Как ужесточились требования к работе с персональными данными в 2021 году — СКБ Контур

Как ужесточились требования к работе с персональными данными в 2021 году

Яна Аржанова 16 марта 2021

С 1 марта 2021 года действуют новые правила, которые обеспечивают дополнительную защиту персональных данных граждан. Теперь не допускается получение согласия на распространение таких данных «по умолчанию». А с 27 марта в два раза увеличиваются штрафы.

Изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным (ПД), внес Федеральный закон от 30.12.2020 № 519-ФЗ.

Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.

В этой статье рассмотрим следующие вопросы:

Что изменилось в обработке персональных данных с 1 марта
Требования к обработке персональных данных
За что и на какие суммы штрафуют в 2021 году
Что делать владельцу сайта, чтобы избежать штрафов
Конфиденциальность персональных данных: когда ее не нужно обеспечивать
Когда не нужно получать согласие на обработку персональных данных
Что такое портал персональных данных
Как еще планируют ужесточить обработку персональных данных

Что изменилось в обработке персональных данных с 1 марта

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Как прекратить передачу данных, разрешенных для распространения

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

ФИО;
контактные данные;
перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Согласие на обработку персональных данных: новые требования с 1 сентября 2021 года

Требования к обработке персональных данных

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

организующие и (или) осуществляющие обработку ПД;
определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

ФИО
дата рождения
адрес
телефон
электронный адрес
фотография
ссылка на персональный сайт
ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

За что и на какие суммы штрафуют в 2021 году

27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

Последний раз административную ответственность в этой сфере усиливали в 2017 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.

Обратите внимание на следующие нововведения:

1. За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.

2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.

Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.

3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.

Основание	Размер штрафа
Обработка ПД в случаях, не предусмотренных законодательством и несовместимая с целями сбора ПД	Для физлиц: штраф — от 2 000 до 6 000 руб. Для должностных лиц: штраф — от 10 000 до 20 000 руб. Для юрлиц: штраф — от 60 000 до 100 000 руб. При повторном нарушении Для физлиц: от 4 000 до 12 000 руб.; Для должностных лиц: от 20 000 до 50 000 руб.; Для ИП: от 50 000 до 100 000 руб.; Для юрлиц: от 100 000 до 300 000 руб.
Обработка ПД без письменного согласия субъекта	Для физлиц: от 6 000 до 10 000 руб. Для должностных лиц: от 20 000 до 40 000 руб. Для юрлиц: от 30 000 до 150 000 руб. При повторном нарушении Для граждан: от 10 000 до 20 000 руб.; Для должностных лиц: от 40 000 до 100 000 руб.; Для ИП: от 100 000 до 300 000 руб.; Для юрлиц: от 300 000 до 500 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПД, или сведениям по защите ПД	Для физлиц: 1 500 до 3 000 руб. Для должностных лиц: от 6 000 до 12 000 руб. Для юрлиц: от 30 000 до 60 000 руб. Для ИП: от 10 000 до 20 000 руб.
Непредоставление субъекту ПД информации по их обработке	Для физлиц: предупреждение или штраф — от 2 000 до 4 000 руб. Для должностных лиц: предупреждение или штраф — от 8 000 до 12 000 руб. Для юрлиц: предупреждение или штраф — от 40 000 до 80 000 руб. Для ИП: предупреждение или штраф — от 20 000 до 30 000 руб.
Невыполнение требования субъекта ПД или его представителя об уточнении, блокировке, уничтожении (если ПД неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)	Для физлиц: предупреждение или наложение штрафа в размере от 2 000 до 4 000 руб. Для должностных лиц: предупреждение или штраф — от 8 000 до 20 000 руб. Для юрлиц: предупреждение или штраф — от 50 000 до 90 000 руб. Для ИП: предупреждение или штраф — от 20 000 до 40 000 руб. При повторном нарушении Для граждан: от 20 000 до 30 000 руб. Для должностных лиц: от 30 000 до 50 000 руб. Для ИП: от 50 000 до 100 000 руб. Для юрлиц: от 300 000 до 500 000 руб.
Неисполнение обязанности по сохранности ПД, что привело к неправомерному или случайному доступу к ПД и стало причиной их уничтожения, изменения, блокирования, копирования	Для физлиц: от 1 500 до 4 000 руб. Для должностных лиц: от 8 000 до 20 000 руб. Для юрлиц: от 50 000 до 100 000 руб. Для ИП: от 20 000 до 40 000 руб.
Невыполнение государственным или муниципальным органом обязанности по обезличиванию ПД; несоблюдение требований по обезличиванию ПД	Для должностных лиц: предупреждение или наложение административного штрафа — от 6 000 до 12 000 руб.

Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.

В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?

Что делать владельцу сайта, чтобы избежать штрафов

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.

Например, на сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.

Минимизируйте риски: убедитесь, что персональные данные защищены в соответствии с ФЗ-152

Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
цель обработки ПД;
перечень ПД, на обработку которых субъект дает согласие;
наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
подпись субъекта ПД.

Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе.

Политика обработки персональных данных: как составить документ

Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда.

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Случаи, когда уведомление Роскомнадзора не требуется

Уведомлять Роскомнадзор не нужно, если ПД:

относятся к субъектам, которых связывают с оператором трудовые отношения;

Персональные данные сотрудника: как с ними работать

получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
являются общедоступными;
включают только ФИО субъектов ПД;
нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

Конфиденциальность персональных данных: когда ее не нужно обеспечивать

В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

в случае обезличивания ПД;
в отношении общедоступных ПД;
если данные включают только ФИО субъектов ПД;
для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда не нужно получать согласие на обработку персональных данных

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:

осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.

Что такое портал персональных данных

Сегодня все новости, аналитические материалы, важные документы, рекомендации по обработке персональных данных, реестр операторов и другую необходимую информацию можно найти на портале персональных данных. Ответственность за ресурс возложена на Роскомнадзор.

Как еще планируют ужесточить обработку персональных данных

Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.

Министерство предлагает запретить операторам:

использовать какую-либо дополнительную информацию, с помощью которой можно определить принадлежность персональных данных конкретному субъекту;
помимо обезличенных данных передавать третьим лицам информацию, позволяющую идентифицировать человека;
деобезличивать данные, за исключением случаев, когда необходимо защитить жизнь или здоровье человека.

Как уточнили в Минцифре, есть только одна причина, по которой обезличенные персональные данные можно использовать без согласия — в исследовательских и статистических целях.

Более детальная информация об обработке персональных данных — в материалах наших экспертов:

Пять базовых принципов закона о персональных данных, о которых нужно знать

Как подготовиться к плановой проверке ФСБ по персональным данным?

Проверка Роскомнадзора: как подготовиться и избежать штрафов

258299 просмотров

В избранное

152-ФЗ, Персональные данные, Риски

Подписаться ×

Защита персональных данных

Построение систем защиты информационных систем персональных данных, аттестация ИСПДн. Подготовка к проверкам Роскомнадзора, ФСТЭК, ФСБ.

Узнать больше

Пользователь 3 апреля 2018

Добрый день. Скажите, пожалуйста, а что следует после подачи уведомления об обработке персональных данных в Роскомнадзор, как орган будет проверять, что требования выполняются? И нужно ли будет сдавать какие-либо отчеты?

Яна Аржанова, главный редактор 12 апреля 2018

Здравствуйте! Про виды проверок можно почитать здесь: https://kontur.ru/articles/1775
Отчеты не требуются.

Stas Volchkov 6 июня 2018

Подскажите, пожалуйста, на каком основании "галочка" под веб-формой согласия на обработку персональных данных является электронной подписью? В соответствии с ФЗ-152 "Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью."
Спасибо.

ЯА

Яна Аржанова 6 июня 2018

Добрый день! По этому вопросу даются пояснения на сайте Роскомнадзора: "Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме" https://rkn.gov.ru/news/rsoc/news51712.htm.

