Меню
Главная - Другое - Кто должен регистрироваться в роскомтехнадзоре как оператор обработки персональных данных

Кто должен регистрироваться в роскомтехнадзоре как оператор обработки персональных данных

Как ужесточились требования к работе с персональными данными в 2022 году


П Пользователь Добрый день. Скажите, пожалуйста, а что следует после подачи уведомления об обработке персональных данных в Роскомнадзор, как орган будет проверять, что требования выполняются? И нужно ли будет сдавать какие-либо отчеты?

0 Ответить Яна Аржанова, главный редактор Здравствуйте! Про виды проверок можно почитать здесь: Отчеты не требуются. 0 Ответить SV Stas Volchkov Подскажите, пожалуйста, на каком основании «галочка» под веб-формой согласия на обработку персональных данных является электронной подписью?

В соответствии с ФЗ-152

«Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.»

Спасибо.

0 Ответить ЯА Яна Аржанова Добрый день! По этому вопросу даются пояснения на сайте Роскомнадзора: «Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме» .

1 Ответить Д Данил , почему же у вас на сайте, на странице «Запросить цену» галочки нет? 1 Ответить ЭГ Эльдар Гайнутдинов В ч.

2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ говорится о праве осуществлять обработку ПДн без уведомления Роскомнадзора в определенных ситуациях, а о том, что операторы не должны обеспечивать конфиденциальность персональных данных, нет ни слова. 1 Ответить ДС Дмитрий Сухоруков Есть ли штраф за неуведомление Роскомнадзора, при том что остальные требования соблюдены?

0 Ответить Яна Аржанова, главный редактор В ст. 22 № 152-ФЗ содержится ряд исключений, при которых уведомлять Роскомнадзор не нужно.

Если к вам они не относятся, то подавать уведомление нужно, иначе есть вероятность того, что Роскомнадзор сам пришлет вам письмо-напоминание: Ответственность предусмотрена ст.

19.7 КоАП РФ «Непредставление сведений (информации)»: Непредставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), муниципальный контроль, сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), муниципальный контроль, таких сведений (информации) в неполном объеме или в искаженном виде, <.> влечет: предупреждение или наложение административного штрафа на граждан в размере от 100 до 300 рублей; на должностных лиц — от 300 до 500 рублей; на юридических лиц — от 3000 до 5000 рублей. 0 Ответить П Павел Согласно требованиям ч.5 ст. 2.1 54-ФЗ в случае расчетов в безналичном порядке в сети «Интернет» и невозможности прямого взаимодействия с клиентом, исполнитель (продавец) обязан обеспечить передачу клиенту кассового чека в электронной форме на абонентский номер либо адрес электронной почты.

Может ли исполнитель согласно п.2 и п.6 ч.1 ст. 6 152-ФЗ не получать согласие на обработку ПД, а именно абонентский номер и/или адрес электронной почты, для исполнения этих требований? 0 Ответить Яна Аржанова, главный редактор , добрый день.

Не совсем понятно, как вы будете передавать клиенту кассовый чек в электронной форме, если не собираетесь запрашивать у него номер телефона или адрес электронной почты.

Обычно клиент передает вам эти данные в момент регистрации на сайте и при создании личного кабинета. В этом случае согласие на обработку ПД становится одним из этапов регистрации, то есть клиенту нужно обязательно поставить галочку о том, что он согласен на обработку ПД, чтобы завершить регистрацию. 0 Ответить П Павел , добрый день!

У нас на сайте отсутствует личный кабинет и в принципе какой-либо сбор данных. В этом собственно и вопрос: как запрашивать у него эти данные? 80% наших клиентов оплачивает услуги через мобильный банк (именно совершает оплату по QR на квитанции).

Банк в реестре ПД не передаёт, только лицевой счёт и сумму оплаты. 0 Ответить Яна Аржанова, главный редактор , добрый день! Вы можете описать подробнее схему взаимодействия с клиентами?

Как они заказывают у вас товар? Как вы передаете им квитанции с QR-кодом?

0 Ответить П Павел , спасибо за обратную связь. Мы оказываем услуги по ежемесячному техническому обслуживанию оборудования физических лиц. Практически в 100% случаев договора на обслуживание заключались ещё до вступления в силу 54-ФЗ, поэтому в договоре такие поля как номер мобильного телефона и адрес электронной почты были необязательными к заполнению.

