Как ужесточились требования к работе с персональными данными в 2021 году

Яна Аржанова 16 марта

С 1 марта 2021 года действуют новые правила, которые обеспечивают дополнительную защиту персональных данных граждан. Теперь не допускается получение согласия на распространение таких данных «по умолчанию». А с 27 марта в два раза увеличиваются штрафы. 

57 комментариев
П
Пользователь 3 апреля 2018
Добрый день. Скажите, пожалуйста, а что следует после подачи уведомления об обработке персональных данных в Роскомнадзор, как орган будет проверять, что требования выполняются? И нужно ли будет сдавать какие-либо отчеты?
Яна Аржанова, главный редактор 12 апреля 2018
Здравствуйте! Про виды проверок можно почитать здесь: https://kontur.ru/articles/1775
Отчеты не требуются.
SV
Stas Volchkov 6 июня 2018
Подскажите, пожалуйста, на каком основании "галочка" под веб-формой согласия на обработку персональных данных является электронной подписью? В соответствии с ФЗ-152 "Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью."
Спасибо.
ЯА
Яна Аржанова 6 июня 2018
Добрый день! По этому вопросу даются пояснения на сайте Роскомнадзора: "Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме" https://rkn.gov.ru/news/rsoc/news51712.htm.
Д
Данил 2 апреля
Яна Аржанова, почему же у вас на сайте, на странице "Запросить цену" галочки нет?
ЭГ
Эльдар Гайнутдинов 22 ноября 2018
В ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ говорится о праве осуществлять обработку ПДн без уведомления Роскомнадзора в определенных ситуациях, а о том, что операторы не должны обеспечивать конфиденциальность персональных данных, нет ни слова.
ДС
Дмитрий Сухоруков 15 июля 2019
Есть ли штраф за неуведомление Роскомнадзора, при том что остальные требования соблюдены?
Яна Аржанова, главный редактор 15 июля 2019
В ст. 22 № 152-ФЗ содержится ряд исключений, при которых уведомлять Роскомнадзор не нужно. Если к вам они не относятся, то подавать уведомление нужно, иначе есть вероятность того, что Роскомнадзор сам пришлет вам письмо-напоминание: https://rkn.gov.ru/news/rsoc/news14407.htm

Ответственность предусмотрена ст. 19.7 КоАП РФ "Непредставление сведений (информации)":
Непредставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), муниципальный контроль, сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), муниципальный контроль, таких сведений (информации) в неполном объеме или в искаженном виде, <...> влечет:
