Вопросы-ответы по обработке персональных данных и регистрации на портале Роскомнадзор
1. Общие вопросы
Как попасть в реестр операторов персональных данных (ПД)?
Заполнить уведомление на портале ПД РКН: https://pd.rkn.gov.ru/
Если цели обработки ПД разные (собственные кадры и ПД клиентов), нужно подавать одно уведомление или несколько?
Уведомление в РКН подается одно с указанием всех целей обработки ПД.
В каком порядке разрабатываются локально-нормативные документы?
Определенного порядка нет в законе. Можно придерживаться, например, логики ч. 1 ст. 18.1 152-ФЗ: сначала назначить ответственного, потом утвердить политику и иные документы, затем перейти к организационным и техническим мерам и т.д.
В нашей компании ПД хранятся в базе 1С ЗУП (арендуемая база, облачное хранилище) и в программе Битрикс. Как в Уведомлении в Роскомнадзор прописать эти базы. Указать местонахождение организации или ip-адрес сервера? И как можно получить эти данные?
Данные нужно получить, направив запрос разработчику, арендодателю. В уведомлении указывается адрес ЦОДа - тот, который по запросу предоставлен, поле Собственный ЦОД - указывается «Нет» и далее необходимо указать, какая организация обеспечивает хранение баз данных.
Нужно ли работодателю становиться оператором по обработке ПД? Каким образом работодатель должен хранить личные дела (в сейфе с замком)?
Оператором становятся сразу, как только приступают к обработке ПД. Главное требование - хранить так, чтобы обеспечить сохранность и исключить случайный или несанкционированный доступ к ним.
Какое наказание грозит тем, кто не подавал ранее уведомление РКН и сейчас первый раз это сделает?
Если до 30 мая 2025 года подадите Уведомление - вам ничего не грозит, пока штрафов нет.
Какой срок хранения резюме?
30 дней. Это исходит из положений ч. 4 ст. 21 152-ФЗ.
Если ООО не работает (директор является единственным учредителем), нужно ли подавать уведомление?
Если директор является единственным учредителем ООО, он все равно является оператором персональных данных и уведомление подавать нужно.
Если ПД передаются только в налоговую и в СФР, то что указывать в политике?
Указать, что ПД передаются в государственные органы с целью направления обязательной отчетности в силу закона (можно указать конкретные НПА).
Как организовать защиту ПД? Достаточно ли для проверяющих установки антивируса и паролей на рабочих компьютерах?
Смотря кто придет с проверкой. РКН интересует наличие всей необходимой документации, ознакомление сотрудников под роспись, могут проверить наличие действующих антивирусов и наличие надежных мест хранения. Если придет с проверкой ФСБ или прокуратура - они могут проверить наличие необходимых средств защиты информации (СЗИ).
Мы должны хранить или уничтожить обрабатываемые ПД? А если работник обратится с заявлением об отказе в обработке своих ПД и их уничтожении (уволить по ТК РФ мы его не можем, но и зарплату мы ему платить тоже не сможем)?
То, что должно храниться в силу закона - вы продолжаете хранить. При отзыве согласия также можно продолжить обработку на иных правовых основаниях (ч. 1 ст. 6 152-ФЗ).
Запись разговоров с клиентами подпадает под данный закон?
Если запись разговора содержит ПД хоть по одному клиенту, то подпадает.
Какие особенности есть в применении закона 152-ФЗ в некоммерческих организациях?
Для некоммерческих организаций отдельных требований по 152-ФЗ нет. Для всех требования едины.
Если мы работаем с юридическими лицами (поставщиками) и запрашиваем документы по должной осмотрительности, должны это прописывать в положении?
Если вы запрашиваете документы у юридического лица, это не подпадает под 152-ФЗ.
Где можно скопировать политику?
Шаблона нет, копировать чужую не рекомендуем, так как у каждой компании свои особенности в ведении деятельности.
Будет ли только ФИО являться ПД?
Да.
Если ведется видеонаблюдение в общих офисных помещениях типа рабочего зала, холлов, буфете с целью соблюдения порядка и распорядка дня, к видео обращаются в случае пропажи чего-либо, необходимости установить время отсутствия на работе работника и т.п. является ли это обработкой биометрических ПД?
Нет.
Если в названии электронной почты содержится наименование организации, является ли такая почта ПД?
Если название почты содержит указание на ФИО, место работы, год рождения и т.д. - это ПД.
При приеме на работу отдел кадров сверяет фото на паспорте с физлицом, чтобы установить принадлежность документа данному физлицу. Является ли это обработкой биометрических ПД?
Нет.
У нас есть политика и документы, но изменился юридический адрес компании. Что делать?
Необходимо внести изменения в документы и актуализировать их. Можно обновить комплект или сделать приказ о внесении изменений в части адреса в те документы, в которых он указан.
При смене только наименования юрлица надо ли подавать новое уведомление и в какой срок?
Нужно, до 15 числа месяца, следующего за месяцем изменений.
Наш клиент с целью оказания ему бухгалтерских услуг передает ПД своих сотрудников. Какие доказательства законности получения ПД его сотрудников у нас должны быть?
Договор на оказание услуг + поручение на обработку ПД.
В каких документах и как отражать передачу ПД в ИФНС, СФР, операторы Контур, Калуга Астрал?
В Политике, согласиях, при описании информационных систем персональных данных (ИСПД) и мест нахождения баз данных. Описывать относительно целей обработки (пп. 2 ч. 1 ст. 18.1 152-ФЗ).
Как узнать было ли оператором подано уведомление в Роскомнадзор?
На портале ПД на главной странице есть форма для проверки (https://pd.rkn.gov.ru/), введите ИНН для поиска.
Сведения в военных билетах, сведения об инвалидности, сведения о нетрудоспособности – специальные категории персональных данных?
РКН придерживается позиции, что да.
Каким мессенджером разрешено пользоваться?
Пользуйтесь любыми защищенными каналами связи для обмена ПД.
Если контрагент отправляет нам персональные данные через WhatsApp, то кто несет ответственность: тот кто их передает или обе стороны?
Прежде всего, тот кто передает, но может и другая сторона пострадать (например, если Вы установили такое требование по направлению информации).