Квитанции передаём через почтовые ящики. Далее, как я уже описывал, клиенты оплачивают удобным им способом. 0 Ответить Яна Аржанова, главный редактор , поскольку в данном случае вопрос об обработке персональных данных связан с выдачей чеков, то пришлось привлечь эксперта Контура по ККТ Оксану Кобзеву.
0 Ответить Яна Аржанова, главный редактор , поскольку в данном случае вопрос об обработке персональных данных связан с выдачей чеков, то пришлось привлечь эксперта Контура по ККТ Оксану Кобзеву.

Давайте по порядку, чтобы было понятно. Обработка ПД возможна с согласия субъекта ПД.

Но, согласно , обработка ПД, необходимая для достижения целей, предусмотренных международным договором РФ или законом, для выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей допускается без согласия субъекта ПД.Согласие на обработку данных, разрешенных субъектом для распространения, оформляется отдельно от иных согласий на обработку данных, разрешенных субъектом для распространения ( ).Если клиент предоставил продавцу (пользователю ККТ) до момента расчета номер телефона или адрес электронной почты, продавец обязан отправить ему чек или БСО в электронной форме на один из указанных контактов, но при наличии технической возможности для этого.

Об этом говорится в . Какой следует из этого вывод: Отправляя электронные чеки или БСО на электронную почту или номера телефонов, вы тем самым выполняете требования . В таком случае согласие на обработку ПД не требуется, но при последующем использовании ПД или их использовании в целях, не связанных с исполнением договора, вам нужно будет получить согласие. В есть отдельные положения для ситуаций, когда у поставщика услуг или продавца нет телефона или электронной почты клиента.

Это как раз ситуации, когда услуга оплачивается через кассира банка на расчетный счет продавца или, например, по QR-коду, сюда же можно отнести «магазины на диване», когда в лучшем случае у продавца есть почтовый адрес. Для таких ситуаций пользователь ККТ формирует чек до конца следующего рабочего дня после поступления оплаты на расчетный счет, чек уходит в этот момент в ФНС, а вот клиенту бумажный чек можно передать либо при первом контакте – это для услуг, либо вложить в посылку с товаром – это при оплате товаров. Может так случиться, что контакта и не будет, главное – чек сформировать и передать в ФНС, а уж отправка клиенту в таких ситуациях – дело случая, особенно при услугах.

0 Ответить П Павел , огромное спасибо! 0 Ответить Л Леонид У нас турагентсво.

При заключении договора, берем отдельное согласие на обработку ПД (в т.ч. трансграничную). Но в договоре помимо заказчика есть еще и туристы которые в офис не приходят, но сведения о них собираются и передаются.

Как быть в этом случае? 0 Ответить Яна Аржанова, главный редактор , если я правильно понимаю, то в вашем случае турагент передает вам, туроператору, данные туристов. И получается, что туристы передают свои данные через турагента третьему лицу, то есть туроператору.

Я вам советую ознакомиться с , которую составил Роскомнадзор. 0 Ответить Н Николай Добрый день, я работаю в ФКУКиИ «Культурный центр МВД России» как вольно наёмный сотрудник и меня ОБЯЗЫВАЮТ подписать согласие на обработку персональных данных субъектов персональных для нужд бухгалтерии. Отказ от подписания грозил мне не выплату заработной платы.

Прочитав ФЗ № 152 от 27.07.2006 г. не нашёл п. в котором прописано, что я обязан подписывать согласие о ПД являясь вольно наёмный сотрудник, подскажите пожалуйста на какой закон и п. в нём я могу сослаться, что бы отказать от подписания согласия на обработку ПД без последствия не выплаты заработной платы или всё-таки какой-то закон обязывает меня подписать согласие на обработку ПД работая в ФКУКиИ «Культурный центр МВД России» как вольно наёмный сотрудник?

0 Ответить Яна Аржанова, главный редактор , добрый день. Согласно ст. 5 Закона № 152-ФЗ «обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.

Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных».

В данном случае, как следует из описания ситуации, бухгалтерии нужны ваши персональные данные для выплаты зарплаты. В противном случае вам просто не смогут выплатить деньги.

0 Ответить НЧ Наталья Чебаница Подскажите, не могу понять, если клиент просит отправить электронный чек на почту или телефон, нужно получать согласие на обработку ПД? 0 Ответить Яна Аржанова, главный редактор , добрый день. Согласие на обработку персональных данных вы получаете от клиента в тот момент, когда он создает личный кабинет в интернет-магазине, чтобы купить товар.