предупреждение или наложение административного штрафа на граждан в размере от 100 до 300 рублей;
на должностных лиц - от 300 до 500 рублей;
на юридических лиц - от 3000 до 5000 рублей.
П
Павел 18 марта
Согласно требованиям ч.5 ст. 2.1 54-ФЗ в случае расчетов в безналичном порядке в сети "Интернет" и невозможности прямого взаимодействия с клиентом, исполнитель (продавец) обязан обеспечить передачу клиенту кассового чека в электронной форме на абонентский номер либо адрес электронной почты. Может ли исполнитель согласно п.2 и п.6 ч.1 ст. 6 152-ФЗ не получать согласие на обработку ПД, а именно абонентский номер и/или адрес электронной почты, для исполнения этих требований?
Яна Аржанова, главный редактор 28 марта
Павел, добрый день. Не совсем понятно, как вы будете передавать клиенту кассовый чек в электронной форме, если не собираетесь запрашивать у него номер телефона или адрес электронной почты.
Обычно клиент передает вам эти данные в момент регистрации на сайте и при создании личного кабинета. В этом случае согласие на обработку ПД становится одним из этапов регистрации, то есть клиенту нужно обязательно поставить галочку о том, что он согласен на обработку ПД, чтобы завершить регистрацию.
П
Павел 29 марта
Яна Аржанова, добрый день! У нас на сайте отсутствует личный кабинет и в принципе какой-либо сбор данных. В этом собственно и вопрос: как запрашивать у него эти данные? 80% наших клиентов оплачивает услуги через мобильный банк (именно совершает оплату по QR на квитанции). Банк в реестре ПД не передаёт, только лицевой счёт и сумму оплаты.
Яна Аржанова, главный редактор 29 марта
Павел, добрый день! Вы можете описать подробнее схему взаимодействия с клиентами? Как они заказывают у вас товар? Как вы передаете им квитанции с QR-кодом?
П
Павел 29 марта
Яна Аржанова, спасибо за обратную связь. Мы оказываем услуги по ежемесячному техническому обслуживанию оборудования физических лиц. Практически в 100% случаев договора на обслуживание заключались ещё до вступления в силу 54-ФЗ, поэтому в договоре такие поля как номер мобильного телефона и адрес электронной почты были необязательными к заполнению. Квитанции передаём через почтовые ящики. Далее, как я уже описывал, клиенты оплачивают удобным им способом.
Яна Аржанова, главный редактор 1 апреля
Павел, поскольку в данном случае вопрос об обработке персональных данных связан с выдачей чеков, то пришлось привлечь эксперта Контура по ККТ Оксану Кобзеву.

