8 499 938-65-20
Мы — ваш онлайн-юрист 👨🏻‍⚖️
Объясним пошагово, что делать в вашей ситуации. Разработаем документы и ответим на любой вопрос, даже самый маленький.

Все это — онлайн, с заботой о вас и по отличным ценам.
700 ₽
Вопрос решен

Вопрос о персональных данных

Добрый день. есть мысли по созданию сайта с базой физ. лиц (мошенники, воры, и т.п.). Потерпевший заполняет форму : фио , паспортные данные, описание того что случилось. Данные сохраняются на сервере. После чего любой может запросить эту запись, но только при наличии фио и паспортных данных физ. лица. (как сделано на сайте Федеральной службы судебных приставов). Подскажите, будет ли нарушать закон о персональных данных подобный сервис, если будет, то как можно реализовать такой полезный сервис в рамках закона о ПД? Про расположение сервера базы данных в России в курсе.

, Евгений, г. Томск
Виталий Коробейников
Виталий Коробейников
Юрист, г. Красноярск

Здравствуйте Евгений.

ст. 2 Федерального закона от 27.07.2006 N 152-ФЗ
«О персональных данных»

1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

К этим сведениям, в частности, относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, доходы и другая информация.

обработка персональных данных возможно только при наличии согласия объекта.

ст. 6

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данныхдопускается в следующих случаях:
1) обработка персональных данных осуществляется ссогласия субъекта персональных данных на обработку его персональных данных;
ст. 9

1. Субъект персональных данных принимает решение о предоставлении его персональных данных идает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителемв любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

Согласно ст. 24 которого

1. Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.
2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

ответственность предусмотрена ст. 13.11 КоАП

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц — от пятисот до одной тысячи рублей; на юридических лиц — от пяти тысяч до десяти тысяч рублей.
0
0
0
0
Консультация юриста бесплатно
Сергей Зиборов
Сергей Зиборов
Юрист, г. Санкт-Петербург

Добрый день, Евгений.

Закон о персональных данных допускает обработку персональных данных при условии соблюдения соответствующих требований.

К ним относится:

1)обработка персональных данных в соответствии с политикой обработки персональных данных (ст. 18.1 ФЗ о персональных данных)

2)наличие согласия субъекта персональных данных на их обработку в письменной форме (Галочка в форме «я согласен на обработку персональных данных» является согласием в письменной форме). Согласие, в том числе должно содержать разрешение на передачу данных третьим лицам, в том числе — трансграничную передачу персональных данных.

3)уведомление РосКомНадзора об обработке персональных данных (ст. 22 ФЗ о персональных данных).

При наличии грамотно составленных документов (политики) и уведомления Роскомнадзора, вы можете работать с персональными данными как описано Вами.

Если Вам понадобиться подготовить политику персональных данных для сайта, вы можете обратиться ко мне через чат для дальнейшей совместной работы.

С уважением,

Зиборов Сергей

0
0
0
0
Евгений
Евгений
Клиент, г. Томск
При наличии грамотно составленных документов (политики)

т.е. могу осуществлять обработку без согласия субъекта ?

Согласие субьекта выражено в нажатии галочки «я согласен с обработкой персональных данных».

Дополнительно, что бы не было вопросов к реквизитам согласия, с субъектом персональных данных заключается договор (например о предоставлении информационных услуг). Договор заключается в следующей форме: на сайте публикуется оферта, клиент при регистрации соглашается с офертой (акцепт). Обработка ПД для целей исполнения договора, по которому субъект ПД является сторной(выгодоприобретателем) допускается бес согласия субьекта (п. 5 ч. 1 ст. 6 ФЗ О персональных данных). Также, если обработка осуществляется для целей исполнения договора, нет необходимости уведомлять РосКомНадзор (правда, только в случае, если ПД не предоставляются третьим лицам).

Алина Пучко
Алина Пучко
Юрист, г. Барнаул

Здравствуйте, Евгений!

В ст. 6 ФЗ «О персональных данных» закреплены основные правила обработки персональных данных (ПД):

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; http://www.consultant.ru/docum...

В соответствии со ст.3 вышеуказанного закона

3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Вот что по Вашему вопросу поясняет Роскомнадзор

В соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16.03.2009 года № 228, уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи и массовых коммуникаций (Роскомнадзор). Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Руководствуясь положениям ч. 3 ст. 22 Федерального закона «О персональных данных» Роскомнадзором разработана форма Уведомления об обработке (о намерении осуществлять обработку) персональных данных, отражающая содержание и перечень обязательных полей, установленных для заполнения, а также Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения.Заполненные уведомления должны быть направлены в письменной форме и подписаны уполномоченным лицом или направлены в электронной форме и подписаны электронной цифровой подписью в соответствии с законодательством Российской Федерации в территориальные управления Роскомнадзор, на подведомственной территории которых оператор осуществляет (будет осуществлять) обработку персональных данных. Подробнее на сайте Роскомнадзора https://rkn.gov.ru/personal-da...

Для получения ПД Вам необходимо согласие субъекта ПД на их обработку. ПД должны быть необходимы Вам для исполнения Договора, заключенного с данным субъектом.

На правоведе обсуждалась данная тема по ссылкам:https://pravoved.ru/question/6...; https://pravoved.ru/question/1...; https://pravoved.ru/question/1...


С уважением, Алина Пучко.

0
0
0
0
Дмитрий Васильев
Дмитрий Васильев
Юрист, г. Москва
10 рейтинг

Добрый день.