Обычно в форме для внесения данных есть пункт «Политика обработки персональных данных», напротив которого клиенту предлагается поставить галочку. 0 Ответить П Павел , а если речь не об интернет-магазине?

0 Ответить Яна Аржанова, главный редактор , если покупатель перед оплатой просит, помимо бумажного чека, прислать электронный, то, согласно п. 2 ст. 1.2 Закона № 54-ФЗ, кассир обязан это сделать. При этом отправка по номеру телефона — обязанность.

А на электронную почту чеки отправляют, если ККТ технически поддерживает такую опцию. Я не видела официальных разъяснений по вопросу о том, нужно ли получать согласие на обработку ПД в том случае, когда в момент офлайн-покупки клиент просит ему прислать электронный чек.

Но можно рассуждать логически. Если клиент просит это сделать, то кассир по закону обязан выполнить его просьбу.

В то же время, согласно Закону о персональных данных (ст. 6 Закона 152-ФЗ), один из принципов обработки ПД — это обработка, необходимая для достижения законных целей для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

В данном случае кассир как раз и выполняет ту обязанность, которую на него возлагает Закон о ККТ. И еще важная деталь: закон не обязывает кассира проверять, действительно ли названный имейл или номер телефона принадлежит конкретному покупателю.

Условно: покупатель-мужчина может назвать вам имейл своей жены, но вы знать об этом не можете. 0 Ответить ЕГ Елена Гейко Добрый день.

Простому человеку, не знакомому с бюрократическим языком, будет не понятны эти пространные формулировки. Честно говоря это похоже на то, как если бы человек чихнул и отправил об этом отчетность в гос.орган.

1 Ответить Яна Аржанова, главный редактор , все законодательство написано таким языком.

Надо разбираться, чтобы избежать штрафов.

Особенно простым людям, которые имеют непосредственное отношение к исполнению требований закона. 0 Ответить П Пользователь Добрый день! если при оформлении трудового договора работник подписал согласие на обработку персональных данных, нужно ли сейчас в связи с новыми изменениями еще что то подписывать с ним?

если при оформлении трудового договора работник подписал согласие на обработку персональных данных, нужно ли сейчас в связи с новыми изменениями еще что то подписывать с ним? 2 Ответить Яна Аржанова, главный редактор , нет, последние изменения больше относятся к бизнесу, который планирует использовать эти данные в маркетинговых целях (например, банк передает ваши данные третьему лицу — партнеру, чтобы тот рассылал свои сообщения). Плюс еще изменения связаны с увеличением штрафов.

Вообще по работе с ПД сотрудников (и даже кандидатов на этапе сбора резюме) у нас есть отдельная статья .

0 Ответить П Пользователь , спасибо за ответ) 0 Ответить Ю Юлия Доброе утро.

Тоже интересует вопрос, если у нас есть Положение о ПД, согласия всех работников на обработку ПД, приказы по организации о назначении ответственных лиц, нужно ли сейчас что то еще дополнительно — согласия на распространение. Также у нас нет Политики обработки ПД. И Роскомнадзор мы не уведомляли.

0 Ответить Яна Аржанова, главный редактор , я думаю, что на свои вопросы вы найдете ответы в отдельной статье .

0 Ответить Ю Юлия Про уведомление сама прочитала в законе).

А вот нужно ли регистрироваться в информационной системе Роскомнадзора, если у нашей организации только трудовые отношения с работниками 0 Ответить Яна Аржанова, главный редактор , нет не нужно. содержит ряд исключений, когда уведомление не требуется. Регистрация в информационной системе Роскомнадзора, соответственно тоже не нужна (насколько я понимаю, в эту систему ведомство вносит организацию после того, как оно подает уведомление).

Обработка ПД в рамках трудового законодательства как раз относится к исключениям.

0 Ответить Е Елена Вправе ли торговая сеть запрашивать ПД ( паспортные данные, адрес) в анкете при оформлении карты лояльности ( бонусной карты)? 0 Ответить Яна Аржанова, главный редактор , ст. 5 Закона о ПД гласит, что обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей.

Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Следовательно, возникает вопрос: для чего магазину ваши паспортные данные?

Какую цель он преследует, запрашивая их?

То же самое с адресом. Зачем он магазину? Если, например, это магазин товаров для дома, который планирует присылать вам бумажные каталоги, а вы как раз хотите их получать, потому и оставляете свой адрес, то тогда цель сбора адресов обоснована.Вообще, мне кажется, сбором таких данных магазины занимались до 2017 года, когда еще не были введены ощутимые штрафы за нарушения.