Давайте по порядку, чтобы было понятно.
Обработка ПД возможна с согласия субъекта ПД. Но, согласно ч. 1 ст. 6 Закона о ПД, обработка ПД, необходимая для достижения целей, предусмотренных международным договором РФ или законом, для выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей допускается без согласия субъекта ПД.

Согласие на обработку данных, разрешенных субъектом для распространения, оформляется отдельно от иных согласий на обработку данных, разрешенных субъектом для распространения ( ст. 10.1 Закона о ПД ).

Если клиент предоставил продавцу (пользователю ККТ) до момента расчета номер телефона или адрес электронной почты, продавец обязан отправить ему чек или БСО в электронной форме на один из указанных контактов, но при наличии технической возможности для этого. Об этом говорится в ст. 1.2 Закона о ККТ.

Какой следует из этого вывод:
Отправляя электронные чеки или БСО на электронную почту или номера телефонов, вы тем самым выполняете требования п. 2 ч. 1 ст. 6 Закона о ПД. В таком случае согласие на обработку ПД не требуется, но при последующем использовании ПД или их использовании в целях, не связанных с исполнением договора, вам нужно будет получить согласие.

В п. 5.3 ст. 1.2 Закона о ККТ есть отдельные положения для ситуаций, когда у поставщика услуг или продавца нет телефона или электронной почты клиента. Это как раз ситуации, когда услуга оплачивается через кассира банка на расчетный счет продавца или, например, по QR-коду, сюда же можно отнести «магазины на диване», когда в лучшем случае у продавца есть почтовый адрес. Для таких ситуаций пользователь ККТ формирует чек до конца следующего рабочего дня после поступления оплаты на расчетный счет, чек уходит в этот момент в ФНС, а вот клиенту бумажный чек можно передать либо при первом контакте – это для услуг, либо вложить в посылку с товаром – это при оплате товаров. Может так случиться, что контакта и не будет, главное – чек сформировать и передать в ФНС, а уж отправка клиенту в таких ситуациях – дело случая, особенно при услугах.
П
Павел 1 апреля
Яна Аржанова, огромное спасибо!
Л
Леонид 21 марта
У нас турагентсво. При заключении договора, берем отдельное согласие на обработку ПД (в т.ч. трансграничную). Но в договоре помимо заказчика есть еще и туристы которые в офис не приходят, но сведения о них собираются и передаются. Как быть в этом случае?
Яна Аржанова, главный редактор 28 марта
Леонид, если я правильно понимаю, то в вашем случае турагент передает вам, туроператору, данные туристов. И получается, что туристы передают свои данные через турагента третьему лицу, то есть туроператору.
Я вам советую ознакомиться с Памяткой для туристических операторов и агентств, которую составил Роскомнадзор.
Н
Николай 22 марта
Добрый день, я работаю в ФКУКиИ "Культурный центр МВД России" как вольно наёмный сотрудник и меня ОБЯЗЫВАЮТ подписать согласие на обработку персональных данных субъектов персональных для нужд бухгалтерии. Отказ от подписания грозил мне не выплату заработной платы. Прочитав ФЗ № 152 от 27.07.2006 г. не нашёл п. в котором прописано, что я обязан подписывать согласие о ПД являясь вольно наёмный сотрудник, подскажите пожалуйста на какой закон и п. в нём я могу сослаться, что бы отказать от подписания согласия на обработку ПД без последствия не выплаты заработной платы или всё-таки какой-то закон обязывает меня подписать согласие на обработку ПД работая в ФКУКиИ "Культурный центр МВД России" как вольно наёмный сотрудник?
Яна Аржанова, главный редактор 28 марта
Николай, добрый день. Согласно ст. 5 Закона № 152-ФЗ "обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных". В данном случае, как следует из описания ситуации, бухгалтерии нужны ваши персональные данные для выплаты зарплаты. В противном случае вам просто не смогут выплатить деньги.
НЧ
Наталья Чебаница 25 марта
Подскажите, не могу понять, если клиент просит отправить электронный чек на почту или телефон, нужно получать согласие на обработку ПД?
Яна Аржанова, главный редактор 28 марта
Наталья Чебаница, добрый день. Согласие на обработку персональных данных вы получаете от клиента в тот момент, когда он создает личный кабинет в интернет-магазине, чтобы купить товар. Обычно в форме для внесения данных есть пункт "Политика обработки персональных данных", напротив которого клиенту предлагается поставить галочку.
П
Павел 29 марта
Яна Аржанова, а если речь не об интернет-магазине?
Яна Аржанова, главный редактор 29 марта
Павел, если покупатель перед оплатой просит, помимо бумажного чека, прислать электронный, то, согласно п. 2 ст. 1.2 Закона № 54-ФЗ, кассир обязан это сделать. При этом отправка по номеру телефона — обязанность. А на электронную почту чеки отправляют, если ККТ технически поддерживает такую опцию.