Если уведомление в Роскомнадзор давно подано, сейчас нужно подать новое уведомление или внести изменения в существующее?
Нужно внести изменения через уведомление об изменениях.
Если в ИП один человек, то данные тоже нужно сдавать?
Да, нужно подать уведомление.
Можно ли ОРТ утверждать директором и ознакамливать сотрудников через КЭДО, не распечатывая?
Частично можно, но некоторые документы требуют подписи (например, документы, определяющие обработку ПД сотрудников, их права и обязанности в сфере обработки ПД).
Фотография сотрудника используемая на сайте или внутреннем сайте является биометрическими данными?
Нет.
Если компания на своем сайте не ведет сбор и обработку ПД, нужно ли размещать Политику на сайте?
Без сбора Политика не нужна (но не забывайте про метрические программы, это тоже ПД).
Может ли сотрудник, работающий удаленно, быть ответственным за ПД?
Может, если он реально сможет выполнять свои обязанности удаленно.
Согласие на обработку ПД для работника по договору ГПХ должно заканчиваться с окончание срока договора?
Обработка ПД ограничивается целями обработки (прекращение договора, истечение сроков хранения договора).
Мы торгуем в интернете. Бывают возвраты денежных средств на счет покупателей. Мы должны брать согласие на передачу ПД банку ? Без данных мы не вернем деньги.
В данной ситуации не надо, это и условия договора купли-продажи, и защита прав потребителей по закону.
Надо ли подписывать обязательство о нераспространении ПД?
С сотрудниками можно подписать такое обязательство, либо включить это в трудовой договор, локальные акты - требования оформления именно Обязательства нет, но об ответственности и необходимости соблюдения конфиденциальности сотрудники, работающие с ПД, должны быть предупреждены.
Нужно ли указывать в Уведомлении в Роскомнадзор цель обработки ПД "Заключение договоров с арендаторами"?
Здесь нужно уточнение - это основная деятельность? Тогда лучше отдельно ее описывать. Если нет, то можно указать цель "заключение и исполнение гражданско-правовых договоров" - такая цель предусмотрена в форме уведомления на портале ПД.
Если в организации разработано Положение о ПД, то политику все равно необходимо сделать? Или достаточно Положения?
Если этот документ отвечает требованиям пп. 2 ч. 1 ст. 18.1 152-ФЗ (поцелевое описание обработки ПД), то политику можно не делать (Положение и будет определять политику, просто название будет иное, что не запрещено).
1 сентября 2022 года отправляли уведомление о ПД. Нужно ли еще раз уведомлять Роскомнадзор?
Проверьте по реестру: если информация описана не по целям, а по ИСПД - то рекомендуется подать по новой форме, так как на 01.09.2022 на портале ПД еще не были обновлены электронные формы уведомлений.
На сайте организации берем телефон и Имя для связи с посетителем сайта, есть окошечко “галочка” о согласии на обработку ПД. Достаточно ли этого, или нужно подписывать бланк согласия?
Должен быть текст этого согласия, с которым мог бы ознакомиться субъект и ссылка на Политику.
Нужно ли брать согласие, если размещаем рекомендательные письма довольных клиентов на сайте организации (указаны ФИО, должность подписанта, организация)?
Либо исключать из отзывов ПД, либо брать согласия для распространения.
Нужно ли согласие для передачи ПД родственников сотрудников организации, например детей, в СФР, налоговую и пр.?
Если передача в силу требований закона, то нет.
Надо ли брать согласие на обработку ПД с субъектов, если единственная цель, где используются ПД - сдача обязательной отчетности в налоговые органы и СФР?
Нет.
Как попасть в реестр операторов персональных данных (ПД)?
Заполнить уведомление на портале ПД РКН: https://pd.rkn.gov.ru/
Если цели обработки ПД разные (собственные кадры и ПД клиентов), нужно подавать одно уведомление или несколько?
Уведомление в РКН подается одно с указанием всех целей обработки ПД.
В каком порядке разрабатываются локально-нормативные документы?
Определенного порядка нет в законе. Можно придерживаться, например, логики ч. 1 ст. 18.1 152-ФЗ: сначала назначить ответственного, потом утвердить политику и иные документы, затем перейти к организационным и техническим мерам и т.д.
В нашей компании ПД хранятся в базе 1С ЗУП (арендуемая база, облачное хранилище) и в программе Битрикс. Как в Уведомлении в Роскомнадзор прописать эти базы. Указать местонахождение организации или ip-адрес сервера? И как можно получить эти данные?
Данные нужно получить, направив запрос разработчику, арендодателю. В уведомлении указывается адрес ЦОДа - тот, который по запросу предоставлен, поле Собственный ЦОД - указывается «Нет» и далее необходимо указать, какая организация обеспечивает хранение баз данных.
Нужно ли работодателю становиться оператором по обработке ПД? Каким образом работодатель должен хранить личные дела (в сейфе с замком)?
Оператором становятся сразу, как только приступают к обработке ПД. Главное требование - хранить так, чтобы обеспечить сохранность и исключить случайный или несанкционированный доступ к ним.
Какое наказание грозит тем, кто не подавал ранее уведомление РКН и сейчас первый раз это сделает?
Если до 30 мая 2025 года подадите Уведомление - вам ничего не грозит, пока штрафов нет.
Какой срок хранения резюме?
30 дней. Это исходит из положений ч. 4 ст. 21 152-ФЗ.
Если ООО не работает (директор является единственным учредителем), нужно ли подавать уведомление?
Если директор является единственным учредителем ООО, он все равно является оператором персональных данных и уведомление подавать нужно.
Если ПД передаются только в налоговую и в СФР, то что указывать в политике?
Указать, что ПД передаются в государственные органы с целью направления обязательной отчетности в силу закона (можно указать конкретные НПА).
Как организовать защиту ПД? Достаточно ли для проверяющих установки антивируса и паролей на рабочих компьютерах?
Смотря кто придет с проверкой. РКН интересует наличие всей необходимой документации, ознакомление сотрудников под роспись, могут проверить наличие действующих антивирусов и наличие надежных мест хранения. Если придет с проверкой ФСБ или прокуратура - они могут проверить наличие необходимых средств защиты информации (СЗИ).