0 Ответить ЕП Екатерина Пелевина Здравствуйте! Наша компания занимается электромонтажными работами.

Периодически участвует в аукционах на ЭТП, подавая для заказчика в аукционной заявке такие данные на сотрудников, как ФИО, образование, допуски к работам. Согласие на обработку ПД берутся при поступлении на работу. Нужно ли в таком случае брать от работников согласия на передачу ПД и уведомлять Роскомнадзор?

0 Ответить Яна Аржанова, главный редактор , добрый день! На ваш вопрос отвечает эксперт в сфере закупок Елена Ежова:»Если закупка по 44-ФЗ, то участник еще при регистрации в ЕИС дает необходимые согласия на разглашение сведений. Когда процедура по 223-ФЗ или коммерческая, то тут необходимые формы согласий заказчик будет прикладывать в документации для обязательного заполнения участниками».

1 Ответить О Ольга Здравствуйте!

В розничном магазине при возврате товара покупателем заполняется заявление на возврат, в нем указываются паспортные данные, ФИО покупателя.

Нужно брать согласие у покупателя на сбор этих данных, регистрироваться как оператор ПД? Еще такой вопрос: при продаже охотничьих патронов заполняется журнал продаж с ПД покупателя, а именно, ФИО, адрес, номер разрешения на хранение и ношение оружия.

Нужно ли брать письменное согласие с покупателя и также регистрироваться как оператор ПД? Спасибо! 0 Ответить ЕК Елена Котова Здравствуйте. При приеме на работу берем с сотрудников согласие на обработку перс. данных и там есть пункт для чего собираются эти данные: «- предоставления сведений в кредитную организацию для оформления банковской карты и перечисления на нее заработной платы;».

данных и там есть пункт для чего собираются эти данные:

«- предоставления сведений в кредитную организацию для оформления банковской карты и перечисления на нее заработной платы;»

. В таком случае Роскомнадзор так же не надо уведомлять? 1 Ответить ВМ Валерий Михайлов Добрый день !

Я как работник заключил бессрочный договор с работодателем (субъект с оператором), НО ! как выяснилось Работодатель по договору с аутсорсинговой компанией заключил договор на ведение кадровой и бухгалтерской деятельности. Получается. Оператор незаконно распространяет ПДн ?

Что в этом случае ? мне как субъекту необходимо оформить Согласие с аутсорсинговой компанией ? И является ли данном случае аутсорсинговая компания Оператором с необходимостью уведомления в РКН ?Спасибо. 0 Ответить ЮГ Юрий Голубев «Согласно п.

2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях.» Открыл Закон, там написано: «Обработка персональных данных допускается в следующих случаях:».

То есть эта статья про случаи, когда можно обрабатывать ПДн!

О том, что не требуется согласие, там не сказано. Наоборот, п.1. именно на согласие и указывает. 0 Ответить V Veronikabel А если сайт работает только с юридическими лицами, то что нам нужно иметь на сайте?

0 Ответить В Валерй в банке при получении дебетовой карты и подписании договора в п.п. указано «согласен на обработку и передачу ПД третьим лицам» и «не согласен на обработку и передачу ПД третьим лицам» я выбрал пункт » не согласен .далее по тексту» банк отказал мне в выдачи карты и заключении договора.

Банк прав ? Мои права нарушены ?

0 Ответить ЕК Елена Карандашова Здравствуйте. Есть ли необходимость разрабатывать в организации положение о работе с персданными работников или достаточно прописать в трудовом договоре?

или вообще не нужно ничего, т.к.

трудовые отношения? Спасибо. 0 Ответить А Андрей Добрый день. Мне управляющая компания послала письмо.

Служба доставки требует вписать квитанцию о доставке: ФИО и паспортные данные.

Могу ли отказаться вписывать паспортные данные? Ведь я не давал им разрешение на обработку ПДн.

Доставка ,частная компания не Почта России. 0 Ответить АШ Александр Швецов Здравствуйте, сервисный центр по ремонту бытовой техники принимает в ремонт аппаратуру. При этом для связи с клиентом требуется его ФИО, телефон и адрес (для информирования клиента о готовности аппарата, согласования стоимости ремонта и др.) Организация не собирается предоставлять ПД третьим лицам.Нужно ли в договоре о ремонте иметь пункт о том, что клиент согласен на обработку ПД?

