новости). Наличие оферты РКН смотрит только для оценки правовых оснований сбора ПДн.
— И наконец, вопрос про уничтожение ПДн. При составлении акта об уничтожении, можно ли вместо ФИО указать название документов, подлежащих ликвидации, ведь документов очень много и нет возможности прописывать каждое лицо? Например, это касается заявлений абитуриентов, которых может быть несколько тысяч человек.
— Согласно приказу РКН №179 в акте должны быть указаны, помимо прочего, ФИО субъектов или иная информация, относящаяся к определенному физическому лицу, чьи персональные данные были уничтожены, а также перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных. Это нужно для того, чтобы в случае необходимости осталось подтверждение о том, чьи именно ПДн уничтожили и в каком объеме. Если указать только наименования документов, то все равно нужна иная дополнительная информация, которая позволит идентифицировать субъектов ПДн, в отношении чьих ПДн проводилось уничтожение.