Мы должны хранить или уничтожить обрабатываемые ПД? А если работник обратится с заявлением об отказе в обработке своих ПД и их уничтожении (уволить по ТК РФ мы его не можем, но и зарплату мы ему платить тоже не сможем)?
То, что должно храниться в силу закона - вы продолжаете хранить. При отзыве согласия также можно продолжить обработку на иных правовых основаниях (ч. 1 ст. 6 152-ФЗ).
Запись разговоров с клиентами подпадает под данный закон?
Если запись разговора содержит ПД хоть по одному клиенту, то подпадает.
Какие особенности есть в применении закона 152-ФЗ в некоммерческих организациях?
Для некоммерческих организаций отдельных требований по 152-ФЗ нет. Для всех требования едины.
Если мы работаем с юридическими лицами (поставщиками) и запрашиваем документы по должной осмотрительности, должны это прописывать в положении?
Если вы запрашиваете документы у юридического лица, это не подпадает под 152-ФЗ.
Где можно скопировать политику?
Шаблона нет, копировать чужую не рекомендуем, так как у каждой компании свои особенности в ведении деятельности.
Будет ли только ФИО являться ПД?
Да.
Если ведется видеонаблюдение в общих офисных помещениях типа рабочего зала, холлов, буфете с целью соблюдения порядка и распорядка дня, к видео обращаются в случае пропажи чего-либо, необходимости установить время отсутствия на работе работника и т.п. является ли это обработкой биометрических ПД?
Нет.
Если в названии электронной почты содержится наименование организации, является ли такая почта ПД?
Если название почты содержит указание на ФИО, место работы, год рождения и т.д. - это ПД.
При приеме на работу отдел кадров сверяет фото на паспорте с физлицом, чтобы установить принадлежность документа данному физлицу. Является ли это обработкой биометрических ПД?
Нет.
У нас есть политика и документы, но изменился юридический адрес компании. Что делать?
Необходимо внести изменения в документы и актуализировать их. Можно обновить комплект или сделать приказ о внесении изменений в части адреса в те документы, в которых он указан.
При смене только наименования юрлица надо ли подавать новое уведомление и в какой срок?
Нужно, до 15 числа месяца, следующего за месяцем изменений.
Наш клиент с целью оказания ему бухгалтерских услуг передает ПД своих сотрудников. Какие доказательства законности получения ПД его сотрудников у нас должны быть?
Договор на оказание услуг + поручение на обработку ПД.
В каких документах и как отражать передачу ПД в ИФНС, СФР, операторы Контур, Калуга Астрал?
В Политике, согласиях, при описании информационных систем персональных данных (ИСПД) и мест нахождения баз данных. Описывать относительно целей обработки (пп. 2 ч. 1 ст. 18.1 152-ФЗ).
Как узнать было ли оператором подано уведомление в Роскомнадзор?
На портале ПД на главной странице есть форма для проверки (https://pd.rkn.gov.ru/), введите ИНН для поиска.
Сведения в военных билетах, сведения об инвалидности, сведения о нетрудоспособности – специальные категории персональных данных?
РКН придерживается позиции, что да.
Каким мессенджером разрешено пользоваться?
Пользуйтесь любыми защищенными каналами связи для обмена ПД.
Если контрагент отправляет нам персональные данные через WhatsApp, то кто несет ответственность: тот кто их передает или обе стороны?
Прежде всего, тот кто передает, но может и другая сторона пострадать (например, если Вы установили такое требование по направлению информации).
Если уведомление в Роскомнадзор давно подано, сейчас нужно подать новое уведомление или внести изменения в существующее?
Нужно внести изменения через уведомление об изменениях.
Если в ИП один человек, то данные тоже нужно сдавать?
Да, нужно подать уведомление.
Можно ли ОРТ утверждать директором и ознакамливать сотрудников через КЭДО, не распечатывая?
Частично можно, но некоторые документы требуют подписи (например, документы, определяющие обработку ПД сотрудников, их права и обязанности в сфере обработки ПД).
Фотография сотрудника используемая на сайте или внутреннем сайте является биометрическими данными?
Нет.
Если компания на своем сайте не ведет сбор и обработку ПД, нужно ли размещать Политику на сайте?
Без сбора Политика не нужна (но не забывайте про метрические программы, это тоже ПД).
Может ли сотрудник, работающий удаленно, быть ответственным за ПД?
Может, если он реально сможет выполнять свои обязанности удаленно.
Согласие на обработку ПД для работника по договору ГПХ должно заканчиваться с окончание срока договора?
Обработка ПД ограничивается целями обработки (прекращение договора, истечение сроков хранения договора).
Мы торгуем в интернете. Бывают возвраты денежных средств на счет покупателей. Мы должны брать согласие на передачу ПД банку ? Без данных мы не вернем деньги.
В данной ситуации не надо, это и условия договора купли-продажи, и защита прав потребителей по закону.
Надо ли подписывать обязательство о нераспространении ПД?
С сотрудниками можно подписать такое обязательство, либо включить это в трудовой договор, локальные акты - требования оформления именно Обязательства нет, но об ответственности и необходимости соблюдения конфиденциальности сотрудники, работающие с ПД, должны быть предупреждены.
Нужно ли указывать в Уведомлении в Роскомнадзор цель обработки ПД "Заключение договоров с арендаторами"?
Здесь нужно уточнение - это основная деятельность? Тогда лучше отдельно ее описывать. Если нет, то можно указать цель "заключение и исполнение гражданско-правовых договоров" - такая цель предусмотрена в форме уведомления на портале ПД.
Если в организации разработано Положение о ПД, то политику все равно необходимо сделать? Или достаточно Положения?
Если этот документ отвечает требованиям пп. 2 ч. 1 ст. 18.1 152-ФЗ (поцелевое описание обработки ПД), то политику можно не делать (Положение и будет определять политику, просто название будет иное, что не запрещено).
1 сентября 2022 года отправляли уведомление о ПД. Нужно ли еще раз уведомлять Роскомнадзор?
Проверьте по реестру: если информация описана не по целям, а по ИСПД - то рекомендуется подать по новой форме, так как на 01.09.2022 на портале ПД еще не были обновлены электронные формы уведомлений.