0 Ответить Т Татьяна Здравствуйте, надо ли подписывать согласие на обработку своих персональных данных при заселении в гостиницу? 1 Ответить

Реестр операторов персональных данных

В реестр операторов, осуществляющих обработку персональных данных, который находится в ведении Роскомнадзора, можно попасть двумя способами: добровольно и принудительно-добровольно. Технически они не отличаются друг от друга.

Но главный вопрос: “Зачем нам очередной реестр?

Нормально же все было…”. Среди самых популярных ответов встречаются:

  • До сих пор не понятно.
  • Все побежали и я побежал.
  • Этого требует контрагент, условия тендера/конкурса.
  • Прочитал, что иначе будет большой штраф.
  • Мы – банк.

Кстати, уведомить Роскомнадзор о начале обработки персональных данных и попасть в реестр операторов —это одно и тоже. Сам реестр размещен на сайте РКНа https://rkn.gov.ru/personal-data/register/ Я — оператор Независимо от наличия записи в реестре, в том случае, если компания обрабатывает персональные данные (а любой бизнес их обрабатывает), то она является оператором обработки персональных данных.

Т.е. теоретически реестр операторов должен совпадать с ЕГРЮЛом и даже быть немного больше, т.к.

и физлицо может являться оператором. Но в реестре находится чуть более 400 000 записей, что явно меньше количества зарегистрированных юридических лиц и индивидуальных предпринимателей. Конечно же существует возможность не уведомлять Роскомнадзор об обработке персональных данных. Ряд исключений предусмотрены ст.

Ряд исключений предусмотрены ст. 22 ФЗ “О персональных данных”, но с ними не все так однозначно как кажется на первый взгляд, о чем напишу позже.

Важно понять другое — независимо от наличия вашей компании в Реестре требования законодательства о персональных данных на вас также распространяются и их необходимо неукоснительно соблюдать.

“Письмо счастья” от Роскомнадзора Поскольку большинство компаний не стремились и не стремятся направлять уведомления, Роскомнадзор в свое время начал активно пополнять реестр операторов путем направления таких вот писем. В чем смысл таких действий в целом понятен из текста.

Выборка компаний делается по ОКВЭДам, и та деятельность, которая потенциально связана с обработкой персданных физических лиц, является поводом для направления письма. РКН вроде как и не заставляет включаться в реестр, но в противном случае просит предоставить пояснение с указанием правовых оснований обработки ПД без направления уведомления. Для принятия решения предоставляется 30 дней.

Оставить без внимания такое письмо нельзя: нужно включиться в реестр или написать, что деятельность компании попадает под исключения, предусмотренные статьей 22 Закона “О персональных данных”.

В случае игнорирования может последовать привлечение к административной ответственности по статье 19.7 КоАП “Непредставление сведений (информации)”.

Штраф, конечно, невелик (до 5 000 руб. на юрлицо), но потенциально игнор — это повод для последующего проведения внеплановой проверки* и вынесения предписания об устранении нарушения законодательства. За неисполнение предписания уже последует административка по статье 19.5 КоАП “Невыполнение в срок законного предписания…”.
За неисполнение предписания уже последует административка по статье 19.5 КоАП “Невыполнение в срок законного предписания…”.

*Справка: поводы, основания, сроки и т.п.

моменты, связанные с проведением проверок в сфере персональных данных, установлены Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных (утв.Постановлением Правительства РФ от 13 февраля 2020 г.

№ 146). Вот я в реестре, а дальше что? Да ничего особенного. В текущей деятельности нет вообще никаких изменений. Ну можете присоединиться к Кодексу добросовестных практик https://pd.rkn.gov.ru/code/ Дополнительным фактором для назначения проверки наличие или отсутствие компании в реестре не является, хотя если в ходе проверки будет установлено, что деятельность оператора не попадает под исключения, то может быть наложен более высокий штраф уже по ст.

13.11 КоАП. Своевременно вносите изменения Если у вас меняются какие-либо сведения, включенные ранее в реестр, то требуется внести изменения в течение 10 дней со момента их возникновения (часть 7 статьи 22 ФЗ “О персональных данных”). За несвоевременное направление или не направление этих сведений — опять административный штраф по ст.

19.7 КоАП. Про ответственность за обработку персональных данных без уведомления Роскомнадзора Закон “О персональных данных” требует направить уведомление в РКН до начала обработки персональных данных.