Коллеги в целом уже ответили на Ваш вопрос, я бы хотел дополнительно от себя еще раз обратить внимание на полный перечень требований законодательства по персональным данным.
Действующее законодательство, и в первую очередь 152-ФЗ устанавливает ряд требований, касающихся обработки персональных данных.
Основные требования:
1. На своем сайте Вы должны разместить Политику конфиденциальности. При этом нужно обратить внимание, что подойдет не каждая политика, то есть вариант «взять у конкурента» (который, как правило, сам откуда-то «взял») или просто «с интернета» не самый лучший, поскольку многие политики сделаны некачественно и основное — Вам нужна Политика, которая конкретно будет подходить под Вас.

К Политике есть ряд требований. Если говорить о самых общих моментах (перечень не исчерпывающий), то Политика должна содержать:

1.1. Перечень персональных данных, которые Вы обрабатываете.
1.2. Сведения о способах обработки персональных данных.
1.3. Должно быть прописано, что, проставляя галочку о согласии с политикой конфиденциальности Пользователь тем самым Пользователь дает свое согласие на обработку его персональных данных, указанных в Политике конфиденциальности.
1.4. Цели использования персональных данных.
1.5. Принципы обработки персональных данных, которыми Вы руководствуетесь.
1.6. Меры, применяемые для защиты персональных данных.
1.7. Очень важный момент, про который многие забывают – если в процессе использования персональных данных, эти данные становятся доступны третьим лицам, в том числе в автоматическом режиме, например, лицам, которые просто помогают Вам в управлении сайтом, маркетинговому партнеру и т.д., то об этом обязательно (!) должно быть указано в политике. Это частая ошибка, которая приводит к тому, что Вам могут вменить незаконное разглашение персональных данных, несмотря на то, что Вы даже не думали ничего не нарушать. С этим мне неоднократно приходилось сталкиваться лично, Роскомнадзор за это активно штрафует.
1.8. Также в политику конфиденциальности нужно обязательно включить положение о том, что Вы вправе в любой момент изменить условия политики конфиденциальности в одностороннем порядке. Про это тоже часто забывают.
1.9. Еще нужен ряд положений, которые касаются того, что мол проставлением отметки Пользователь подтверждает, что он согласен со всеми условиями Политики конфиденциальности, что положения ему ясны и т.д.
1.10. Также в Политике отдельное внимание должно быть уделено файлам cookie, про это тоже часто забывают, хотя это тоже важный момент.
Это самый общий ряд требований, при этом стоит отметить, что каждый пункт должен быть сформулирован грамотно и должен учитывать конкретно Ваши нюансы.

2. На сайте должно быть Пользовательское соглашение (либо договор-оферта, либо лицензионное соглашение – в принципе это все одно и тоже).
Стоит отметить, что с одной стороны ничто не мешает «запихать» положения о персональных данных (политику конфиденциальности) в пользовательское соглашение. Однако лично я рекомендую эти документы разделять, поскольку мне лично уже приходилось сталкиваться с тем, что Роскомнадзор при проверке сайта нескольких моих клиентов просто не разглядел положения про персональные данные в пользовательском соглашении и повесил штраф. И хотя все это дело мы успешно оспорили, но лишний раз «давать повод» я не рекомендую, лучше перестраховаться.

В ситуации же когда Политика сделана отдельно, то ее пропустить уже невозможно и соответственно риск того, что кто-то просто не разглядит эти пункты в пользовательском соглашении, отпадают. Плюс ко всему если делать нормальную качественную политику конфиденциальности, то она получается не на 1 и не на 2 страницы, не говоря уже о пользовательском соглашении и если все совмещать, то Пользовательское соглашение вполне вероятно получится чрезмерно раздутым, что не очень удобно и при этом не стоит также забывать, что на Вас лежит обязанность по доведению до клиентов всей необходимой информации о реализуемых товарах/услугах и для целей выполнения этой обязанности делать плохо читаемые раздутые и неструктурированные документы не самая лучшая идея (например, по банкам есть судебная практика когда суды не признают написанное в документах мелким шрифтом, что мол нельзя в таком виде доводить информацию до клиентов, здесь может быть применена та же логика).
Что касается требований к Пользовательскому соглашению (договору-оферте, лицензионному соглашению), то это предмет отдельного разговора, требований очень много и здесь они уже полностью зависят конкретно от Вашей ситуации и как следствие их нужно каждый раз обсуждать отдельно. Общая цель Пользовательского соглашения – расписать условия предоставления доступа к сервису и/или условия продажи товаров/услуг, описать предмет договора, права и обязанности сторон, порядок расчетов, порядок разрешения споров, ограничить Вашу ответственность (настолько, насколько это позволяет закон, частая ошибка – вопросам ответственности в Пользовательском соглашении изначально уделяют очень мало внимания и возвращаются к ним только после того как столкнутся с конкретной претензией от клиента или еще хуже с судебным иском, я всегда рекомендую все риски (настолько насколько это позволяет закон) закрывать изначально при подготовке документации).
Также в Пользовательском соглашении можно прописать условие о договорной подсудности по месту Вашего нахождения (кстати в способе описания условия о договорной подсудности очень часто допускаются ошибки, и суды потом признают пункт о договорной подсудности не согласованным, если хотите, чтобы в случае чего судебные споры были по месту Вашего нахождения (не во всех случаях применимо), то нужно к описанию этого пункта подойти максимально ответственно и с учетом судебной практики).