На сайте организации берем телефон и Имя для связи с посетителем сайта, есть окошечко “галочка” о согласии на обработку ПД. Достаточно ли этого, или нужно подписывать бланк согласия?
Должен быть текст этого согласия, с которым мог бы ознакомиться субъект и ссылка на Политику.
Нужно ли брать согласие, если размещаем рекомендательные письма довольных клиентов на сайте организации (указаны ФИО, должность подписанта, организация)?
Либо исключать из отзывов ПД, либо брать согласия для распространения.
Нужно ли согласие для передачи ПД родственников сотрудников организации, например детей, в СФР, налоговую и пр.?
Если передача в силу требований закона, то нет.
Надо ли брать согласие на обработку ПД с субъектов, если единственная цель, где используются ПД - сдача обязательной отчетности в налоговые органы и СФР?
Нет.
2. Согласие субъекта Персональных данных
У нас торговая организация, мы заключаем договоры с ИП на поставку товара, запрашиваем в том числе паспорта ИП. Мы должны брать Согласие с клиента на обработку ПД, когда запрашиваем паспорт?
Для должной осмотрительности при личной встрече с руководителем можно посмотреть паспорт, для этого не нужно брать согласие. Но нельзя этот паспорт копировать, оставлять у себя, просить передать по почте - эти действия даже при наличии Согласия делать нельзя.
Должен ли субъект ПД указывать в шапке Согласия о передаче ПД свои паспортные данные, если нам они от него не требуются?
Паспортные данные нужны только в письменной форме Согласия (ч. 4 ст. 9 152- ФЗ) в тех случаях, когда нужна для достижения цели именно письменная форма. Если в рамках случаев, когда можно оформить согласие в свободной форме или согласие на распространение, там не нужно указывать паспортные данные.
Я работаю в статусе ИП, оказываю услуги по ведению бухгалтерского учета юридическим лицам в полном объеме. Нужно ли моим контрагентам давать мне Согласие в письменной форме на обработку всех ПД, с которыми я работаю в процессе оказания услуг по договорам аутсорсинга?
Между Вами и компанией, которой Вы оказываете услуги бухучета, должно быть заключено поручение на обработку ПД. Согласие на передачу Вам ПД работников получает их работодатель. Вы как лицо, действующее по поручению, не обязаны получать согласие.
Нужно ли Согласие для указания личного телефона и почты директора в договоре на оказание услуг?
Договор подписывает директор, поэтому при подписании он вправе сам определить, какой номер телефона или адрес почты укажет (или не укажет), какая форма договора и внесение каких данных в него будет согласовано сторонами. Почта и номер соответствуют цели исполнения договора, значит, Согласие не потребуется.
Можем ли мы запрашивать у работников контакты родственников для связи в экстренных случаях? Надо ли для этого получать письменное Согласие у третьих лиц на предоставление такой информации?
При получении сведений о родственнике от третьего лица (от кандидата), нужно сообщать родственнику о получении этих данных и получать Согласие (от кого и зачем получены, и сохранять получение Согласия - в любой форме). Либо только номер просить у работника как свой дополнительный без знания о том, что это номер третьего лица (пока номер телефона без дополнительной информации не является ПД).
Может ли сотрудник подписать Согласие на обработку ПД простой электронной подписью?
Да.
Как аннулировать Согласие, оформленное ранее, чтобы подписать Согласие, соответствующее законодательству?
Переподписываете правильные формы Согласий, все что было ранее - лучше хранить, чтобы было видно, что раньше Вы тоже брали Согласия, но по какой-то иной форме.
217 ФЗ содержит требование ведения реестра садоводов - означает ли это, что сбор Согласий в объеме, установленном 217 ФЗ, с садоводов не требуется?
Да, означает, если объемы обрабатываемых данных о садоводах и цели соответствуют установленному требованию.
Кандидат направляет резюме и копии документов (скан паспорта, сведения об образовании) на электронную почту. Необходимо ли отдельно брать Согласие на обработку ПД?
Согласие с кандидата брать нужно.
Для передачи данных работников в банк с целью получения зарплаты, какой максимальный срок предоставления Согласия от сотрудников.
Разъяснения РКН: передача ПД работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:
Какой максимальный срок предоставления Согласия от сотрудников?
Таких сроков нет, так как Согласие берется до того, как вы начинаете собирать и обрабатывать данные физлица в заявленных целях.
Можно устанавливать срок действия Согласия его отзывом?
Практика судебная неоднозначная. В данном случае мы говорим, что только отзыва Согласия недостаточно в качестве срока действия Согласия, так как любая обработка ПД ограничивается целями обработки, и это нужно учесть при определении срока. Если указываете конкретный срок действия (5, 10 лет и т.д.), то при таких формулировках РКН всегда просит обосновать, чем обусловлен именно такой срок, нужно быть готовым дать пояснения. Можно указать несколько условий срока действия согласия (в зависимости от того, что наступит ранее - например, прекращение договорных отношений, истечение сроков хранения документов с ПД, отзыв Согласия, отписка от новостной рассылки как способ достижения цели и т.д.).
Если используется фотография в системе контроля и учета доступа на территории, нужно брать Согласие или нет?
Да, потребуется. При этом нужно еще выяснить, как используется фото - возможно потребуется брать Согласие на обработку биометрических данных.
Мы направляем сотрудников на профессиональные конференции и курсы и в заявке направляем организаторам данные сотрудников. Нужно ли в данном случае оформлять письменное Согласие на передачу данных третьим лицам.
Если это обучение сотрудников в образовательных организациях, и отношения на основании закона об образовании (договор заключается и т.д.), то обработка допускается без Согласия. Если это просто участие в коммерческих вебинарах, и сотрудник регистрируется и заявку оформляет сам, то там Согласие, как правило, предусмотрено, а если за сотрудника все делает работодатель, то придется Согласие получить.
Требуется ли отражать в Политике и в Уведомлении способ сбора ПД по телефонному звонку (когда клиент позвонил самостоятельно, прослушал уведомление о сборе ПД и осуществлении аудиозаписи)?