Данил 2 апреля 2021

Яна Аржанова, почему же у вас на сайте, на странице "Запросить цену" галочки нет?

ЭГ

Эльдар Гайнутдинов 22 ноября 2018

В ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ говорится о праве осуществлять обработку ПДн без уведомления Роскомнадзора в определенных ситуациях, а о том, что операторы не должны обеспечивать конфиденциальность персональных данных, нет ни слова.

ДС

Дмитрий Сухоруков 15 июля 2019

Есть ли штраф за неуведомление Роскомнадзора, при том что остальные требования соблюдены?

Яна Аржанова, главный редактор 15 июля 2019

В ст. 22 № 152-ФЗ содержится ряд исключений, при которых уведомлять Роскомнадзор не нужно. Если к вам они не относятся, то подавать уведомление нужно, иначе есть вероятность того, что Роскомнадзор сам пришлет вам письмо-напоминание: https://rkn.gov.ru/news/rsoc/news14407.htm

Ответственность предусмотрена ст. 19.7 КоАП РФ "Непредставление сведений (информации)":
Непредставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), муниципальный контроль, сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), муниципальный контроль, таких сведений (информации) в неполном объеме или в искаженном виде, <...> влечет:
предупреждение или наложение административного штрафа на граждан в размере от 100 до 300 рублей;
на должностных лиц - от 300 до 500 рублей;
на юридических лиц - от 3000 до 5000 рублей.

Павел 18 марта 2021

Согласно требованиям ч.5 ст. 2.1 54-ФЗ в случае расчетов в безналичном порядке в сети "Интернет" и невозможности прямого взаимодействия с клиентом, исполнитель (продавец) обязан обеспечить передачу клиенту кассового чека в электронной форме на абонентский номер либо адрес электронной почты. Может ли исполнитель согласно п.2 и п.6 ч.1 ст. 6 152-ФЗ не получать согласие на обработку ПД, а именно абонентский номер и/или адрес электронной почты, для исполнения этих требований?

Яна Аржанова, главный редактор 28 марта 2021

Павел, добрый день. Не совсем понятно, как вы будете передавать клиенту кассовый чек в электронной форме, если не собираетесь запрашивать у него номер телефона или адрес электронной почты.
Обычно клиент передает вам эти данные в момент регистрации на сайте и при создании личного кабинета. В этом случае согласие на обработку ПД становится одним из этапов регистрации, то есть клиенту нужно обязательно поставить галочку о том, что он согласен на обработку ПД, чтобы завершить регистрацию.

Павел 29 марта 2021

Яна Аржанова, добрый день! У нас на сайте отсутствует личный кабинет и в принципе какой-либо сбор данных. В этом собственно и вопрос: как запрашивать у него эти данные? 80% наших клиентов оплачивает услуги через мобильный банк (именно совершает оплату по QR на квитанции). Банк в реестре ПД не передаёт, только лицевой счёт и сумму оплаты.

Яна Аржанова, главный редактор 29 марта 2021

Павел, добрый день! Вы можете описать подробнее схему взаимодействия с клиентами? Как они заказывают у вас товар? Как вы передаете им квитанции с QR-кодом?

Павел 29 марта 2021

Яна Аржанова, спасибо за обратную связь. Мы оказываем услуги по ежемесячному техническому обслуживанию оборудования физических лиц. Практически в 100% случаев договора на обслуживание заключались ещё до вступления в силу 54-ФЗ, поэтому в договоре такие поля как номер мобильного телефона и адрес электронной почты были необязательными к заполнению. Квитанции передаём через почтовые ящики. Далее, как я уже описывал, клиенты оплачивают удобным им способом.

Яна Аржанова, главный редактор 1 апреля 2021

Павел, поскольку в данном случае вопрос об обработке персональных данных связан с выдачей чеков, то пришлось привлечь эксперта Контура по ККТ Оксану Кобзеву.

