Все это — онлайн, с заботой о вас и по отличным ценам.
ИП обрабатывает персональные данные сотрудников?
Как правильно организовать обработку персональных данных у ИП в сфере общепита (кофейня, изготовление кондитерской продукции на заказ, продажа кондитерских изделий в кофейне).
ИП получает следующие данные клиентов для изготовления кондитерской продукции
(телефон, имя, адрес доставки), для этой цели необходимо согласие субъекта персональных данных или нет?
ИП обрабатывает персональные данные сотрудников? Что должно быть для этого?
ИП через СБИС оформляет карты лояльности для клиентов (обрабатывает фио, дату рождения, телефон), какие документы необходимы для организации такой обработки?
Доброго времени!
Как правильно организовать обработку персональных данных у ИП в сфере общепита (кофейня, изготовление кондитерской продукции на заказ, продажа кондитерских изделий в кофейне).
ИП в сфере общественного питания должен разработать внутренние документы, получить согласия клиентов, ограничить доступ к данным и обеспечить их безопасность в соответствии с законом №152-ФЗ «О персональных данных» и сопутствующими нормативными актами..
ИП получает следующие данные клиентов для изготовления кондитерской продукции (телефон, имя, адрес доставки), для этой цели необходимо согласие субъекта персональных данных или нет?
Нужно согласие, т.к. сбор и обработка персональных данных возможны только с согласия субъекта данных
Персональные данные включают: имя, дату рождения, контактную информацию (телефон, электронную почту), адрес доставки, данные аккаунтов в социальных сетях и прочее....
ИП обрабатывает персональные данные сотрудников? Что должно быть для этого?
ИП должен зарегистрироваться в Роскомнадзоре как оператор персональных данных, и оформить политику обработки персональных данных (Положение), в котором прописать цели, порядок, условия и меры защиты персональных данных.
Необходимо получить согласие клиентов на обработку их персональных данных. Согласие может быть письменным, устным или выраженным конклюдентными действиями (например, регистрация на сайте или отметка в форме).
Назначить ответственного за организацию обработки персональных данных (например, самого ИП или сотрудника).
Обеспечить доступ к персональным данным только уполномоченным сотрудникам, ознакомленным с требованиями законодательства и внутренними документами по обработке данных.
ИП через СБИС оформляет карты лояльности для клиентов (обрабатывает фио, дату рождения, телефон), какие документы необходимы для организации такой обработки?
Согласие на обработку персональных данных, в котором указаны цели (участие в программе лояльности), перечень обрабатываемых данных (ФИО, дата рождения, телефон), действия с данными (сбор, хранение, использование и т. д.), срок действия согласия и лица, которым могут передаваться данные.
Положение о неразглашении персональных данных для сотрудников, имеющих доступ к данным клиентов.
Приказы и инструкции для ответственных сотрудников по работе с персональными данными.
Уведомить Роскомнадзор о начале обработки персональных данных, подав соответствующее заявление на регистрацию оператора персональных данных (ИП).
Согласие можно получат. как в письменной форме (анкеты, договоры), так и в электронной (чекбоксы на сайте, электронные формы)!
Андрей, здравствуйте.
Согласно п. п. 1, 2, 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»,
персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Касательно согласия на обработку и передачу персональных данных.
Оператор вправе обрабатывать персональные данные только с письменного согласия их субъекта. Согласие может быть на бумажном носителе или в электронной форме (см. ч. 4 ст. 9 ФЗ о персональных данных).
Сведения, которые должно содержать согласие, перечислены в п. п. 1 — 9 ч. 4 ст. 9 этого ФЗ о перс. данных.
Оно должно содержать сведения о субъекте ПД, цель обработки таких данных, перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных.
Требования к содержанию согласия на обработку ПД, разрешенных субъектом ПД для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18.
Согласие должно содержать следующую информацию:
1) фамилия, имя, отчество (при наличии) субъекта персональных данных;
2) контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);
3) сведения об операторе-организации — наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
4) сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;
5) цель (цели) обработки персональных данных;
6) категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:и т.д.