Если Вы решили прописывать в Политике способы получения согласия, реализуемые в компании, то нужно. Однако такой раздел не обязателен. Указываются общие способы обработки ПД (смешанный, неавтоматизированный, автоматизированный). Можно прописать не в политике, а во внутренних инструкциях для сотрудников.
В чем разница между разными видами Согласия?
В законе предусмотрено 3 формы Согласий:
Заключается договор ГПХ с самозанятым. Нужно ли Согласие?
Для исполнения условий договора - нет. Если что-то помимо договора - да.
Нужно ли согласие директора и его заместителей для размещения их фото, должностей и служебных телефонов на сайте компании?
Для размещения фото всегда требуется подписывать Согласие на распространение.
У нас торговая организация, мы заключаем договоры с ИП на поставку товара, запрашиваем в том числе паспорта ИП. Мы должны брать Согласие с клиента на обработку ПД, когда запрашиваем паспорт?
Для должной осмотрительности при личной встрече с руководителем можно посмотреть паспорт, для этого не нужно брать согласие. Но нельзя этот паспорт копировать, оставлять у себя, просить передать по почте - эти действия даже при наличии Согласия делать нельзя.
Должен ли субъект ПД указывать в шапке Согласия о передаче ПД свои паспортные данные, если нам они от него не требуются?
Паспортные данные нужны только в письменной форме Согласия (ч. 4 ст. 9 152- ФЗ) в тех случаях, когда нужна для достижения цели именно письменная форма. Если в рамках случаев, когда можно оформить согласие в свободной форме или согласие на распространение, там не нужно указывать паспортные данные.
Я работаю в статусе ИП, оказываю услуги по ведению бухгалтерского учета юридическим лицам в полном объеме. Нужно ли моим контрагентам давать мне Согласие в письменной форме на обработку всех ПД, с которыми я работаю в процессе оказания услуг по договорам аутсорсинга?
Между Вами и компанией, которой Вы оказываете услуги бухучета, должно быть заключено поручение на обработку ПД. Согласие на передачу Вам ПД работников получает их работодатель. Вы как лицо, действующее по поручению, не обязаны получать согласие.
Нужно ли Согласие для указания личного телефона и почты директора в договоре на оказание услуг?
Договор подписывает директор, поэтому при подписании он вправе сам определить, какой номер телефона или адрес почты укажет (или не укажет), какая форма договора и внесение каких данных в него будет согласовано сторонами. Почта и номер соответствуют цели исполнения договора, значит, Согласие не потребуется.
Можем ли мы запрашивать у работников контакты родственников для связи в экстренных случаях? Надо ли для этого получать письменное Согласие у третьих лиц на предоставление такой информации?
При получении сведений о родственнике от третьего лица (от кандидата), нужно сообщать родственнику о получении этих данных и получать Согласие (от кого и зачем получены, и сохранять получение Согласия - в любой форме). Либо только номер просить у работника как свой дополнительный без знания о том, что это номер третьего лица (пока номер телефона без дополнительной информации не является ПД).
Может ли сотрудник подписать Согласие на обработку ПД простой электронной подписью?
Да.
Как аннулировать Согласие, оформленное ранее, чтобы подписать Согласие, соответствующее законодательству?
Переподписываете правильные формы Согласий, все что было ранее - лучше хранить, чтобы было видно, что раньше Вы тоже брали Согласия, но по какой-то иной форме.
217 ФЗ содержит требование ведения реестра садоводов - означает ли это, что сбор Согласий в объеме, установленном 217 ФЗ, с садоводов не требуется?
Да, означает, если объемы обрабатываемых данных о садоводах и цели соответствуют установленному требованию.
Кандидат направляет резюме и копии документов (скан паспорта, сведения об образовании) на электронную почту. Необходимо ли отдельно брать Согласие на обработку ПД?
Согласие с кандидата брать нужно.
Для передачи данных работников в банк с целью получения зарплаты, какой максимальный срок предоставления Согласия от сотрудников.
Разъяснения РКН: передача ПД работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:
- договор на выпуск банковской карты заключался напрямую с работником, и в нем предусмотрены положения о передаче работодателем ПД работника
- наличие у работодателя доверенности на представление интересов работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующем обслуживании
- соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 Трудового кодекса РФ)
Какой максимальный срок предоставления Согласия от сотрудников?
Таких сроков нет, так как Согласие берется до того, как вы начинаете собирать и обрабатывать данные физлица в заявленных целях.
Можно устанавливать срок действия Согласия его отзывом?
Практика судебная неоднозначная. В данном случае мы говорим, что только отзыва Согласия недостаточно в качестве срока действия Согласия, так как любая обработка ПД ограничивается целями обработки, и это нужно учесть при определении срока. Если указываете конкретный срок действия (5, 10 лет и т.д.), то при таких формулировках РКН всегда просит обосновать, чем обусловлен именно такой срок, нужно быть готовым дать пояснения. Можно указать несколько условий срока действия согласия (в зависимости от того, что наступит ранее - например, прекращение договорных отношений, истечение сроков хранения документов с ПД, отзыв Согласия, отписка от новостной рассылки как способ достижения цели и т.д.).
Если используется фотография в системе контроля и учета доступа на территории, нужно брать Согласие или нет?
Да, потребуется. При этом нужно еще выяснить, как используется фото - возможно потребуется брать Согласие на обработку биометрических данных.
Мы направляем сотрудников на профессиональные конференции и курсы и в заявке направляем организаторам данные сотрудников. Нужно ли в данном случае оформлять письменное Согласие на передачу данных третьим лицам.
Если это обучение сотрудников в образовательных организациях, и отношения на основании закона об образовании (договор заключается и т.д.), то обработка допускается без Согласия. Если это просто участие в коммерческих вебинарах, и сотрудник регистрируется и заявку оформляет сам, то там Согласие, как правило, предусмотрено, а если за сотрудника все делает работодатель, то придется Согласие получить.
Требуется ли отражать в Политике и в Уведомлении способ сбора ПД по телефонному звонку (когда клиент позвонил самостоятельно, прослушал уведомление о сборе ПД и осуществлении аудиозаписи)?
Если Вы решили прописывать в Политике способы получения согласия, реализуемые в компании, то нужно. Однако такой раздел не обязателен. Указываются общие способы обработки ПД (смешанный, неавтоматизированный, автоматизированный). Можно прописать не в политике, а во внутренних инструкциях для сотрудников.