3. Помимо непосредственно наличия самих документов, есть требования к самому сайту, а именно:

3.1. На сайте на абсолютно всех формах обратной связи, через которые может быть осуществлена передача персональных данных, должно быть окошечко, в котором Пользователи проставляют отметку о согласии с политикой конфиденциальности и пользовательским соглашением. Частая ошибка – делается политика конфиденциальности, а в окошечке Пользователь просто дает согласие с «обработкой персональных данных», а не с условиями Политики конфиденциальности и как следствие в этом случае фактически у Вас не будет подтверждения, что Пользователь согласился соблюдать условия политики конфиденциальности. Надо понимать, что цель политики конфиденциальности – в том числе получение от Пользователя согласия с обработкой его персональных данных, поэтому еще отдельно брать с него согласие на саму обработку уже не нужно, только согласие с политикой конфиденциальности.
3.2. Без проставления отметки о согласии с политикой конфиденциальности и пользовательским соглашением Пользователь не должен иметь возможности отправить Вам свои персональные данные. Это касается в том числе случаев даже если он Вам передает только имя, номер телефона или адрес электронной почты (это все относится к персональным данным – ст. 3 152-ФЗ).
4. Политика конфиденциальности и Пользовательское соглашение касаются урегулирования вопросов обработки персональных данных Ваших клиентов/Пользователей сервиса. Однако если у Вас есть работники, то дополнительно также нужно, чтобы был комплект документов, регулирующих вопросы обработки персональных данных Ваших сотрудников. Основным документом, который выполняет эту задачу является положение об обработке персональных данных, либо часто его называют положением о коммерческой тайне (хотя коммерческая тайна это другое, многие называют его именно так, а в содержании все равно прописывают вопросы обработки персональных данных), название тут не принципиально, строгих требований к нему нет, главное содержание. Я как правило предпочитаю объединять эти документы в один общий и именовать его «Положение о коммерческой тайне и обработке персональных данных» и в нем сразу урегулировать как вопросы коммерческой тайны, так и вопросы обработки персональных данных. Что касается требований к содержанию положения, то оно должно включать в себя:
4.1. Информацию о том, какие данные сотрудников обрабатываются.
4.2. Цели обработки персональных данных.
4.3. Порядок ознакомления сотрудников компании с положением.
4.4. Порядок и сроки уведомления работниками работодателя об изменении своих персональных данных.
4.5. Меры по защите персональных данных.
4.6. Порядок доступа отдельных работников к персональных данным сотрудников компании.
4.7. Порядок хранения персональных данных.
4.8. Условия предоставления третьим лицам персональных данных сотрудников компании.

Стоит отметить, что данное положение представляет собой локальный нормативный акт работодателя (ст. 8 Трудового кодекса РФ) и к нему применяются соответствующие требования, в частности: 1. Данное положение должно быть утверждено приказом единоличного исполнительного органа (директора) компании. 2. Работники должны быть ознакомлены под подпись с содержанием указанного положения (п.6 ч.1 ст. 18.1 152-ФЗ).

5. Помимо приказа об утверждении положения, регулирующего вопросы обработки персональных данных, также у Вас должен быть принят приказ о назначении ответственного за обработку персональных данных (ст. 22.1 ФЗ № 152-ФЗ). Чаще всего им выступает сам директор компании, но это не обязательно. Каких-либо специфичных требований к приказу здесь нет, требования к нему общие – такие, как и к любому другому внутреннему приказу.
6. Помимо указанных документов также, как правило, Вы должны направить уведомление в Роскомнадзор об обработке персональных данных (не путать с регистрацией в Роскомнадзоре).
Уведомление направляется по онлайн форме — https://pd.rkn.gov.ru/operators-registry/notification/form/и плюс должно быть продублировано в письменном виде по обычной почте.

Здесь частая ошибка – люди считают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор.
С точки зрения закона действительно далеко не все компании должны направлять уведомление в Роскомнадзор. Например, если Вы обрабатываете персональные данные только своих контрагентов по договорам, то у Вас нет обязанности по направлению уведомления в Роскомнадзор (это лишь один пример, исключений больше).
Однако на сегодняшний день позиция Роскомнадзора такова, что уведомление нужно направлять практически всегда, поскольку практически всегда компании помимо обработки данных, которые подпадают под исключение о необходимости направления уведомления, также осуществляют иные формы обработки персональных данных. Например, если Вы храните персональные данные потенциальных или бывших клиентов (в маркетинговых, рекламных или иных целях) – то это уже не подпадает под исключение, поскольку у Вас с ними нет действующего договора. Поскольку, как правило, все хранят данные о тех клиентах, которые обратились, но еще не заключили договор или с которыми у Вас уже закончились договорные отношения, то в любом случае с точки зрения закона Вы уже не подпадаете под исключение и как следствие должны направить уведомление в Роскомнадзор по указанной выше форме.
Многие к сожалению, ошибочно полагают, что они подпадают под исключение и им не нужно направлять уведомление в Роскомнадзор, за что потом Роскомнадзор их привлекает к ответственности.

7. Необходимо отметить, что приведенные выше требования касаются ситуации, когда Вы обрабатываете данные граждан РФ в соответствии с 152-ФЗ. Однако не стоит забывать, что если Сервис ориентирован также на международный рынок, в частности на европейских клиентов или клиентов из США, то тут возникают дополнительные требования. Особое внимание следует в этом случае обратить на Регламент №2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных» General Data Protection Regulation (GDPR), который вступил в силу с 25.05.2018 г. Описывать все его требования в данном случае я думаю не совсем уместно, так как это тема отдельного полноценного разговора, но суть в том, что если Вы ориентированы на европейский рынок, то Ваша политика конфиденциальности должна быть составлена в полном соответствии со всеми требованиями GDPR. В отношении других стран также следует обратить внимание на местное законодательство, в частности, для работы с гражданами США, например, обязательно следует учесть требования Children's Online Privacy Protection Act (COPPA).

В целом нюансов и требований в части иностранного законодательства много, но их следует прорабатывать уже индивидуально и смотреть на кого ориентирован сервис.