На практике это момент регистрации компании или ИП, то есть фактически дата начала обработки ПД совпадает с датой регистрации в ЕГРЮЛ.

Следовательно, если фирма в этот момент уведомление в РКН не направит, то уже совершит административное правонарушение, ответственность за которую предусмотрена ст. 13.11 КоАП РФ. А срок давности привлечения к административке по этой статье составляет 3 месяца с момента совершения правонарушения. Такое нарушение не является длящимся, поэтому, если речь не идет о неисполнении предписания, то РКН никого к ответственности и не привлекает.

Вывод Без лишней необходимости направлять в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных не нужно, но и сопротивляться и уклоняться от этого никакого смысла нет.

Безусловно, каждая ситуация индивидуальна и эта статья написана мной исключительно для помощи в принятии самостоятельного решения, правильного конкретно для вас. Обязательно прочитайте материал о том, как Роскомнадзор будет применять законодательство о персональных данных в 2022 году Остаюсь с вами на связи.

Все вопросы по статье можно задать в чате Телеграм или в Я.Дзене. Следить за обновлениями контента удобнее в основном Телеграм-канале Поделитесь в соцсетях

Метки персональные данные Навигация записи Верховный суд утвердил Обзор судебной практики № 2Иностранный агент СМИ и порядок маркировки контента

Нужно ли нам регистрироваться в роскомнадзоре как оператор персональных данных?

Добрый день.

Коллеги в целом уже ответили на Ваш вопрос, я бы хотел дополнительно от себя еще раз обратить внимание на полный перечень требований законодательства по персональным данным.Действующее законодательство, и в первую очередь 152-ФЗ устанавливает ряд требований, касающихся обработки персональных данных. Основные требования:1. На своем сайте Вы должны разместить Политику конфиденциальности. При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас.

К Политике есть ряд требований. Если говорить о самых общих моментах (перечень не исчерпывающий), то Политика должна содержать: 1.1. Перечень персональных данных, которые Вы обрабатываете.1.2.

Сведения о способах обработки персональных данных.1.3. Должно быть прописано, что, проставляя галочку о согласии с политикой конфиденциальности Пользователь тем самым Пользователь дает свое согласие на обработку его персональных данных, указанных в Политике конфиденциальности.1.4. Цели использования персональных данных.1.5.

Принципы обработки персональных данных, которыми Вы руководствуетесь.1.6.

Меры, применяемые для защиты персональных данных.1.7.

Очень важный момент, про который многие забывают – если в процессе использования персональных данных, эти данные становятся доступны третьим лицам, в том числе в автоматическом режиме, например, лицам, которые просто помогают Вам в управлении сайтом, маркетинговому партнеру и т.д., то об этом обязательно (!) должно быть указано в политике. Это частая ошибка, которая приводит к тому, что Вам могут вменить незаконное разглашение персональных данных, несмотря на то, что Вы даже не думали ничего не нарушать. С этим мне неоднократно приходилось сталкиваться лично, Роскомнадзор за это активно штрафует.1.8.

Также в политику конфиденциальности нужно обязательно включить положение о том, что Вы вправе в любой момент изменить условия политики конфиденциальности в одностороннем порядке. Про это тоже часто забывают.1.9.

Еще нужен ряд положений, которые касаются того, что мол проставлением отметки Пользователь подтверждает, что он согласен со всеми условиями Политики конфиденциальности, что положения ему ясны и т.д.1.10. Также в Политике отдельное внимание должно быть уделено файлам cookie, про это тоже часто забывают, хотя это тоже важный момент.Это самый общий ряд требований, при этом стоит отметить, что каждый пункт должен быть сформулирован грамотно и должен учитывать конкретно Ваши нюансы. 2. На сайте должно быть Пользовательское соглашение (либо договор-оферта, либо лицензионное соглашение – в принципе это все одно и тоже).Стоит отметить, что с одной стороны ничто не мешает «запихать» положения о персональных данных (политику конфиденциальности) в пользовательское соглашение.

Однако лично я рекомендую эти документы разделять, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта нескольких моих клиентов просто не разглядел положения про персональные данные в пользовательском соглашении и повесил штраф. И хотя все это дело мы успешно оспорили, но лишний раз «давать повод» я не рекомендую, лучше перестраховаться.