В чем разница между разными видами Согласия?
В законе предусмотрено 3 формы Согласий:
- Согласие в письменной форме (оно же на передачу ПД, оно же на обработку ПД и для других случаев, когда согласие требуется брать в письменном виде)
- Согласие на распространение ПД (когда данные передаются неопределенному кругу лиц или становятся общедоступными)
- Согласие в свободной форме
Заключается договор ГПХ с самозанятым. Нужно ли Согласие?
Для исполнения условий договора - нет. Если что-то помимо договора - да.
Нужно ли согласие директора и его заместителей для размещения их фото, должностей и служебных телефонов на сайте компании?
Для размещения фото всегда требуется подписывать Согласие на распространение.
3. Вопросы про сайт, боты и сбор данных
На сайте необходимо публиковать все разработанные документы по обработке ПД (приказы, инструкции положения, порядки и т.д.) или только политику в области обработки ПД?
Только Политику.
Политика, разработанная на бумаге, должна полностью соответствовать тому, что указано на сайте организации?
Политика должна отражать реальную фактическую деятельность по обработке ПД, в том числе с использованием сайта.
Каким образом нужно уведомить Роскомнадзор о том, что мы используем Telegram-бот для взаимодействия с покупателями?
О конкретных инструментах/программах/сервисах РКН не уведомляют, но цели, для которых используется бот, должны найти отражение в ЛНА и в уведомлении в РКН.
Наличие оферты обязательно на сайте?
Размещение оферты зависит от Вашей деятельности и от того, о какой форме сбора идет речь, и в чем ее цель. Если цель, например, - оформление товара/услуги, и данная деятельность осуществляется на основании оферты, то, конечно, такая оферта должна быть. В такой ситуации можно будет обойтись и без согласия (если не предлагаются вспомогательные услуги - например, подписка на новости). Наличие оферты РКН смотрит только для оценки правовых оснований сбора ПД.
Согласие можно зашить на сайте в оферту и сделать один документ с одной ссылкой?
Нет. Но при наличии оферты можно будет обойтись и без Согласия (если обработка ПД ограничивается только услугами в рамках оферты и не предлагаются вспомогательные услуги, например, подписка на новости).
Политика конфиденциальности и Политика сбора ПД - это один и тот же документ?
В законе есть только понятие Политика в отношении обработки ПД. Некоторые называют этот документ иначе или делают несколько документов, определяющих политику (например, Политика конфиденциальности, Политика сбора ПД). Поэтому это могут быть разные документы, но определяющие политику, а могут быть вообще разные документы в зависимости от того, какой смысл оператор в них вкладывает.
Что будет являться подтверждением получения Согласия субъекта на сайте компании? Нужно хранить какие-то логи с сайта? Либо организовать дополнительную авторизацию: после нажатия кнопки согласия субъекту придет ссылка-подтверждение?
Подтверждением получения согласия субъекта на сайте является, например, чек-бокс, описание действий, совершение которых расценивается как дача согласия и т.д. Ссылку-подтверждение тоже можно использовать. Хранить логи и все, что подтверждает получение согласия от субъекта, нужно, так как обязанность подтвердить наличие согласия возложена 152-ФЗ на оператора.
Для мобильных приложений также нужна “галочка” с Согласием?
Требования к мобильным приложениям такие же, как и к сайтам.
Нужно ли размещать ссылку на Политику обработки ПД, если на сайте нет форм для заполнения посетителями?
Если сбора ПД точно нет (на сайте не работают метрические программы, не собираются Cookie-файлы, нет форм обратной связи и иного сбора ПД), то в таком случае Политика на сайте не обязательна. Но неограниченный доступ к ней все равно должен быть обеспечен любым другим способом. Например, она может быть размещена в ином общедоступном месте на стенде в организации. Однако на сайте, если он есть, это сделать проще всего.
Если форма, где собираются персональные данные на сайте, находится не в свободном доступе, а в личном кабинете после ввода логина и пароля, то нужно ли там размещать Согласие?
Обеспечение правовых оснований (в том числе, получение согласия) это требование закона и обязанность оператора. Это делается не для РКН, а для соблюдения прав субъектов ПД. При этом, важно понимать, что субъект вправе направить жалобу в уполномоченный орган или обратиться в суд, если посчитает, что его ПД обрабатываются с нарушением закона. Тогда Вам все равно придется доказывать РКН или в суде, что было получено согласие или обеспечено иное основание для обработки данных и предоставлять доступ к личному кабинету на сайте.
Можно ли использовать такую формулировку, если пунктов несколько: «нажимая кнопку "отправить" пользователь дает согласие по каждому из пунктов в отдельности»?
Смотря какие пункты включены в текст. Не всегда правильно будет все цели объединять в согласии. Например, согласие на рекламу нужно получить отдельно. Если оформлять согласие единым текстом, то по каждой цели обработки ПД нужно делать отдельный блок и прописывать, какие активные действия субъекта будут выражать согласие на конкретную цель.
Допустимо ли в форме обратной связи использовать фразу вроде "Отправляя форму, вы подтверждаете, что ознакомились и согласны с Политикой в отношении обработки персональных данных" (ссылка на Политику есть) или можно как-то улучшить это взаимодействие?
Субъект должен соглашаться на обработку ПД, а не подтверждать, что он ознакомлен с Политикой. Политику достаточно разместить на сайте, сделать ссылку на нее в форму сбора, а вот по получению согласия нужно активное действие субъекта. Поэтому указанную формулировку нужно скорректировать. Например, Нажимая кнопку "Название кнопки", пользователь соглашается на обработку ПД (здесь уместно сделать гиперссылку на полный текст согласия) в соответствии с Политикой в отношении обработки ПД (гиперссылка на Политику).
Ссылка на Согласие должна быть размещена под каждой формой, а Политика может быть размещена только в футере сайта (не обязательна к размещению в каждой форме и можно не требовать согласия с Политикой)?
Политику можно поместить в футер (но проверьте, что при открытии формы сбора футер виден). В идеале, лучше ссылку на политику в форме сбора иметь.