Я не видела официальных разъяснений по вопросу о том, нужно ли получать согласие на обработку ПД в том случае, когда в момент офлайн-покупки клиент просит ему прислать электронный чек. Но можно рассуждать логически. Если клиент просит это сделать, то кассир по закону обязан выполнить его просьбу. В то же время, согласно Закону о персональных данных (ст. 6 Закона 152-ФЗ), один из принципов обработки ПД - это обработка, необходимая для достижения законных целей для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей. В данном случае кассир как раз и выполняет ту обязанность, которую на него возлагает Закон о ККТ.
И еще важная деталь: закон не обязывает кассира проверять, действительно ли названный имейл или номер телефона принадлежит конкретному покупателю. Условно: покупатель-мужчина может назвать вам имейл своей жены, но вы знать об этом не можете.
ЕГ
Елена Гейко 26 марта
Добрый день. Простому человеку, не знакомому с бюрократическим языком, будет не понятны эти пространные формулировки. Честно говоря это похоже на то, как если бы человек чихнул и отправил об этом отчетность в гос.орган.
Яна Аржанова, главный редактор Изменен 1 апреля
Елена Гейко, все законодательство написано таким языком. Надо разбираться, чтобы избежать штрафов. Особенно простым людям, которые имеют непосредственное отношение к исполнению требований закона.
П
Пользователь 29 марта
Добрый день! если при оформлении трудового договора работник подписал согласие на обработку персональных данных, нужно ли сейчас в связи с новыми изменениями еще что то подписывать с ним?
Яна Аржанова, главный редактор 1 апреля
Пользователь, нет, последние изменения больше относятся к бизнесу, который планирует использовать эти данные в маркетинговых целях (например, банк передает ваши данные третьему лицу - партнеру, чтобы тот рассылал свои сообщения). Плюс еще изменения связаны с увеличением штрафов. Вообще по работе с ПД сотрудников (и даже кандидатов на этапе сбора резюме) у нас есть отдельная статья Персональные данные сотрудника: как с ними работать.
П
Пользователь 1 апреля
Яна Аржанова, спасибо за ответ)
Ю
Доброе утро. Тоже интересует вопрос, если у нас есть Положение о ПД, согласия всех работников на обработку ПД, приказы по организации о назначении ответственных лиц, нужно ли сейчас что то еще дополнительно - согласия на распространение. Также у нас нет Политики обработки ПД. И Роскомнадзор мы не уведомляли.
Яна Аржанова, главный редактор 1 апреля
Юлия, я думаю, что на свои вопросы вы найдете ответы в отдельной статье Персональные данные сотрудника: как с ними работать.
Ю
Про уведомление сама прочитала в законе). А вот нужно ли регистрироваться в информационной системе Роскомнадзора, если у нашей организации только трудовые отношения с работниками
Яна Аржанова, главный редактор Изменен 1 апреля
Юлия, нет не нужно. Ст. 22 Закона о ПД содержит ряд исключений, когда уведомление не требуется. Регистрация в информационной системе Роскомнадзора, соответственно тоже не нужна (насколько я понимаю, в эту систему ведомство вносит организацию после того, как оно подает уведомление). Обработка ПД в рамках трудового законодательства как раз относится к исключениям.
Е
Елена 30 марта
Вправе ли торговая сеть запрашивать ПД ( паспортные данные, адрес) в анкете при оформлении карты лояльности ( бонусной карты)?
Яна Аржанова, главный редактор Изменен 1 апреля
Елена, ст. 5 Закона о ПД гласит, что обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Следовательно, возникает вопрос: для чего магазину ваши паспортные данные? Какую цель он преследует, запрашивая их?

То же самое с адресом. Зачем он магазину? Если, например, это магазин товаров для дома, который планирует присылать вам бумажные каталоги, а вы как раз хотите их получать, потому и оставляете свой адрес, то тогда цель сбора адресов обоснована.

Вообще, мне кажется, сбором таких данных магазины занимались до 2017 года, когда еще не были введены ощутимые штрафы за нарушения.
ЕП
Екатерина Пелевина Изменен 5 апреля
Здравствуйте! Наша компания занимается электромонтажными работами. Периодически участвует в аукционах на ЭТП, подавая для заказчика в аукционной заявке такие данные на сотрудников, как ФИО, образование, допуски к работам. Согласие на обработку ПД берутся при поступлении на работу. Нужно ли в таком случае брать от работников согласия на передачу ПД и уведомлять Роскомнадзор?
Яна Аржанова, главный редактор 14 апреля
Екатерина Пелевина, добрый день!