Согласия на обработку ПД, разрешенных субъектом ПД для распространения, могут быть предоставлены операторам как непосредственно, так и с использованием ИС Роскомнадзора.
Через ИС Роскомнадзора данные согласия предоставляются (получаются) в соответствии с Правилами, утвержденными Приказом Роскомнадзора от 21.06.2021 N 106.
ИП обрабатывает персональные данные сотрудников? Что должно быть для этого?
Обработка персональных данных осуществляется с согласия работника. Оно должно быть конкретным, предметным, информированным, сознательным и однозначным (см п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о ПД).
Учтите, что в случае возникновения спора доказать получение согласия работника на обработку его ПД данных должен работодатель.
Работодатель с согласия работника вправе поручить обработку его персональных данных другому лицу.
Опять же ответственность перед работником за действия указанного лица несет работодатель.
Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18.
Согласие работника на обработку ПД рекомендуюоформлять отдельным документом.
В данное согласие включайте:
1) ФИО, адрес работника, реквизиты документа, удостоверяющего его личность (полные данные);
2) при получении согласия от представителя работника, также его ФИО, адрес, реквизиты документа, удостоверяющего личность, реквизиты доверенности или иного документа, подтверждающего полномочия представителя;
3) ФИО и адрес работодателя;
4) цель обработки персональных данных;
5) перечень ПД, которые подлежат обработке;
6) ФИО лица, которому поручена обработка ПД;
7) перечень действий с ПД, на совершение которых работником дано согласие, общее описание способов их обработки;
8) срок, в течение которого действует согласие работника на обработку, и способ отзыва согласия;
9) подпись работника.
Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).
ИП через СБИС оформляет карты лояльности для клиентов (обрабатывает фио, дату рождения, телефон), какие документы необходимы для организации такой обработки?
Требования те же, что мной указаны выше.
Надеюсь мой ответ был Вам полезен!
Если у вас остались дополнительные вопросы или нужна помощь в подготовке документов, напишите мне в чат. Буду рад помочь!
Здравствуйте, Андрей.
Дополню следующим, поскольку коллеги делают перекос про необходимость получения согласия и становление оператором, однако, перед этим, Вам необходимо разработать политику обработки персональных данных, где Вы определите принципы и условия обработки персональных данных, в соответствии с гл. 2 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ, разработает локальные нормативные акты к ней, а уже потом — разрабатываете согласие на обработку персональных данных и уже только потом регистрируйтесь в качестве оператора персональных данных в РКН.
Иначе — не сможете заполнить уведомление в РКН, поскольку будете вынуждены указывать ложные сведения о наличии тех или иных документов, что недопустимо.
Если Вам потребуется разработка политики (имеются наработки, прошедшие согласование в РКН), ЛНА, согласия, помощь в заполнении уведомления, Вы можете обратиться ко мне в чат, нажав кнопку «Общаться в чате», за возмездными услугами.
Уважаемый Андрей, здравствуйте! Ваш вопрос очень объемный
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», индивидуальный предприниматель (ИП), осуществляющий деятельность в сфере общепита, является оператором персональных данных и обязан соблюдать требования законодательства при их обработке.
www.consultant.ru/document/cons_doc_LAW_61801/
1. Да, требуется согласие, данная информация относится к персональным данным.
2. По работникам — регулируется ст. 86–90 ТК РФ и Законом № 152-ФЗ. Для обработки персональных данных работников необходимо:
— ознакомить работников под роспись с локальным актом (Политикой обработки персональных данных);
— получить письменное согласие на обработку персональных данных, за исключением случаев, предусмотренных законом (ст. 86, 88 ТК РФ, ст. 9 Закона № 152-ФЗ);
— обеспечить защиту персональных данных и ограничить доступ к ним (ст. 87 ТК РФ).
3. Оформление карт лояльности через СБИС требует:
— получения письменного согласия клиента на обработку персональных данных (ст. 9 Закона № 152-ФЗ);
— разработки и утверждения Политики обработки персональных данных;
— заключения договора с оператором СБИС, если обработка осуществляется с привлечением третьих лиц (ст. 6, 18.1 Закона № 152-ФЗ).