Согласие всегда должно быть в форме сбора, а не в иных местах.
Что такое метрические программы?
Метрические программы — это сервисы, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей (Яндекс.Метрика, Гугл Аналитика и подобные). Они могут собирать различные данные пользователей, например: возраст, геолокацию, IP-адреса и другие.
На сайте необходимо публиковать все разработанные документы по обработке ПД (приказы, инструкции положения, порядки и т.д.) или только политику в области обработки ПД?
Только Политику.
Политика, разработанная на бумаге, должна полностью соответствовать тому, что указано на сайте организации?
Политика должна отражать реальную фактическую деятельность по обработке ПД, в том числе с использованием сайта.
Каким образом нужно уведомить Роскомнадзор о том, что мы используем Telegram-бот для взаимодействия с покупателями?
О конкретных инструментах/программах/сервисах РКН не уведомляют, но цели, для которых используется бот, должны найти отражение в ЛНА и в уведомлении в РКН.
Наличие оферты обязательно на сайте?
Размещение оферты зависит от Вашей деятельности и от того, о какой форме сбора идет речь, и в чем ее цель. Если цель, например, - оформление товара/услуги, и данная деятельность осуществляется на основании оферты, то, конечно, такая оферта должна быть. В такой ситуации можно будет обойтись и без согласия (если не предлагаются вспомогательные услуги - например, подписка на новости). Наличие оферты РКН смотрит только для оценки правовых оснований сбора ПД.
Согласие можно зашить на сайте в оферту и сделать один документ с одной ссылкой?
Нет. Но при наличии оферты можно будет обойтись и без Согласия (если обработка ПД ограничивается только услугами в рамках оферты и не предлагаются вспомогательные услуги, например, подписка на новости).
Политика конфиденциальности и Политика сбора ПД - это один и тот же документ?
В законе есть только понятие Политика в отношении обработки ПД. Некоторые называют этот документ иначе или делают несколько документов, определяющих политику (например, Политика конфиденциальности, Политика сбора ПД). Поэтому это могут быть разные документы, но определяющие политику, а могут быть вообще разные документы в зависимости от того, какой смысл оператор в них вкладывает.
Что будет являться подтверждением получения Согласия субъекта на сайте компании? Нужно хранить какие-то логи с сайта? Либо организовать дополнительную авторизацию: после нажатия кнопки согласия субъекту придет ссылка-подтверждение?
Подтверждением получения согласия субъекта на сайте является, например, чек-бокс, описание действий, совершение которых расценивается как дача согласия и т.д. Ссылку-подтверждение тоже можно использовать. Хранить логи и все, что подтверждает получение согласия от субъекта, нужно, так как обязанность подтвердить наличие согласия возложена 152-ФЗ на оператора.
Для мобильных приложений также нужна “галочка” с Согласием?
Требования к мобильным приложениям такие же, как и к сайтам.
Нужно ли размещать ссылку на Политику обработки ПД, если на сайте нет форм для заполнения посетителями?
Если сбора ПД точно нет (на сайте не работают метрические программы, не собираются Cookie-файлы, нет форм обратной связи и иного сбора ПД), то в таком случае Политика на сайте не обязательна. Но неограниченный доступ к ней все равно должен быть обеспечен любым другим способом. Например, она может быть размещена в ином общедоступном месте на стенде в организации. Однако на сайте, если он есть, это сделать проще всего.
Если форма, где собираются персональные данные на сайте, находится не в свободном доступе, а в личном кабинете после ввода логина и пароля, то нужно ли там размещать Согласие?
Обеспечение правовых оснований (в том числе, получение согласия) это требование закона и обязанность оператора. Это делается не для РКН, а для соблюдения прав субъектов ПД. При этом, важно понимать, что субъект вправе направить жалобу в уполномоченный орган или обратиться в суд, если посчитает, что его ПД обрабатываются с нарушением закона. Тогда Вам все равно придется доказывать РКН или в суде, что было получено согласие или обеспечено иное основание для обработки данных и предоставлять доступ к личному кабинету на сайте.
Можно ли использовать такую формулировку, если пунктов несколько: «нажимая кнопку "отправить" пользователь дает согласие по каждому из пунктов в отдельности»?
Смотря какие пункты включены в текст. Не всегда правильно будет все цели объединять в согласии. Например, согласие на рекламу нужно получить отдельно. Если оформлять согласие единым текстом, то по каждой цели обработки ПД нужно делать отдельный блок и прописывать, какие активные действия субъекта будут выражать согласие на конкретную цель.
Допустимо ли в форме обратной связи использовать фразу вроде "Отправляя форму, вы подтверждаете, что ознакомились и согласны с Политикой в отношении обработки персональных данных" (ссылка на Политику есть) или можно как-то улучшить это взаимодействие?
Субъект должен соглашаться на обработку ПД, а не подтверждать, что он ознакомлен с Политикой. Политику достаточно разместить на сайте, сделать ссылку на нее в форму сбора, а вот по получению согласия нужно активное действие субъекта. Поэтому указанную формулировку нужно скорректировать. Например, Нажимая кнопку "Название кнопки", пользователь соглашается на обработку ПД (здесь уместно сделать гиперссылку на полный текст согласия) в соответствии с Политикой в отношении обработки ПД (гиперссылка на Политику).
Ссылка на Согласие должна быть размещена под каждой формой, а Политика может быть размещена только в футере сайта (не обязательна к размещению в каждой форме и можно не требовать согласия с Политикой)?
Политику можно поместить в футер (но проверьте, что при открытии формы сбора футер виден). В идеале, лучше ссылку на политику в форме сбора иметь.
Согласие всегда должно быть в форме сбора, а не в иных местах.
Что такое метрические программы?
Метрические программы — это сервисы, предназначенные для оценки посещаемости веб-сайтов и анализа поведения пользователей (Яндекс.Метрика, Гугл Аналитика и подобные). Они могут собирать различные данные пользователей, например: возраст, геолокацию, IP-адреса и другие.
4. Уничтожение Персональных данных
Должен ли быть в организации Журнал учета запросов субъектов ПД и чем регламентирован? В каком виде: бумажный или электронный?