8. Также еще частной ошибкой является хранение персональных данных граждан РФ на зарубежных сервисах, что запрещено законом (ст. 18 152-ФЗ). Хранить персональные данные граждан РФ можно только на российских серверах, про это ни в коем случае нельзя забывать.

Что касается ответственности, то за любое нарушение установленного законом порядка сбора, хранения или распространения информации о гражданах (персональных данных) влечет за собой ответственность по ст. 13.11 КоАП РФ (там большой перечень видов нарушений, всего 7 частей в данной статье). При этом каждое нарушение рассматривается отдельно и, соответственно наказание за каждое нарушение также назначается отдельно, максимальный размер штрафа на текущий момент – 75000 руб.
Также если речь идет о нарушении обязанностей по хранению и использованию персональных данных работников, то может грозить ответственность по ст. 5.27 КоАП, здесь помимо штрафа уже предусмотрено административное приостановление деятельности на срок до 90 суток.
Также непредставление в органы Роскомнадзора уведомления об обработке персональных данных влечет ответственность по ст. 19.7 КоАП РФ.

Помимо прочего стоит отметить, что Роскомнадзор неоднократно обращал внимание, что существует и уголовная ответственность за нарушение неприкосновенности частной жизни – ст. 137 УК РФ.
Стоит отметить, что в целом это основной набор требований по 152-ФЗ, однако не стоит забывать, что в зависимости от ситуации набор требований может расширяться или наоборот сужаться. При этом стоит обратить внимание, что если, например, есть требование о наличии на сайте политики конфиденциальности, то это не значит, что к нему можно подходить формально и использовать любую политику, так как просто наличие формальной бумажки на сайте с названием «политика конфиденциальности» не имеет ничего общего с выполнением требований законодательства об обработке персональных данных.
(!!!) Также обращаю ваше внимание, что, если что-то останется непонятным БОЛЕЕ ПОДРОБНУЮ УСТНУЮ ИЛИ ПИСЬМЕННУЮ КОНСУЛЬТАЦИЮ по ЛЮБЫМ вопросам обработки персональных данных, в том числе по требованиям 152-ФЗ, GDPR, COPPA, Вы всегда можете получить, обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта).

(!!!) Также обратившись в чат ЛЮБОЙ может получить ПОМОЩЬ В РАЗРАБОТКЕ НЕОБХОДИМОЙ ДОКУМЕНТАЦИИ, касающейся исполнения требований российского и/или иностранного законодательства в сфере обработки персональных данных, в том числе помощь в разработке Политики конфиденциальности, Пользовательского соглашения (договора-оферты, лицензионного соглашения), положения о коммерческой тайне и обработке персональных данных, заполнении уведомления в Роскомнадзор, проведении аудита сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных. Буду рад помочь.

С Уважением,

Васильев Дмитрий.

0
0
0
0

Обращаю Ваше внимание, что с июля 2019 г. действует СПЕЦИАЛЬНОЕ ПРЕДЛОЖЕНИЕ в сфере персональных данных, а именно АБСОЛЮТНО БЕСПЛАТНО ЛЮБОЙ обратившись ко мне в чат (кнопка «общаться в чате» возле фотографии аккаунта) может получить информацию о ТОП 5 ОШИБОК при оформлении документов для сайта/мобильного приложения в сфере персональных данных (152-ФЗ, General Data Protection Regulation, Children's Online Privacy Protection Act и т.д.).

Также обращаю внимание, что, обратившись ко мне в чат, АБСОЛЮТНО ЛЮБОЙ может получить:

1. Устную или письменную консультацию по любым вопросам обработки персональных данных, в том числе по требованиям законодательства РФ, европейского и международного законодательства в сфере персональных данных.

2. Помощь в проведении аудита Вашего сайта/мобильного приложения на предмет соответствия требованиям законодательства о персональных данных.

3. Информацию о реальной ответственности за нарушение требований закона о персональных данных, В ТОМ ЧИСЛЕ ОБ ОТВЕТСТВЕННОСТИ ЗА ХРАНЕНИЕ ДАННЫХ КЛИЕНТОВ НА ЗАРУБЕЖНЫХ СЕРВЕРАХ.

4. Помощь в подготовке следующих документов:

4.1. Политика конфиденциальности (она же политика обработки персональных данных) для сайта/мобильного приложения.

4.2. Пользовательское соглашение (оно же договор-оферта и оно же лицензионное соглашение) для Вашего сайта/мобильного приложения.

4.3. Положение о персональных данных у ИП/ООО.

4.4. Положение о конфиденциальности у ИП/ООО (не всегда нужно).

4.5. Формы приказов об утверждении положения о персональных данных и положения о конфиденциальности.

4.6. Форма приказа о назначении ответственного за обработку персональных данных.

4.7. Уведомление в Роскомнадзор об осуществлении обработки персональных данных.