4. Согласно ст. 22 Закона № 152-ФЗ, до начала обработки персональных данных ИП обязан подать уведомление в Роскомнадзор, за исключением случаев, прямо предусмотренных ч. 2 ст. 22 Закона № 152-ФЗ.
ДО подачи уведомления Вам надо разработать:
— Политика обработки персональных данных;
— Согласие на обработку персональных данных;
— Договоры с третьими лицами (например, с СБИС), если обработка осуществляется с их участием;
Несоблюдение требований законодательства влечет административную и иную ответственность (ст. 13.11 КоАП РФ), штрафы существенно увеличат с 30 мая 2025 года.
С уважением, Д.А.Разина
ИП получает следующие данные клиентов для изготовления кондитерской продукции
(телефон, имя, адрес доставки), для этой цели необходимо согласие субъекта персональных данных или нет?
Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному физическому лицу. Персональные данные могут быть разрешенными для распространения (ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»).
К персональным данным относятся:
— фамилия, имя, отчество;
— пол, возраст;
— образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
— место жительства;
— семейное положение, наличие детей, родственные связи;
— факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
— финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
— деловые и иные личные качества, которые носят оценочный характер;
— прочие сведения, которые могут идентифицировать человека.
В законе нет конкретного перечня необходимых документов. Компании и ИП могут сами решать, как именно оформлять положения и приказы — главное, чтобы этих документов было достаточно для выполнения обязанностей оператора персональных данных (ст. 18 закона № 152-ФЗ от 27.07.2006 «О персональных данных»).
Обычно компании готовят документы:
Политику обработки и защиты персональных данных. Это обязательный документ. Он может называться по-разному: политика конфиденциальности, политика защиты персональных данных или как-то ещё. Главное, чтобы в нём было указано, какие именно данные вы храните, в каких целях их собираете и как обеспечивает конфиденциальность.
Политику нужно разместить в открытом доступе, чтобы клиенты могли её прочитать. Обычно ссылку добавляют в формы регистрации и согласия на обработку данных, а также размещают в подвале сайта.
Как составить документ, читайте в рекомендациях Роскомнадзора. Также вы можете изучить политики других компаний — и на их основе составить свою. Например, политика обработки и защиты персональных данных компании «Эвотор», политика конфиденциальности Ozon, политика обработки персональных данных интернет-магазина Tasty Coffee.
Положение о работе с персональными данными. Это правила, по которым ваши сотрудники будут хранить, обрабатывать и использовать информацию. Правила должны соответствовать закону 152-ФЗ. Документ можно объединить с политикой обработки персональных данных.
Положение о неразглашении персональных данных. Этот документ должны подписать сотрудники. Таким образом все, кто будет иметь доступ к персональным данным, подтвердят, что не станут передавать информацию третьим лицам.
Приказы и инструкции для ответственных сотрудников. В документах указывают, у кого есть доступ к информации, где хранятся данные и как с ними работать.
Соглашение на обработку персональных данных.Это документ для клиентов. Например, соглашение на сайте «Летуаль». Можно не составлять отдельный документ, а условия согласия прописать в политике конфиденциальности.
2. Подайте уведомление в Роскомнадзор. В уведомлении нужно указать сведения о компании и сообщить, зачем вам понадобились персональные данные (ст. 22 закона 152-ФЗ). Подать документ можно заполнив форму на сайте и подписать электронной подписью или подать через Госуслуги.
Форма уведомления
В течение 30 дней Роскомнадзор внесёт вас в реестр операторов персональных данных.
Если вы перестанете хранить персональные данные, об этом тоже нужно будет уведомить Роскомнадзор.
3. Для организаций — назначьте ответственных. Решите, кто в компании будет заниматься персональными данными и выпустите приказ. Например, техническим обслуживанием и защитой процесса обработки займётся системный администратор. Доработкой документов, например, если вы добавите в форму новое поле, — юрист. НR-специалист ознакомит всех ответственных с новыми обязанностями и подготовленными документами.
Как только Роскомнадзор добавит вас в реестр операторов, вы сможете законно собирать персональные данные.
Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 08.08.2024) «О персональных данных»
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.