Данный Журнал регуляторами не предусмотрен. Вместе с тем, при проверках Роскомнадзора регулятор требует документы, подтверждающие учет обращений субъектов ПД и ответов на их запросы, что требует 152-ФЗ. Если в организации реализован электронный документооборот с использованием электронной подписи, то можно вести в электронном виде. Если этого нет, тогда бумажный носитель.
Субъект просто поставил «галочку» на сайте, написал какой-то вопрос для консультации, его данные никуда не сохранены и не обрабатывались после оказания консультации на сайте. Позднее он написал запрос на отзыв согласия. Что в таком случае мы должны сделать?
Так как клиент к вам обратился и оставил какую-то информацию, и вы с этой информацией далее работали, это уже обработка ПД. Даже если ничего более не делали с ПД. После получения отзыва клиента вам необходимо удалить те данные, которые он предоставил для консультации. Согласие клиент оставил, когда поставил «галочку» на вашем сайте.
Обработка ПД включает в себя хранение в соответствии с законом. Что подразумевает прекращение обработки ПД, чтобы в дальнейшем их хранить?
Да, хранение - тоже часть обработки ПД, и согласно принципам обработки ПД хранение осуществляется до достижения цели. Но 152-ФЗ делает исключение для случаев, если хранение требуется в силу закона или договора с субъектом. Вы можете хранить ПД, если для этого есть основания. Но не можете больше ничего с ними делать - писать письма, копировать, кому-то передавать и т.д. Под прекращением обработки правильно понимать остановку активных процессов, а потом либо останется только хранение, либо будет обеспечена правомерность на возобновление обработки, либо уничтожение.
При составлении акта об уничтожении, можно ли вместо ФИО указать название документов, подлежащих уничтожению, так как очень много документов и нет возможности прописывать каждое лицо (например, заявления абитуриентов, несколько тысяч человек)?
Согласно приказу РКН 179 в Акте должны быть указаны, помимо прочего: ФИО субъектов или иная информация, относящаяся к определенному физическому лицу, чьи ПД были уничтожены, а также перечень категорий уничтоженных ПД. Это нужно для того, чтобы в случае необходимости у Вас осталось подтверждение о том, чьи именно ПД Вы уничтожили и в каком объеме.
Каким образом правильно осуществлять уничтожение из ИСПД? как делать выгрузку? Например, удаляешь одну строку в системе, это может привести к уничтожение иной важной информации.
Удалять нужно осознанно, ориентируясь на иное законодательство, которое регламентирует сроки хранения. Не должно быть такого, что, удалив одну записать с ПД, вы нарушите иное законодательство.
Из 1С выгружен excel-файл с ПД для определенной цели, например, отправки данных в страховую компанию, и после отправки файл удален. Является ли это уничтожением ПД, и надо ли это документировать?
Да, нужно оформить по 179 приказу РКН.
Если ПД не удалены, а срок их обработки истек. По какому пункту КоАП будет штраф?
По ч. 1 ст. 13.11 (продолжаете хранить ПД без наличия правовых оснований).
Должен ли быть в организации Журнал учета запросов субъектов ПД и чем регламентирован? В каком виде: бумажный или электронный?
Данный Журнал регуляторами не предусмотрен. Вместе с тем, при проверках Роскомнадзора регулятор требует документы, подтверждающие учет обращений субъектов ПД и ответов на их запросы, что требует 152-ФЗ. Если в организации реализован электронный документооборот с использованием электронной подписи, то можно вести в электронном виде. Если этого нет, тогда бумажный носитель.
Субъект просто поставил «галочку» на сайте, написал какой-то вопрос для консультации, его данные никуда не сохранены и не обрабатывались после оказания консультации на сайте. Позднее он написал запрос на отзыв согласия. Что в таком случае мы должны сделать?
Так как клиент к вам обратился и оставил какую-то информацию, и вы с этой информацией далее работали, это уже обработка ПД. Даже если ничего более не делали с ПД. После получения отзыва клиента вам необходимо удалить те данные, которые он предоставил для консультации. Согласие клиент оставил, когда поставил «галочку» на вашем сайте.
Обработка ПД включает в себя хранение в соответствии с законом. Что подразумевает прекращение обработки ПД, чтобы в дальнейшем их хранить?
Да, хранение - тоже часть обработки ПД, и согласно принципам обработки ПД хранение осуществляется до достижения цели. Но 152-ФЗ делает исключение для случаев, если хранение требуется в силу закона или договора с субъектом. Вы можете хранить ПД, если для этого есть основания. Но не можете больше ничего с ними делать - писать письма, копировать, кому-то передавать и т.д. Под прекращением обработки правильно понимать остановку активных процессов, а потом либо останется только хранение, либо будет обеспечена правомерность на возобновление обработки, либо уничтожение.
При составлении акта об уничтожении, можно ли вместо ФИО указать название документов, подлежащих уничтожению, так как очень много документов и нет возможности прописывать каждое лицо (например, заявления абитуриентов, несколько тысяч человек)?
Согласно приказу РКН 179 в Акте должны быть указаны, помимо прочего: ФИО субъектов или иная информация, относящаяся к определенному физическому лицу, чьи ПД были уничтожены, а также перечень категорий уничтоженных ПД. Это нужно для того, чтобы в случае необходимости у Вас осталось подтверждение о том, чьи именно ПД Вы уничтожили и в каком объеме.
Каким образом правильно осуществлять уничтожение из ИСПД? как делать выгрузку? Например, удаляешь одну строку в системе, это может привести к уничтожение иной важной информации.
Удалять нужно осознанно, ориентируясь на иное законодательство, которое регламентирует сроки хранения. Не должно быть такого, что, удалив одну записать с ПД, вы нарушите иное законодательство.
Из 1С выгружен excel-файл с ПД для определенной цели, например, отправки данных в страховую компанию, и после отправки файл удален. Является ли это уничтожением ПД, и надо ли это документировать?
Да, нужно оформить по 179 приказу РКН.
Если ПД не удалены, а срок их обработки истек. По какому пункту КоАП будет штраф?
По ч. 1 ст. 13.11 (продолжаете хранить ПД без наличия правовых оснований).
31 МАРТА
Автор: Александр Булатов
Фотографии: Freepic
Фотографии: Freepic