Услуги юристов в Москве
Мы договариваемся с юристами в каждом городе о лучшей цене.
Похожие вопросы
Конституционное право
Обработка персональных данных
Добрый день. Обязательно ли брать согласие на обработку персональных данных с клиентов салона красоты. Совсем запутался в связи с вступившими в силу изменениями в декабре 2020. В декабре прислали на электронную почту ФЕДЕРАЛЬНЫЙ ЦЕНТР ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СИСТЕМА СЕРТИФИКАЦИИ «РОСКОНТРОЛЬ» Рег.№ РОСС RU.З2056.04РКЛ0 Оператор ПДн: № 78-19-006412 195248, Санкт-Петербург, пр. Энергетиков, 3-а Справочная: +7 (812) 983-6584 (с 9:00 до 16:00 по Москве) [Электронное уведомление]1 Исх. № 152_631104532938/1 от 25.12.2020 О необходимости соответствия ИП Савенков Павел Анатольевич требованиям по защите персональных данных3 ИП Савенков Павел Анатольевич ИНН: 631104532938 ОГРН: 311631731800015 443000, Самарская обл, г Самара nynius317@mail.ru2 Направление информации о необходимости принятия мер по защите персональных данных, согласно Федеральному закону № 152-ФЗ О персональных данных"(c изм. от 24.04.2020) Уважаемый(ая) ! В связи с внесением дополнений от 2 декабря 2019г. в статью 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных», в срочном порядке уведомляем вас об увеличении риска проведения контрольно-надзорных мероприятий по ИП Савенков Павел Анатольевич, в отношении соответствия требованиям Федерального закона № 152-ФЗ (c изм. от 24.04.2020) "О персональных данных". В силу требований законодательства ИП Савенков Павел Анатольевич, в любом случае обязана собирать, хранить, передавать и использовать персональных данные своих текущих и уволенных сотрудников, включая руководителя организации, которым является , а так же клиентов, партнеров и других физических лиц, то есть вести их обработку. В связи с этим, ваша организация признается оператором персональных данных, как и любая другая действующая организация или ИП, согласно cтатье 3 Федерального закона № 152-ФЗ (c изм. от 24.04.2020) "О персональных данных". На 25.12.2020 в ИП Савенков Павел Анатольевич должны быть приняты организационно-технические меры по соответствию требованиям 152-ФЗ "О персональных данных" (в ред. от 29.07.2017), разработаны документы по защите персональных данных и, при необходимости, направлено уведомление об обработке персональных данных в территориальное отделение Роскомнадзора. Почему вы оператор персональных данных? Использование данных руководителя, работников, клиентов и иных физических лиц в профессиональной деятельности (фамилия, имя, отчество, адрес, паспортные данные, ИНН, номер телефона), ведение кадрового и бухгалтерского учета, заключение и оформление договоров, сбор анкет (резюме) кандидатов на работу, направление третьим лицам (органам) списков сотрудников при оформлении им медицинских полисов, перечисление денежных средств на зарплатные счета в банк, предоставление в военный комиссариат списков военнообязанных сотрудников, сбор и использование персональных данных клиентов, осуществление видеонаблюдения, ведение журнала контрольно-пропускного пункта и т.д. в соответствии с п.3 ст. 3 Федерального закона №152-ФЗ является обработкой персональных данных. После проверки по ИНН: 631104532938 в общедоступном реестре операторов персональных данных Роскомнадзора по адресу: https://pd.rkn.gov.ru/operators-registry/operators-list/ запись о ИП Савенков Павел Анатольевич не была обнаружена, или содержит неполные сведения, что является достаточным поводом для привлечения внимания инспектора Роскомнадзора, в соответствии со ст.23, ч.5 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 24.04.2020) "О персональных данных". Основанием для проведения внеплановой проверки могут являться результаты проведения контрольных мероприятий без взаимодействия с ИП Савенков Павел Анатольевич, согласно постановлению Правительства Российской Федерации от 13.02.2019 № 146. Отсутствие необходимых мер при проверке может повлечь за собой наложение административного штрафа до 5 000 руб. по ст.19.7 КоАП РФ и до 6 000 000 руб. по ст. 13.11 КоАП РФ, в зависимости от количества выявленных нарушений при проведении контрольно-надзорных мероприятий. Так как своими силами в установленные законом сроки Вы не устранили изложенные нарушения, вам предлагается в течение 1 (одного) рабочего дня с момента направления данного уведомления, получить меры поддержки и уточнить интересующие вас вопросы в области действия закона № 152-ФЗ (c изм. от 24.04.2020) "О персональных данных".
, вопрос №2999270, Павел, г. Самара
1 ответ
Все
Направление информации о необходимости принятия мер по защите персональных данных, согласно Федеральному закону № 152-ФЗ (в ред. От 29.07.2017)
Наше ООО осуществляет производство проектно-монтажных работ, является членом СРО, сайта не имеет, с частными лицами не работает, с наличными средствами не работает (онлайн кассы не имеет). В наш адрес поступило следующее письмо: Федеральный центр защиты персональных данных СДС «Росконтроль» Оператор ПДн: № 78-19-006412 Интернет-приемная: rkn.moscow 195248, Санкт-Петербург, пр. Энергетиков, 3-а [Электронное уведомление]1 Исх. № 152_7103501717/1 от 21.04.2020 Об отсутствии ООО "ПМО "ЭЛЕКТРОСВЯЗЬ" в реестре операторов персональных данных3 Руководителю ООО "ПМО "ЭЛЕКТРОСВЯЗЬ" Еганов Сергей Борисович ИНН: 7103501717 ОГРН: 1087154002374 sbe5555@mail.ru2 Направление информации о необходимости принятия мер по защите персональных данных, согласно Федеральному закону № 152-ФЗ (в ред. от 29.07.2017) Уважаемый(ая) Еганов Сергей Борисович! В связи с внесением дополнений от 2 декабря 2019г. в статью 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных», в срочном порядке уведомляем вас об увеличении риска проведения контрольно-надзорных мероприятий по ООО "ПМО "ЭЛЕКТРОСВЯЗЬ", в отношении соответствия требованиям Федерального закона № 152-ФЗ (в ред. от 29.07.2017) "О персональных данных". В силу требований законодательства