Как соблюдать 152-ФЗ при обработке персональных данных и нужно ли уведомление и согласия?

Здравствуйте!

1. Текста на кнопке недостаточно. Требуется отдельный чек-бокс с явным согласием («Я согласен на обработку данных») и ссылкой на Политику обработки персональных данных. Согласие должно содержать цели обработки, перечень данных, способы отзыва и срок действия. Иначе могут привлечь к административной ответственности по ч. 2 ст. 13.11 КоАП РФ.

влечет наложение административного штрафа на граждан в размере от десяти тысяч до пятнадцати тысяч рублей; на должностных лиц — от ста тысяч до трехсот тысяч рублей; на юридических лиц — от трехсот тысяч до семисот тысяч рублей.

2. Если обработка необходима для исполнения договора с Клиентом А (например, управление связью), согласие сотрудников не требуется. Основание — п. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ (договор между оператором и субъектом персональных данных не заключен, но обработка необходима для стороннего договора). Однако в договоре с Клиентом А должен быть прямой пункт о передаче данных сотрудников и целях обработки.

3. Согласие физлиц не требуется, если обработка происходит в рамках исполнения договора комиссии. Однако Вы обязаны убедиться, что Клиент Б имеет законные основания для передачи данных (например, трудовые договоры с физлицами). Если данные получены незаконно, ответственность несете Вы .

4. Отдельное согласие не нужно, если в первоначальном согласии субъекта (например, сотрудника) указана цель «передача аутсорсеру для начисления выплат». С аутсорсинговой компанией обязан заключить договор поручения обработки персональных данных.

5. Подать его нужно, если обработка данных не относится к исключениям из ч. 2 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ. 

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

— включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

— в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;

— обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

В иных случаях уведомление обязательно.

До 30.05.2025 применяется ст. 19.7 КоАП РФ (штраф для юрлиц — 3 000–5 000 руб.). С 30.05.2025 вводится ч. 10 ст. 13.11 КоАП РФ с увеличенными штрафами, для юрлиц и ИП до 300 000 рублей.

https://www.consultant.ru/legalnews/28492/

Форма уведомления утверждена Приказом Роскомнадзора от 28.10.2022 № 180 (Приложение № 1). Подать можно через сайт Роскомнадзора, через портал Госуслуг, либо по почте.

Добрый день Зелимхан!

1. Форма обратной связи на сайте:

 Вопрос: Достаточно ли текста «Нажимая кнопку, вы даёте согласие на обработку персональных данных», или требуется отдельная форма согласия/чек-бокс/письменная форма?
Ответ: Текст «Нажимая кнопку, вы даёте согласие на обработку персональных данных» недостаточен для соответствия требованиям 152-ФЗ. Такое «согласие» не является конкретным, информированным и сознательным.

Необходим чек-бокс (галочка) рядом с текстом, формулировка которого будет более четкой и конкретной, например: «Я даю согласие на обработку моих персональных данных в соответствии с [ссылка на Политику конфиденциальности/Положение об обработке ПДн], для получения бесплатной консультации.»
Политика конфиденциальности/Положение об обработке ПДн: На сайте обязательно должна быть размещена политика конфиденциальности, в которой подробно описываются цели обработки, категории обрабатываемых данных, сроки хранения, права субъектов ПДн и другая информация, требуемая законом. Ссылка на эту политику должна быть доступна перед получением согласия.
Запись согласия: Необходимо технически обеспечить запись факта получения согласия (например, сохранять дату и время проставления галочки, IP-адрес пользователя).
Изменения с 30 мая 2025 года: Ужесточаются требования к доказыванию факта получения согласия. Будьте готовы к более строгой проверке со стороны Роскомнадзора.
Рекомендация: Внедрите чек-бокс с четкой формулировкой и обеспечьте наличие политики конфиденциальности на сайте.

 2. Клиенту А оказываем услугу по управлению корпоративной мобильной связью:

 Вопрос: Требуется ли согласие сотрудников клиента или достаточно договора между нами и клиентом?
Ответ: Требуется согласие сотрудников клиента, даже если в договоре с клиентом есть пункт о праве обработки ПДн. Договор между вами и клиентом не является основанием для обработки персональных данных сотрудников этого клиента без их согласия.