На ваш вопрос отвечает эксперт в сфере закупок Елена Ежова:
"Если закупка по 44-ФЗ, то участник еще при регистрации в ЕИС дает необходимые согласия на разглашение сведений.
Когда процедура по 223-ФЗ или коммерческая, то тут необходимые формы согласий заказчик будет прикладывать в документации для обязательного заполнения участниками".
О
Ольга 7 апреля
Здравствуйте! В розничном магазине при возврате товара покупателем заполняется заявление на возврат, в нем указываются паспортные данные, ФИО покупателя. Нужно брать согласие у покупателя на сбор этих данных, регистрироваться как оператор ПД? Еще такой вопрос: при продаже охотничьих патронов заполняется журнал продаж с ПД покупателя, а именно, ФИО, адрес, номер разрешения на хранение и ношение оружия. Нужно ли брать письменное согласие с покупателя и также регистрироваться как оператор ПД? Спасибо!
ЕК
Елена Котова 7 апреля
Здравствуйте. При приеме на работу берем с сотрудников согласие на обработку перс. данных и там есть пункт для чего собираются эти данные: "- предоставления сведений в кредитную организацию для оформления банковской карты и перечисления на нее заработной платы;". В таком случае Роскомнадзор так же не надо уведомлять?
ВМ
Валерий Михайлов 7 апреля
Добрый день ! Я как работник заключил бессрочный договор с работодателем (субъект с оператором), НО ! как выяснилось Работодатель по договору с аутсорсинговой компанией заключил договор на ведение кадровой и бухгалтерской деятельности.
Получается.... Оператор незаконно распространяет ПДн ? Что в этом случае ? мне как субъекту необходимо оформить Согласие с аутсорсинговой компанией ? И является ли данном случае аутсорсинговая компания Оператором с необходимостью уведомления в РКН ?
Спасибо.
ЮГ
Юрий Голубев 9 апреля
"Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях..."
Открыл Закон, там написано: "Обработка персональных данных допускается в следующих случаях:". То есть эта статья про случаи, когда можно обрабатывать ПДн!
О том, что не требуется согласие, там не сказано. Наоборот, п.1. именно на согласие и указывает.
V
Veronikabel 16 апреля
А если сайт работает только с юридическими лицами, то что нам нужно иметь на сайте?
В
Валерй 4 мая
в банке при получении дебетовой карты и подписании договора в п.п.... указано "согласен на обработку и передачу ПД третьим лицам" и "не согласен на обработку и передачу ПД третьим лицам" я выбрал пункт " не согласен ...далее по тексту" банк отказал мне в выдачи карты и заключении договора. Банк прав ? Мои права нарушены ?
ЕК
Елена Карандашова 12 мая
Здравствуйте. Есть ли необходимость разрабатывать в организации положение о работе с персданными работников или достаточно прописать в трудовом договоре? или вообще не нужно ничего, т.к. трудовые отношения? Спасибо.
А
Андрей 19 мая
Добрый день. Мне управляющая компания послала письмо. Служба доставки требует вписать квитанцию о доставке: ФИО и паспортные данные. Могу ли отказаться вписывать паспортные данные? Ведь я не давал им разрешение на обработку ПДн. Доставка ,частная компания не Почта России.
АШ
Александр Швецов 25 мая
Здравствуйте, сервисный центр по ремонту бытовой техники принимает в ремонт аппаратуру. При этом для связи с клиентом требуется его ФИО, телефон и адрес (для информирования клиента о готовности аппарата, согласования стоимости ремонта и др.) Организация не собирается предоставлять ПД третьим лицам.
Нужно ли в договоре о ремонте иметь пункт о том, что клиент согласен на обработку ПД?
Т
Татьяна 25 мая
Здравствуйте, надо ли подписывать согласие на обработку своих персональных данных при заселении в гостиницу?
А
Алёна 29 мая
Здравствуйте! Оказываю услуги дизайнера. На сайте собираю исключительно ФИО, телефон и адрес электронной почты. Статьей 9 Федерального закона № 152-ФЗ установлены требования к содержанию согласия на обработку персональных данных, среди которых адрес и номер документа, удостоверяющего личность. Я правильно понимаю, что при получении согласия мной производится и сбор также и указанных сведений? Получается, что теперь проставления галочки форме недостаточно, нужно, чтобы субъект ПД заполнял форму с необходимыми полями? Заранее спасибо.
Э
Субъект ПД (студент), давший ранее согласие на обработку ПД, поменял паспорт (при достижении 20 лет) и сообщает новые паспортные данные оператору (в университет), требуется ли с него взять новое согласие на обработку ПД?
П
Павел 26 июля
Подскажите, пожалуйста, если клиент после прохождения обучения оставил видео отзыв, при каких условиях мы можем этот отзыв размещать на сайте?
Е
Екатерина 12 августа
здравствуйте, между ТСЖ и собственником какое должно быть согласие обработку ПД??? Нигде не могу найти хороший пример
О
М
Л

Читайте также