ООО "ПМО "ЭЛЕКТРОСВЯЗЬ", в любом случае обязана собирать, хранить, передавать и использовать персональных данные своих текущих и уволенных сотрудников, включая руководителя организации, которым является Еганов Сергей Борисович, а так же клиентов, партнеров и других физических лиц, то есть вести их обработку. В связи с этим, ваша организация признается оператором персональных данных, как и любая другая действующая организация или ИП, согласно Статье 3 Федерального закона № 152-ФЗ (в ред. от 29.07.2017) "О персональных данных". На 21.04.2020 в ООО "ПМО "ЭЛЕКТРОСВЯЗЬ" должны быть приняты организационно-технические меры по соответствию требованиям 152-ФЗ "О персональных данных" (в ред. от 29.07.2017), разработаны документы по защите персональных данных и, при необходимости, направлено уведомление об обработке персональных данных в территориальное отделение Роскомнадзора. Почему вы оператор персональных данных? Использование данных руководителя, работников, клиентов и иных физических лиц в профессиональной деятельности (фамилия, имя, отчество, адрес, паспортные данные, ИНН, номер телефона), ведение кадрового и бухгалтерского учета, заключение и оформление договоров, сбор анкет (резюме) кандидатов на работу, направление третьим лицам (органам) списков сотрудников при оформлении им медицинских полисов, перечисление денежных средств на зарплатные счета в банк, предоставление в военный комиссариат списков военнообязанных сотрудников, сбор и использование персональных данных клиентов, осуществление видеонаблюдения, ведение журнала контрольно-пропускного пункта и т.д. в соответствии с п.3 ст. 3 Федерального закона №152-ФЗ является обработкой персональных данных Ст. 22 152-ФЗ освобождает определенные виды организаций только от подачи уведомления, но никак не от разработки необходимых документов в соответствии со ст.18.1. После проверки по ИНН: 7103501717, ООО "ПМО "ЭЛЕКТРОСВЯЗЬ" не была обнаружена в общедоступном реестре операторов персональных данных Роскомнадзора по адресу: https://pd.rkn.gov.ru/operators-registry/operators-list/ что является достаточным поводом проведения Роскомнадзором внеплановой проверки. Основанием для проведения внеплановой проверки могут являться результаты проведения контрольных мероприятий без взаимодействия с ООО "ПМО "ЭЛЕКТРОСВЯЗЬ", согласно постановлению Правительства Российской Федерации от 13.02.2019 № 146. Отсутствие необходимых документов при проверке может повлечь за собой наложение административного штрафа до 5 000 руб. по ст.19.7 КоАП РФ и до 6 млн. руб. по ст. 13.11 КоАП РФ, в зависимости от количества выявленных нарушений при проведении контрольно-надзорных мероприятий. Так как своими силами в установленные законом сроки Вы не устранили изложенные нарушения, вам предлагается в течение 5 (пяти) рабочих дней с момента направления данного уведомления, получить бесплатную консультацию и уточнить все интересующие вас вопросы в области действия Федерального закона № 152-ФЗ (в ред. от 29.07.2017). В случае необходимости - разработать комплект документов, согласно требованиям закона и актуализировать данные в реестре Роскомнадзора. Получить консультацию и справочные материалы, вы можете оставив заявку на сайте: rkn.moscow или нажав на кнопку "Получить консультацию". Получить консультацию 1Данное уведомление является индивидуальной офертой на получение информации от ООО «ЕЦС» ИНН: 7805672696 и может быть акцептировано только руководителем ООО "ПМО "ЭЛЕКТРОСВЯЗЬ", уполномоченным представителем которого является Еганов Сергей Борисович. Уведомление не является автоматической рассылкой. 2Реквизиты и контактные данные ООО "ПМО "ЭЛЕКТРОСВЯЗЬ" (должностного лица) предоставлены государственными информационными системами (ГИС) и являются открытыми и общедоступными (п. 1 ст. 6 Федерального закона от 08.08.2001 № 129-ФЗ). Данные обрабатываются в соответствии с п. 2 ст. 7, согласно Федеральному закону от 27.07.2006 № 149-ФЗ. Копия письма отправлена на ваш юридический адрес. 3В случае, если информация по вашей организации является не актуальной (устаревшей), включая факт ликвидации, принадлежность адреса электронной почты, или наличие в реестре операторов персональных данных, вы можете более не получать информацию по данному вопросу, направив отказ в произвольном виде в ответ. НАШИ ДЕЙСТВИЯ???
, вопрос №2752146, Александра, г. Тула
2 ответа
289 ₽
Вопрос решен
Договорное право
Может ли банк отказать в расторжении договоров, в уничтожении персональных данных и биометрических данных и т.д.?
Здравствуйте Уважаемые Адвокаты/Юристы. Вопрос следущий. Я открыл банковский счет в ПАО "Почта Банк". В месте с открытием счета, мне оформили кредитный договор на сумму 0 рублей. Счетом не пользовался, кредитов не брал. 11.11.2019 написал заявление о расторжении договора об открытие банковского счета, потребительского кредита и т.д.. Написал заявление от отзыве согласия на обработку персональных данных, об удалении и уничтожении биометрических данных. Вручил сотруднику банка все заявления, на вторых экземплярах сотрудник банка расписался и поставил печати (они у меня на руках). Третьи экземпляры отправил заказным письмом с описью вложения в головной офис банка. 18.12.2019, получил письмо из банка. Они мне отказывают в уничтожении: персональных данных, биометрических данных. Отказывают в расторжении договоров и т.д.. Одна вода. Что в таком случае делать и как заставить банк выполнить федеральное законодательство? Можно ли это сделать через суд? Если да, то как? Заранее спасибо. Содержание письма: "В ответ на Ваше заявление No 1734482, сообщаем, что Банк вправе продолжить обработку Ваших персональных данных, поскольку согласно п. 5 ч.1 ст. 6 ФЗ от 27 июля 2006 г. No 152-ФЗ “О персональных данных” обработка персональных данных без наличия согласия жопускается, в т. ч. в случаях, если обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных. Кроме того, обработка персональных данных Клиента необходима для исполнения Банком обязанностей, предосмотренных ФЗ от 27 июня 2011 г. No 161-ФЗ “Национальной платежной системы” (обязан информировать клиентов о совершении операций); ФЗ от 7 августа 2001 г. No 115-ФЗ “О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма”, а также ФЗ от 6 декабря 2011 г. No 402-ФЗ “О бухгалтерском учете” (обязан хранить документы первичного бухгалтерского учета(кредитные договоры), а также документы и сведения, используемые при идентификации Клиентов ). После получения заявления Банком предприняты меры по обработке Ваших персноальных данных только для целей исполнения заключенных с Банком договоров, а также требований законодательства РФ. Для рассмотрения возможности исключения данных третьих лиц, представленных ранее, просим обратиться в Банк с заявлением, содержащим конкретные номера телефонов, подлежащих удалению. Свое согласие Банку на передачу (сообщение) третьим лицам сведений о просроченной задолжности по заключенному с Банком кредитному договору и ее взыскании, а также любые другие Ваши персональные данные, Вы предоставили Банку, подтвердив своей подписью на Заявлении при оформлении кредитного договора. На основании данного Соглашения Банк вправе поручить обработку персональных данных третьим лицам. Обращаем Ваше внимание, в соответствии с Федеральным законом от 27 июля 2006 г. No 152-ФЗ “О персональных данных”, персональные данные Клиентов Банка не передаются третьим лицам, не имеющим договора с банком. В соответствии с условиями заключенного с Вами Соглашения Банк имеет право направлять Вам сведения о ненадлежащем исполнении обязательств по Соглашению, иную информацию, связанную с Соглашением, посредством почтовых отправлений, электронных средств связи, SMS – сообщений либо иным образом на адрес/номер телефона, предоставленные Вами Банку. Также сообщаем, что Ваши персональные данные не передавались в коллекторские агентсва для целей информирования о необходимости погашения просроченной задолженности. Таким образом, вынуждены отказать в удовлетворении Вашего требования. Согласия на обработку персональных данных, включая согласия на обработку записи голоса, фотоизображения Вы предоставили Банку в письменном виде при приеме на обслуживание либо путем составления отдельного письменного согласия в рамках обслуживания действующих продуктов. Обращаем Ваше внимание, что предоставление Вами Банку своих персональных данных, включая фотоизображение и запись голоса, является условием заключения договора банковского счета (п. 1. 2. Условий открытия и обслуживания сберегательного счета и предоставления потребительского кредита) и договора банковского вклада (п. 1.3. Условий открытия и обслуживания банковского вклада. Подписывая заявление об открытии сберегательного счета/заявление открытия вклада (далее – Заявление), Вы принимаете публичную оферту Банка и выражаете свое согласие на заключение договора банковского счета на условиях, указанных в Заявлении, соответствующих условиях и тарифах Банка. Отозвать заявление о заключении соглашения о простой электронной подписи не представляется возможным.Дополнительно информируем, что простая электронная подпись и ПЭП – это несколько цифр, которые поступают Вам в СМС-сообщении в целях подтверждения Вашей операции, т.е. ПЭП используется для подписания электронных документов при оформлении услуги Банка. Банк заключает с Клиентом соглашение о простой электронной подписи и в дальнейшем оформление новых договоров Клиента с Банком происходит путем подписания электронных документов ПЭП. Бумажные форму документов уже не потребуются. Это позволит значительно сократить расходы Банка на логистику и хранение досье, а также позволит расширить список операций, которые Клиент сможет осуществить дистанционно в “Почта Банк Онлайн”. В случае если Вы приняли решение расторгнуть договор, то рекомендуем обратиться в Клиентский центр для подписания документов о закрытии договора ПЭП. Обращаем Ваше внимание, что для закрытие договора No ххххххх необходимо обратится в Клиентский Центр Банка для написания соответствующего заявления. Надеемся на Ваше понимание."
, вопрос №2627023, Владимир, г. Арзамас
5 ответов
600 ₽
Вопрос решен
Гражданское право
О согласии на обработку персональных данных
Добрый день! Прошу предоставить информацию по следующим вопросам: 1. При отправке подписанного заявление в орган государственной власти, орган местного самоуправления или в подведомственную организацию лично через приемную или через сервис электронной приемной на сайте органа какой документ необходимо взять с заявителя третьему лицу: согласие, соглашение или доверенность? В том числе необходимо учесть, что при отправке заявления через сервис электронной приемной будет использовано многофункциональное устройство для сканирования в цветном варианте данного заявления, сохранение его на персональном компьютере третьего лица, отправке его через сервис электронной приемной, ввод персональных данных в формы сервиса электронной приемной (Ф.И.О., телефон, адрес заявителя). Цель документа: защитить третье лицо в случае если заявитель предъявит нарушение по 152-ФЗ «О персональных данных» или о том, что не давал поручения/согласия направить данное заявление. Понимаю, что наиболее правильно будет получить доверенность с необходимыми полномочиями по конкретному случаю от заявителя и написать заявления как действующего в лице (от имени) заявителя. Соглашение, согласие, доверенность оформляются нотариально? В 59-ФЗ об обращениях граждан ни слова не нашел про доверенных лиц и доверенности. 2. Аналогичная ситуация. Если заявитель просит третье лицо получать через свой личный кабинет на сайте расчетного центра квитанции на оплату коммунальных услуг. Заявитель предоставляет номер лицевого счета и код, который пришел в бумажной квитанции в конверте для активации лицевого счета в личном кабинете. Какой дополнительно документ необходимо запросить у заявителя третьему лицу, чтобы в дальнейшим подтвердить, что это было волеизъявление самого заявителя, что он предоставил лицевой счет, код и свои персональные данные. В личном кабинете, помимо квитанций, также отображается информация о задолженности, начислениях за предыдущие три года и иная персональная информация. 