Основание обработки: Ваш клиент должен получить согласие своих сотрудников на передачу их данных вам для оказания услуг по управлению корпоративной мобильной связью. Это ответственность вашего клиента как оператора ПДн.
Договор поручения обработки: В вашем договоре с клиентом должен быть четко прописан пункт о том, что вы обрабатываете ПДн сотрудников клиента по его поручению, и он несет ответственность за наличие законных оснований для такой обработки (включая согласие). В договоре также должны быть указаны ваши обязанности по обеспечению безопасности ПДн.
Ваша ответственность: Вам необходимо обеспечить защиту получаемых персональных данных в соответствии с требованиями 152-ФЗ.
Рекомендация: Настаивайте на том, чтобы ваш клиент получал согласие сотрудников. Включите в договор пункт об ответственности клиента за законность обработки ПДн, передаваемых вам.
 3. Клиенту Б оказываем услуги по выплате компенсаций физлицам в рамках договора комиссии:

 Вопрос: Действительно ли в этом случае не требуется согласие субъектов ПДн, если мы, как комиссионер, взаимодействуем с ними опосредованно, ссылаясь на п.5 ст.6 152-ФЗ (гражданско-правовой договор)?
Ответ: Не совсем так. Необходимо анализировать ситуацию. Пункт 5 статьи 6 152-ФЗ допускает обработку ПДн без согласия, если она необходима для исполнения договора, стороной которого является субъект ПДн. Однако, в вашем случае, вы выплачиваете компенсации по поручению клиента (комитента), а не являетесь стороной договора с физлицами.

Анализ цели: Определите, действительно ли обработка ПДн необходима непосредственно для исполнения договора комиссии между вами и клиентом, или она необходима для исполнения договора между клиентом и физлицом. Если второе, то согласие физлиц необходимо.
Наиболее безопасный вариант: Даже если юрист клиента считает, что согласие не требуется, я рекомендую настаивать на его получении. Это снизит ваши риски.
Условие в договоре комиссии: Включите в договор условие о том, что клиент (комитент) гарантирует наличие законных оснований для передачи вам персональных данных физлиц, необходимых для выплаты компенсаций (включая, при необходимости, согласие субъектов ПДн).
Рекомендация: Проанализируйте цели обработки данных, и настаивайте на получении согласия физлиц.
 

4. Аутсорсинг бухгалтерии:

 Вопрос: Нужно ли получать отдельное согласие на такую передачу и заключать договор обработки ПДн с бухгалтерией?
Ответ: Да, нужно заключать договор обработки ПДн (поручение на обработку) с бухгалтерией.

Договор поручения обработки (статья 6 152-ФЗ): Вы передаете персональные данные третьей стороне (бухгалтерии) для выполнения определенных действий (формирование и отправка платежей), поэтому необходимо заключить с ней договор, в котором четко определить: Перечень действий, которые бухгалтерия может совершать с ПДн.
Обязанность бухгалтерии соблюдать конфиденциальность ПДн и обеспечивать их безопасность.
Требования к защите ПДн, установленные 152-ФЗ.
Ответственность бухгалтерии за нарушение требований 152-ФЗ.
Согласие: Вопрос о необходимости получения отдельного согласия от субъектов ПДн на передачу их данных бухгалтерии зависит от того, как сформулировано исходное согласие, которое вы получили (например, от сотрудников). Если в согласии указано, что данные могут быть переданы третьим лицам для целей бухгалтерского учета, то отдельное согласие не требуется. Если такой пункт отсутствует, лучше получить дополнительное согласие.
Рекомендация: Обязательно заключите договор поручения на обработку с бухгалтерией. Проанализируйте имеющиеся согласия и, при необходимости, получите дополнительные согласия на передачу данных бухгалтерии.
 

5. Уведомление Роскомнадзора:

 Вопрос: Нужно ли нам подавать уведомление о намерении обрабатывать ПДн в Роскомнадзор? Если да — как правильно его оформить и какие риски при отсутствии?
Ответ: Да, вам, скорее всего, нужно подавать уведомление в Роскомнадзор.

Обязанность уведомления (статья 22 152-ФЗ): Оператор, осуществляющий обработку персональных данных, обязан уведомить Роскомнадзор о начале обработки ПДн, за исключением случаев, перечисленных в пункте 2 статьи 22 152-ФЗ (например, обработка данных исключительно в целях трудовых отношений, обработка данных, сделанных общедоступными самим субъектом ПДн). Ваша деятельность, скорее всего, не подпадает под исключения.
Исключения с 30 мая 2025 года: С 30 мая 2025 года перечень исключений сужается, поэтому вам тем более нужно будет уведомлять Роскомнадзор.
Как оформить: Уведомление подается в электронной форме через портал Роскомнадзора. Необходимо указать: Сведения об операторе (вашей компании).
Цели обработки ПДн.
Категории обрабатываемых ПДн.
Категории субъектов ПДн.
Правовые основания обработки ПДн.
Сведения о мерах по обеспечению безопасности ПДн.
Сведения о трансграничной передаче данных (если осуществляется).
Риски при отсутствии: Отсутствие уведомления является административным правонарушением (статья 19.7 КоАП РФ) и влечет наложение штрафа. Кроме того, это может повлечь более серьезные проверки со стороны Роскомнадзора.
Рекомендация: Подайте уведомление в Роскомнадзор. Внимательно заполните все поля уведомления, указав достоверную информацию о вашей деятельности по обработке ПДн.