В ситуации же когда Политика сделана отдельно, то ее пропустить уже невозможно и соответственно риск того, что кто-то просто не разглядит эти пункты в пользовательском соглашении, отпадают. Плюс ко всему если делать нормальную качественную политику конфиденциальности, то она получается не на 1 и не на 2 страницы, не говоря уже о пользовательском соглашении и если все совмещать, то Пользовательское соглашение вполне вероятно получится чрезмерно раздутым, что не очень удобно и при этом не стоит также забывать, что на Вас лежит обязанность по доведению до клиентов всей необходимой информации о реализуемых товарах/услугах и для целей выполнения этой обязанности делать плохо читаемые раздутые и неструктурированные документы не самая лучшая идея (например, по банкам есть судебная практика когда суды не признают написанное в документах мелким шрифтом, что мол нельзя в таком виде доводить информацию до клиентов, здесь может быть применена та же логика).Что касается требований к Пользовательскому соглашению (договору-оферте, лицензионному соглашению), то это предмет отдельного разговора, требований очень много и здесь они уже полностью зависят конкретно от Вашей ситуации и как следствие их нужно каждый раз обсуждать отдельно. Общая цель Пользовательского соглашения – расписать условия предоставления доступа к сервису и/или условия продажи товаров/услуг, описать предмет договора, права и обязанности сторон, порядок расчетов, порядок разрешения споров, ограничить Вашу ответственность (настолько, насколько это позволяет закон, частая ошибка – вопросам ответственности в Пользовательском соглашении изначально уделяют очень мало внимания и возвращаются к ним только после того как столкнутся с конкретной претензией от клиента или еще хуже с судебным иском, я всегда рекомендую все риски (настолько насколько это позволяет закон) закрывать изначально при подготовке документации).Также в Пользовательском соглашении можно прописать условие о договорной подсудности по месту Вашего нахождения (кстати в способе описания условия о договорной подсудности очень часто допускаются ошибки, и суды потом признают пункт о договорной подсудности не согласованным, если хотите, чтобы в случае чего судебные споры были по месту Вашего нахождения (не во всех случаях применимо), то нужно к описанию этого пункта подойти максимально ответственно и с учетом судебной практики).

3. Помимо непосредственно наличия самих документов, есть требования к самому сайту, а именно: 3.1. На сайте на абсолютно всех формах обратной связи, через которые может быть осуществлена передача персональных данных, должно быть окошечко, в котором Пользователи проставляют отметку о согласии с политикой конфиденциальности и пользовательским соглашением. Частая ошибка – делается политика конфиденциальности, а в окошечке Пользователь просто дает согласие с «обработкой персональных данных», а не с условиями Политики конфиденциальности и как следствие в этом случае фактически у Вас не будет подтверждения, что Пользователь согласился соблюдать условия политики конфиденциальности.

Надо понимать, что цель политики конфиденциальности – в том числе получение от Пользователя согласия с обработкой его персональных данных, поэтому еще отдельно брать с него согласие на саму обработку уже не нужно, только согласие с политикой конфиденциальности.3.2.

Без проставления отметки о согласии с политикой конфиденциальности и пользовательским соглашением Пользователь не должен иметь возможности отправить Вам свои персональные данные.

Это касается в том числе случаев даже если он Вам передает только имя, номер телефона или адрес электронной почты (это все относится к персональным данным – ст.

3 152-ФЗ).4. Политика конфиденциальности и Пользовательское соглашение касаются урегулирования вопросов обработки персональных данных Ваших клиентов/Пользователей сервиса. Однако если у Вас есть работники, то дополнительно также нужно, чтобы был комплект документов, регулирующих вопросы обработки персональных данных Ваших сотрудников. Основным документом, который выполняет эту задачу является положение об обработке персональных данных, либо часто его называют положением о коммерческой тайне (хотя коммерческая тайна это другое, многие называют его именно так, а в содержании все равно прописывают вопросы обработки персональных данных), название тут не принципиально, строгих требований к нему нет, главное содержание.

Я как правило предпочитаю объединять эти документы в один общий и именовать его

«Положение о коммерческой тайне и обработке персональных данных»

и в нем сразу урегулировать как вопросы коммерческой тайны, так и вопросы обработки персональных данных. Что касается требований к содержанию положения, то оно должно включать в себя:4.1.

Информацию о том, какие данные сотрудников обрабатываются.4.2.

Цели обработки персональных данных.4.3. Порядок ознакомления сотрудников компании с положением.4.4.