2.1. У родственников нужно запрашивать согласие на обработку персональных данных, если какие-либо документы с персональными данными родственников хранятся на вычислительном устройстве или в архивных папках? 3. Если в организацию или орган направлялось множество заявлений, заключалось множество договоров и при каждом подписании давалось новое согласие на обработку персональных данных, то для того чтобы отозвать согласие на обработку данных необходимо написать один раз заявление об отзыве или необходимо написать заявление об отзыве на каждое заявление, на каждый договор? А если я, например, не помню, сколько я их отправлял и когда? Необходимо запросить перечень всех моих обращений за определенный период? 4. Отдельно выделю вопрос: можно указать в заявление на отзыв персональных данных о том что отзываю ВСЕ (КАЖДОГО) СОГЛАСИЯ, ПРЕДОСТАВЛЕННЫЕ МНОЙ ЗА КОНКРЕТНЫЙ ПЕРИОД? 5. При нарушении 152-ФЗ пострадавшее лицо может получить какую-либо компенсацию или 50 процентов так же как при нарушении положений закона о защите прав потребителей при подаче искового заявления в суд? 6. На что нужно обращать внимание при подписании согласия на обработку персональных данных той или иной организацией? Например, на срок действия согласия (если бессрочное исправляю на один год), на предоставленные действия с данными (запрещаю передавать сведения обо мне третьим лицам), ограниченный или конкретный объем персональных данных (только фио, адрес, телефон).
, вопрос №1653568, Алексей, г. Москва
4 ответа
Кредитование
Имеет ли право банк отказать заемщику в отзыве согласия на обработку персональных данных?
Здравствуйте! На данный момент у меня образовалась задолженность в Банке по кредиту (более 30 дней). Ненамеренно конечно, но Банк этот факт мало интересует, поэтому я столкнулась со Службой Безопасности Банка - частые звонки, разного рода обращение, наверное уже во всех тонах, интонациях, на которые только способен человек . Не уклоняясь от разговоров со специалистами Банка (отвечаю всегда на их звонки) я заработала,видимо, "БОНУС" - спец-ты Банка начали терроризировать моих родственников, знакомых и пр.лиц, чьи контакты я когда-то давно имела неосторожность оставить или на чьи номера когда-либо отправляла деньги со своего личного кабинета в интернет-банке. Поэтому я воспользовалась своим правом - написала и отправила Банку (Почтой России (заказное с увед. и писью влож), на эл.почту)) заявление об отзыве своего согласия на обработку персональных данных, попросив сообщить мне о решении письменно выслав ответ на адрес факт.проживания. Почта России ответ мне от Банка еще не доставила (не знаю будет ли он вообще), а вот на эл.почту мне пришло письмо от специалиста Банка следующего содержания: "Уважаемая .......! В силу Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Банк осуществляет обработку персональных данных с соблюдением принципов и правил, предусмотренных данным Федеральным законом. Согласно ст. 15 Федерального Закона «О потребительском кредите (займе)» № 353-ФЗ: «При совершении действий, направленных на возврат во внесудебном порядке задолженности, возникшей по договору потребительского кредита (займа), кредитор и (или) юридическое лицо, с которым кредитор заключил агентский договор, предусматривающий совершение таким лицом юридических и (или) иных действий, направленных на возврат задолженности, возникшей по договору потребительского кредита (займа) (далее - лицо, осуществляющее деятельность по возврату задолженности), вправе взаимодействовать с заемщиком и лицами, предоставившими обеспечение по договору потребительского кредита (займа), используя: 1) личные встречи, телефонные переговоры (далее - непосредственное взаимодействие); 2) почтовые отправления по месту жительства заемщика или лица, предоставившего обеспечение по договору потребительского кредита (займа), телеграфные сообщения, текстовые, голосовые и иные сообщения, передаваемые по сетям электросвязи, в том числе подвижной радиотелефонной связи». При заключении договора согласие на обработку персональных данных было представлено Вами в Анкете Клиента. Также в Анкете Вами были предоставлены дополнительные контактные данные третьих лиц. При ненадлежащем исполнении обязательств по кредитному Договору, Банк вправе осуществлять урегулирование вопроса по погашению просроченной задолженности в соответствии с данными, предоставленными лично Заемщиком в Анкете. Непосредственное взаимодействие путем проведения телефонных переговоров Банк осуществляет по всем контактным номерам, предоставленным Заемщиком лично при оформлении кредита. Данное Вами согласие на обработку персональных данных может быть отозвано путем направления соответствующего письменного отзыва согласия в Банк. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Банк вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе №152-ФЗ «О персональных данных» от 27.07.2006 г., в частности, когда обработка таких данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных. Таким образом, при наличии у Вас неисполненных обязательств перед Банком Банк вправе осуществлять обработку Ваших персональных данных без Вашего согласия. Для исключения контактных номеров третьих лиц, а также изменения информации о месте работы, необходимо обратиться в офис. В замен номеров, которые хотели бы исключить предоставить другие контактные. Мы надеемся на Ваш объективный взвешенный подход к сложившейся ситуации." Действительно ли в данной ситуации у меня нет законных оснований предъявлять подобного рода требования Банку (неужели я незаконно отстаиваю свои права)? И правомерен ли ответ специалиста? Благодарю Вас!
, вопрос №1051101, Елена,
1 ответ