Давайте по порядку, чтобы было понятно.
Обработка ПД возможна с согласия субъекта ПД. Но, согласно ч. 1 ст. 6 Закона о ПД, обработка ПД, необходимая для достижения целей, предусмотренных международным договором РФ или законом, для выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей допускается без согласия субъекта ПД.

Согласие на обработку данных, разрешенных субъектом для распространения, оформляется отдельно от иных согласий на обработку данных, разрешенных субъектом для распространения ( ст. 10.1 Закона о ПД ).

Если клиент предоставил продавцу (пользователю ККТ) до момента расчета номер телефона или адрес электронной почты, продавец обязан отправить ему чек или БСО в электронной форме на один из указанных контактов, но при наличии технической возможности для этого. Об этом говорится в ст. 1.2 Закона о ККТ.

Какой следует из этого вывод:
Отправляя электронные чеки или БСО на электронную почту или номера телефонов, вы тем самым выполняете требования п. 2 ч. 1 ст. 6 Закона о ПД. В таком случае согласие на обработку ПД не требуется, но при последующем использовании ПД или их использовании в целях, не связанных с исполнением договора, вам нужно будет получить согласие.

В п. 5.3 ст. 1.2 Закона о ККТ есть отдельные положения для ситуаций, когда у поставщика услуг или продавца нет телефона или электронной почты клиента. Это как раз ситуации, когда услуга оплачивается через кассира банка на расчетный счет продавца или, например, по QR-коду, сюда же можно отнести «магазины на диване», когда в лучшем случае у продавца есть почтовый адрес. Для таких ситуаций пользователь ККТ формирует чек до конца следующего рабочего дня после поступления оплаты на расчетный счет, чек уходит в этот момент в ФНС, а вот клиенту бумажный чек можно передать либо при первом контакте – это для услуг, либо вложить в посылку с товаром – это при оплате товаров. Может так случиться, что контакта и не будет, главное – чек сформировать и передать в ФНС, а уж отправка клиенту в таких ситуациях – дело случая, особенно при услугах.

Павел 1 апреля 2021

Яна Аржанова, огромное спасибо!

Леонид 21 марта 2021

У нас турагентсво. При заключении договора, берем отдельное согласие на обработку ПД (в т.ч. трансграничную). Но в договоре помимо заказчика есть еще и туристы которые в офис не приходят, но сведения о них собираются и передаются. Как быть в этом случае?

Яна Аржанова, главный редактор 28 марта 2021

Леонид, если я правильно понимаю, то в вашем случае турагент передает вам, туроператору, данные туристов. И получается, что туристы передают свои данные через турагента третьему лицу, то есть туроператору.
Я вам советую ознакомиться с Памяткой для туристических операторов и агентств, которую составил Роскомнадзор.

Николай 22 марта 2021

Добрый день, я работаю в ФКУКиИ "Культурный центр МВД России" как вольно наёмный сотрудник и меня ОБЯЗЫВАЮТ подписать согласие на обработку персональных данных субъектов персональных для нужд бухгалтерии. Отказ от подписания грозил мне не выплату заработной платы. Прочитав ФЗ № 152 от 27.07.2006 г. не нашёл п. в котором прописано, что я обязан подписывать согласие о ПД являясь вольно наёмный сотрудник, подскажите пожалуйста на какой закон и п. в нём я могу сослаться, что бы отказать от подписания согласия на обработку ПД без последствия не выплаты заработной платы или всё-таки какой-то закон обязывает меня подписать согласие на обработку ПД работая в ФКУКиИ "Культурный центр МВД России" как вольно наёмный сотрудник?

Яна Аржанова, главный редактор 28 марта 2021

Николай, добрый день. Согласно ст. 5 Закона № 152-ФЗ "обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных". В данном случае, как следует из описания ситуации, бухгалтерии нужны ваши персональные данные для выплаты зарплаты. В противном случае вам просто не смогут выплатить деньги.

НЧ

Наталья Чебаница 25 марта 2021

Подскажите, не могу понять, если клиент просит отправить электронный чек на почту или телефон, нужно получать согласие на обработку ПД?

Яна Аржанова, главный редактор 28 марта 2021

Наталья Чебаница, добрый день. Согласие на обработку персональных данных вы получаете от клиента в тот момент, когда он создает личный кабинет в интернет-магазине, чтобы купить товар. Обычно в форме для внесения данных есть пункт "Политика обработки персональных данных", напротив которого клиенту предлагается поставить галочку.

Павел 29 марта 2021

Яна Аржанова, а если речь не об интернет-магазине?

Яна Аржанова, главный редактор 29 марта 2021

Павел, если покупатель перед оплатой просит, помимо бумажного чека, прислать электронный, то, согласно п. 2 ст. 1.2 Закона № 54-ФЗ, кассир обязан это сделать. При этом отправка по номеру телефона — обязанность. А на электронную почту чеки отправляют, если ККТ технически поддерживает такую опцию.

Я не видела официальных разъяснений по вопросу о том, нужно ли получать согласие на обработку ПД в том случае, когда в момент офлайн-покупки клиент просит ему прислать электронный чек. Но можно рассуждать логически. Если клиент просит это сделать, то кассир по закону обязан выполнить его просьбу. В то же время, согласно Закону о персональных данных (ст. 6 Закона 152-ФЗ), один из принципов обработки ПД - это обработка, необходимая для достижения законных целей для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей. В данном случае кассир как раз и выполняет ту обязанность, которую на него возлагает Закон о ККТ.
И еще важная деталь: закон не обязывает кассира проверять, действительно ли названный имейл или номер телефона принадлежит конкретному покупателю. Условно: покупатель-мужчина может назвать вам имейл своей жены, но вы знать об этом не можете.

ЕГ

Елена Гейко 26 марта 2021

Добрый день. Простому человеку, не знакомому с бюрократическим языком, будет не понятны эти пространные формулировки. Честно говоря это похоже на то, как если бы человек чихнул и отправил об этом отчетность в гос.орган.

Яна Аржанова, главный редактор Изменен 1 апреля 2021

Елена Гейко, все законодательство написано таким языком. Надо разбираться, чтобы избежать штрафов. Особенно простым людям, которые имеют непосредственное отношение к исполнению требований закона.

Пользователь 29 марта 2021

Добрый день! если при оформлении трудового договора работник подписал согласие на обработку персональных данных, нужно ли сейчас в связи с новыми изменениями еще что то подписывать с ним?

Яна Аржанова, главный редактор 1 апреля 2021

Пользователь, нет, последние изменения больше относятся к бизнесу, который планирует использовать эти данные в маркетинговых целях (например, банк передает ваши данные третьему лицу - партнеру, чтобы тот рассылал свои сообщения). Плюс еще изменения связаны с увеличением штрафов. Вообще по работе с ПД сотрудников (и даже кандидатов на этапе сбора резюме) у нас есть отдельная статья Персональные данные сотрудника: как с ними работать.

Пользователь 1 апреля 2021

Яна Аржанова, спасибо за ответ)

Юлия 30 марта 2021

Доброе утро. Тоже интересует вопрос, если у нас есть Положение о ПД, согласия всех работников на обработку ПД, приказы по организации о назначении ответственных лиц, нужно ли сейчас что то еще дополнительно - согласия на распространение. Также у нас нет Политики обработки ПД. И Роскомнадзор мы не уведомляли.

Яна Аржанова, главный редактор 1 апреля 2021

Юлия, я думаю, что на свои вопросы вы найдете ответы в отдельной статье Персональные данные сотрудника: как с ними работать.

Юлия 30 марта 2021

Про уведомление сама прочитала в законе). А вот нужно ли регистрироваться в информационной системе Роскомнадзора, если у нашей организации только трудовые отношения с работниками

Яна Аржанова, главный редактор Изменен 1 апреля 2021

Юлия, нет не нужно. Ст. 22 Закона о ПД содержит ряд исключений, когда уведомление не требуется. Регистрация в информационной системе Роскомнадзора, соответственно тоже не нужна (насколько я понимаю, в эту систему ведомство вносит организацию после того, как оно подает уведомление). Обработка ПД в рамках трудового законодательства как раз относится к исключениям.

Елена 30 марта 2021

Вправе ли торговая сеть запрашивать ПД ( паспортные данные, адрес) в анкете при оформлении карты лояльности ( бонусной карты)?

Яна Аржанова, главный редактор Изменен 1 апреля 2021

Елена, ст. 5 Закона о ПД гласит, что обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Следовательно, возникает вопрос: для чего магазину ваши паспортные данные? Какую цель он преследует, запрашивая их?

То же самое с адресом. Зачем он магазину? Если, например, это магазин товаров для дома, который планирует присылать вам бумажные каталоги, а вы как раз хотите их получать, потому и оставляете свой адрес, то тогда цель сбора адресов обоснована.

Вообще, мне кажется, сбором таких данных магазины занимались до 2017 года, когда еще не были введены ощутимые штрафы за нарушения.

ЕП

Екатерина Пелевина Изменен 5 апреля 2021

Здравствуйте! Наша компания занимается электромонтажными работами. Периодически участвует в аукционах на ЭТП, подавая для заказчика в аукционной заявке такие данные на сотрудников, как ФИО, образование, допуски к работам. Согласие на обработку ПД берутся при поступлении на работу. Нужно ли в таком случае брать от работников согласия на передачу ПД и уведомлять Роскомнадзор?

Яна Аржанова, главный редактор 14 апреля 2021

Екатерина Пелевина, добрый день!

На ваш вопрос отвечает эксперт в сфере закупок Елена Ежова:
"Если закупка по 44-ФЗ, то участник еще при регистрации в ЕИС дает необходимые согласия на разглашение сведений.
Когда процедура по 223-ФЗ или коммерческая, то тут необходимые формы согласий заказчик будет прикладывать в документации для обязательного заполнения участниками".

Ольга 7 апреля 2021

Здравствуйте! В розничном магазине при возврате товара покупателем заполняется заявление на возврат, в нем указываются паспортные данные, ФИО покупателя. Нужно брать согласие у покупателя на сбор этих данных, регистрироваться как оператор ПД? Еще такой вопрос: при продаже охотничьих патронов заполняется журнал продаж с ПД покупателя, а именно, ФИО, адрес, номер разрешения на хранение и ношение оружия. Нужно ли брать письменное согласие с покупателя и также регистрироваться как оператор ПД? Спасибо!

ЕК

Елена Котова 7 апреля 2021

Здравствуйте. При приеме на работу берем с сотрудников согласие на обработку перс. данных и там есть пункт для чего собираются эти данные: "- предоставления сведений в кредитную организацию для оформления банковской карты и перечисления на нее заработной платы;". В таком случае Роскомнадзор так же не надо уведомлять?

ВМ

Валерий Михайлов 7 апреля 2021

Добрый день ! Я как работник заключил бессрочный договор с работодателем (субъект с оператором), НО ! как выяснилось Работодатель по договору с аутсорсинговой компанией заключил договор на ведение кадровой и бухгалтерской деятельности.
Получается.... Оператор незаконно распространяет ПДн ? Что в этом случае ? мне как субъекту необходимо оформить Согласие с аутсорсинговой компанией ? И является ли данном случае аутсорсинговая компания Оператором с необходимостью уведомления в РКН ?
Спасибо.

ЮГ

Юрий Голубев 9 апреля 2021

"Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях..."
Открыл Закон, там написано: "Обработка персональных данных допускается в следующих случаях:". То есть эта статья про случаи, когда можно обрабатывать ПДн!
О том, что не требуется согласие, там не сказано. Наоборот, п.1. именно на согласие и указывает.

Veronikabel 16 апреля 2021

А если сайт работает только с юридическими лицами, то что нам нужно иметь на сайте?

Валерй 4 мая 2021

в банке при получении дебетовой карты и подписании договора в п.п.... указано "согласен на обработку и передачу ПД третьим лицам" и "не согласен на обработку и передачу ПД третьим лицам" я выбрал пункт " не согласен ...далее по тексту" банк отказал мне в выдачи карты и заключении договора. Банк прав ? Мои права нарушены ?

ЕК

Елена Карандашова 12 мая 2021

Здравствуйте. Есть ли необходимость разрабатывать в организации положение о работе с персданными работников или достаточно прописать в трудовом договоре? или вообще не нужно ничего, т.к. трудовые отношения? Спасибо.

Андрей 19 мая 2021

Добрый день. Мне управляющая компания послала письмо. Служба доставки требует вписать квитанцию о доставке: ФИО и паспортные данные. Могу ли отказаться вписывать паспортные данные? Ведь я не давал им разрешение на обработку ПДн. Доставка ,частная компания не Почта России.

АШ

Александр Швецов 25 мая 2021

Здравствуйте, сервисный центр по ремонту бытовой техники принимает в ремонт аппаратуру. При этом для связи с клиентом требуется его ФИО, телефон и адрес (для информирования клиента о готовности аппарата, согласования стоимости ремонта и др.) Организация не собирается предоставлять ПД третьим лицам.
Нужно ли в договоре о ремонте иметь пункт о том, что клиент согласен на обработку ПД?

Татьяна 25 мая 2021

Здравствуйте, надо ли подписывать согласие на обработку своих персональных данных при заселении в гостиницу?

Алёна 29 мая 2021

Здравствуйте! Оказываю услуги дизайнера. На сайте собираю исключительно ФИО, телефон и адрес электронной почты. Статьей 9 Федерального закона № 152-ФЗ установлены требования к содержанию согласия на обработку персональных данных, среди которых адрес и номер документа, удостоверяющего личность. Я правильно понимаю, что при получении согласия мной производится и сбор также и указанных сведений? Получается, что теперь проставления галочки форме недостаточно, нужно, чтобы субъект ПД заполнял форму с необходимыми полями? Заранее спасибо.

Эля 16 июля 2021

Субъект ПД (студент), давший ранее согласие на обработку ПД, поменял паспорт (при достижении 20 лет) и сообщает новые паспортные данные оператору (в университет), требуется ли с него взять новое согласие на обработку ПД?

Павел 26 июля 2021

Подскажите, пожалуйста, если клиент после прохождения обучения оставил видео отзыв, при каких условиях мы можем этот отзыв размещать на сайте?

Екатерина 12 августа 2021

здравствуйте, между ТСЖ и собственником какое должно быть согласие обработку ПД??? Нигде не могу найти хороший пример

Ил

Имеет ли работодатель требовать согласие на обрабо 28 августа 2021

тку персональных данных и грозить увольнением? Имеет ли рабрчий отказаться, мы ведьживем в свободной стране?

Александра 1 сентября 2021

Добрый день, Яна.
В этом году в нашем обл..театре поменялось руководство. Работодатель принуждает давать обязательное письменное согласие на обработку ПД третьим лицам " своей волей, в своём интересе ". В первом экземпляре Согласия стоял текст о праве Оператора " осуществлять с моими общедоступными данными все способы обработки, действия( операции), а также передачу неопределённому кругу лиц путём размещения в общедоступных источниках. На неуказанный перечень данных просто стояла ссылка. Понятно, никто не стал подписывать такой безграмотный документ. Юрист " доработал" и составил Согласие на поручение обработки всех , наверное, имеющихся данных( через запятую, в 11 строк) и иных сведений- строго необходимых для достижения цели обработки ПД. Рассказывали о едином бух.облаке, которое будет начислять нам зарплату. Некоторые не подписали, но после отпуска псих.давлением, индивидуальными беседами," голыми окладами", угрозами неоплаты казенного жилья- принудили почти всех. Остались три " неподписанта". Руководству нужно 100%. Неподписантов вынуждают уволиться. Прозвучало даже- вот, если вы не подпишите, сократят трёх бухгалтеров. Я знаю, что 152 ФЗ подразумевает как дачу Согласия, так и отказ от него. Наш производственный цех, нужный театру, бездумно уничтожается " новой властью"- увольнять мы вас не хотим , но нам надо 100%. Подскажите пожалуйста, что делать?

Татьяна 2 сентября 2021

Здравствуйте!
Пытаюсь оставить отзыв о компании в поисковых системах (яндекс, гугл, 2гис)
Вынуждают ставить галочку: "Обработка и передача передача персональных данных", а также доступ к данным в телефоне (контакты, картинки и др.). Если не поставлю, то написать отзыв или заказать продукцию не смогу.
Что делать, как с этим пренуждение бороться?
При этом я согласна оставить в рамках отзыва или заказа ФИО и номер телефона (что уже является ПД), но вынуждают ставить глачку где я не могу ограничить компанию по монипуляциям с моимии данными.
Это что получается, вымогательство???

Людмила 15 сентября 2021

Добрый день. Нужно ли брать согласие на обработку и распространение ПД с граждан, записывающихся на личный прием к руководителю?

Алена 16 сентября 2021

Добрый день. Нигде не могу найти комментарии, как разрешать ситуации противоречия закона о персональных данных с законом о ФИС ФРДО. Первый обязывает действовать только с согласия субъекта, второй - передавать персональные данные (причем в полном объеме) в федеральную систему. И в том, и в другом случае предусмотрены штрафы. Как быть, если субъект не дает согласие, а передавать сведения о выданных документах нужно? Еще более частный случай: субъект дает согласие на часть персональных данных, но федеральная система принимает сведения лишь в полном требуемом объеме, в таком случае как действовать и не нарушить ни один из законов?

Марина 24 сентября 2021

Подскажите, при записи ребёнка в спортивную секцию требуют не только паспортные данные и данные свидетельства о рождении, но и ксерокопии всех документов( паспорта родителя и свидетельства о рождении ребёнка) законно ли это?

Оксана 28 сентября 2021

Можно вопрос. Мы выдаем в прокат инвентарь, берем в залог СНИЛС или права. Надо ли нам подписывать у клиента согласие на обработку. Спасибо

Алла 20 ноября 2021

При заключении договора между юридическими лицами на оказание услуг связи (телефон) и Интернет, контрагент требует предоставить ПД (паспортные данные) работников, которые будут использовать оборудование ( линия связи, роутер, коммуникатор и т. п.) . Это, практически, весь коллектив. При этом контрагент возлагает ответственность за получение согласия на обработку ПД на нас. При этом, в договоре есть оговорка о том, что он гарантирует конфиденциальность ПД. Прямого отношения персональные данные работников к предмету договора не имеют. Нужно ли заключать какое либо соглашение об обработке ПД контрагентом? Или оговорки о гарантиях конфиденциальности достаточно?

Константин 3 декабря 2021

Добрый день! Сертификат подписи открытого ключа является объектом ПД?
Сертификат содержит ИНН и СНИЛС физ лица. Но согласно идеологии Инфраструктуры Открытых Ключей, чем больше людей знают данные сертификата, тем лучше

Михаил 27 января

Здравствуйте, мы являемся брокерами(посредниками) между банками и клиентами на получение кредита, факторинга и т.д..
Клиенты высылают нас на почту свои паспорта, реквизиты и все необходимое для документов. Нам нужно что-то предпринимать? Что бы они подписывали, что согласны на обработку персональных данных? Или в этом нет необходимости ?

Пользователь 6 апреля

Добрый день. К нам обратился родственник (внук) через доверенное лицо (доверенность предоставлена) умерших работников (давно работали). У нас образовательное учреждение. Ему нужны их персональные данные, те, что записаны в личных делах. В каком случае мы можем дать их? А в каком отказать? И в какой период времени нужно дать ответ?