Порядок и сроки уведомления работниками работодателя об изменении своих персональных данных.4.5. Меры по защите персональных данных.4.6.

Порядок доступа отдельных работников к персональных данным сотрудников компании.4.7. Порядок хранения персональных данных.4.8.

Условия предоставления третьим лицам персональных данных сотрудников компании.

Стоит отметить, что данное положение представляет собой локальный нормативный акт работодателя (ст. 8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности: 1.

Данное положение должно быть утверждено приказом единоличного исполнительного органа (директора) компании. 2. Работники должны быть ознакомлены под подпись с содержанием указанного положения (п.6 ч.1 ст.

18.1 152-ФЗ). 5. Помимо приказа об утверждении положения, регулирующего вопросы обработки персональных данных, также у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст. 22.1 ФЗ № 152-ФЗ). Чаще всего им выступает сам директор компании, но это не обязательно. Каких-либо специфичных требований к приказу здесь нет, требования к нему общие – такие, как и к любому другому внутреннему приказу.6.

Помимо указанных документов также, как правило, Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).Уведомление направляется по онлайн форме — и плюс должно быть продублировано в письменном виде по обычной почте.

Здесь частая ошибка – люди считают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор.С точки зрения закона действительно далеко не все компании должны направлять уведомление в Роскомнадзор. Например, если Вы обрабатываете персональные данные только своих контрагентов по договорам, то у Вас нет обязанности по направлению уведомления в Роскомнадзор (это лишь один пример, исключений больше).Однако на сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять практически всегда, поскольку практически всегда компании помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также осуществляют иные формы обработки персональных данных.

Например, если Вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это уже не подпадает под исключение, поскольку у Вас с ними нет действующего договора. Поскольку, как правило, все хранят данные о тех клиентах, которые обратились, но еще не заключили договор или с которыми у Вас уже закончились договорные отношения, то в любом случае с точки зрения закона Вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор по указанной выше форме.Многие к сожалению, ошибочно полагают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор, за что потом Роскомнадзор их привлекает к ответственности.

7. Необходимо отметить, что приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии с 152-ФЗ.

Однако не стоит забывать, что если Сервис ориентирован также на международный рынок, в частности на европейских клиентов или клиентов из США, то тут возникают дополнительные требования. Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза

«О защите физических лиц при обработке персональных данных и о свободном обращении таких данных»

General Data Protection Regulation (GDPR), который вступил в силу с 25.05.2018 г.

Описывать все его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в полном соответствии со всеми требованиями GDPR.

В отношении других стран также следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, обязательно следует учесть требования Children’s Online Privacy Protection Act (COPPA).

В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать уже индивидуально и смотреть на кого ориентирован сервис.

8. Также еще частной ошибкой является хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст.

18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах, про это ни в коем случае нельзя забывать. Что касается ответственности, то за любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст.

13.11 КоАП РФ (там большой перечень видов нарушений, всего 7 частей в данной статье). При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 75000 руб.Также если речь идет о нарушении обязанностей по хранению и использованию персональных данных работников, то может грозить ответственность по ст.

5.27 КоАП, здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток.

Также непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ. Помимо прочего стоит отметить, что Роскомнадзор неоднократно обращал внимание, что существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст. 137 УК РФ.Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации набор требований может расширяться или наоборот сужаться.

При этом стоит обратить внимание, что если, например, есть требование о наличии на сайте политики конфиденциальности, то это не значит, что к нему можно подходить формально и использовать любую политику, так как просто наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.(!!!) Также обращаю ваше внимание, что, если что-то останется непонятным БОЛЕЕ ПОДРОБНУЮ УСТНУЮ ИЛИ ПИСЬМЕННУЮ КОНСУЛЬТАЦИЮ по ЛЮБЫМ вопросам обработки персональных данных, в том числе по требованиям 152-ФЗ, GDPR, COPPA, Вы всегда можете получить, обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта). (!!!) Также обратившись в чат ЛЮБОЙ может получить ПОМОЩЬ В РАЗРАБОТКЕ НЕОБХОДИМОЙ ДОКУМЕНТАЦИИ, касающейся исполнения требований российского и/или иностранного законодательства в сфере обработки персональных данных, в том числе помощь в разработке Политики конфиденциальности, Пользовательского соглашения (договора-оферты, лицензионного соглашения), положения о коммерческой тайне и обработке персональных данных, заполнении уведомления в Роскомнадзор, проведении аудита сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных.