Получая и обрабатывая персональные данные, организации, ИП и самозанятые должны соблюдать целый комплекс обязательных законодательных требований и правил. Игнорирование данных требований грозит серьезными штрафами по ст.13.11 КоАП РФ, размер которых с 30 мая 2025 года будет многократно увеличен. Рассказываем об основных правилах, которые должны соблюдать компании, работающие с персональными данными граждан, чтобы избежать санкций и претензий со стороны Роскомнадзора.
Получение согласия на обработку персональных данных
Одно из главных требований к обработке персональных данных заключается в том, что такая обработка может осуществляться только при наличии согласия физлица, данные которого планируется обрабатывать (ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Согласие требуется получать не только у наемных работников, но также у любых физлиц, с которыми компания так или иначе взаимодействует, получая личные сведения (клиенты, посетители сайтов, представители контрагентов, участники мероприятий, в рамках которых собираются персональные сведения и т.д.).
Согласие на обработку персональных данных может быть выражено в любой форме, позволяющей подтвердить факт его получения. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. В спорном случае факт наличия такого согласия должна доказать компания-оператор персональных данных.
Обрабатывать персональные данные без согласия физлица можно исключительно в случаях, прямо предусмотренных в ч. 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ. Например, несогласованная обработка персональных данных допускается в статистических или исследовательских целях при условии обязательного обезличивания персональных данных, а также, если такая обработка нужна для исполнения договора, стороной которого является субъект персональных данных.
Получение согласия на передачу персональных данных
Если компания планирует передавать персональные данные физлица третьим лицам, то помимо согласия на обработку персональных данных от физлица обязательно требуется получить и согласие на распространение этих данных (ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ).
Для такого согласия компаниям также разрешается использовать произвольную форму, но его содержание должно отвечать требованиям, установленным приказом Роскомнадзора от 24.02.2021 № 18. Так, в данном согласии необходимо перечислить лиц, которым будут передаваться персональные данные, а также сайты, на которых они будут использоваться. Кроме того, в таком согласии нужно установить перечень условий и запретов на распространение персональных данных физлица.
Уведомление о начале обработки персональных данных
Компании, ИП и самозанятые перед началом работы с персональными данными физлиц должны направить в Роскомнадзор специальное уведомление об обработке персональных данных (ч.1 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ). Уведомление нужно подать по форме, утв. приказом Роскомнадзора от 28.10.2022 № 180.
В уведомлении нужно указать цели и порядок обработки персональных данных, перечень сведений, с которыми планирует работать компания, а также срок в течение которого данные сведения будут обрабатываться. На основании уведомления компанию внесут в реестр операторов персональных данных, что легализует ее работу с получаемыми от физлиц сведениями.
Сформировать уведомление можно самостоятельно на бумажном носителе, в электронной форме на сайте Роскомнадзора или в программе 1С. Уведомление представляют однократно. Ежегодно обновлять его не требуется. Но при изменении целей, порядка обработки и объема обрабатываемых персональных данных, компания должна направить в Роскомнадзор повторное уведомление, указав в нем суть произошедших изменений. Направить такое уведомление нужно не позднее 15 числа месяца, следующего за месяцем, в котором возникли указанные изменения (ч.1 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ).
- Пример заполнения уведомления об обработке персональных данных в Роскомнадзор
- Уведомление в Роскомнадзор: кто и зачем обязан подавать, как правильно оформить и какие ошибки можно допустить
- Подача уведомлений в Роскомнадзор: как заполнить, должны ли подавать самозанятые и будут ли штрафовать за нарушение сроков сдачи
- Подача уведомлений в Роскомнадзор и работа с персональными данными на сайтах компаний
- Как исправить уведомление об обработке персональных данных в Роскомнадзор
Защита получаемых и обрабатываемых персональных данных
Компании обязаны обеспечить защиту и конфиденциальность обрабатываемых персональных данных и исключить к ним неправомерный доступ третьих лиц. Компании не вправе распространять персональные сведения без согласия самих граждан (ст.7 Федерального закона от 27.07.2006 № 152-ФЗ).
В рамках осуществления обработки персональных данных компания должна принять следующие меры (ст.18.1 Федерального закона от 27.07.2006 № 152-ФЗ):
- назначить ответственного за организацию обработки персональных данных;
- разработать и утвердить политику обработки персональных данных, опубликовать ее на своем сайте или иным образом обеспечить неограниченный доступ к ней любых желающих физлиц;
- обеспечить применение организационных и технических мер по обеспечению безопасности и сохранности персональных данных (например, установление для работников запрета на доступ к персональным данным, применение антивирусов и средств шифрования);
- знакомить своих работников с положениями законодательства о персональных данных, в том числе требованиями к их защите;
- вести мониторинг обрабатываемых персональных данных и своевременно удалять и уничтожать излишние сведения и сведения, полученные без законных на то оснований.
Также компании обязаны своевременно выявлять и пресекать факты несанкционированного доступа к персональным данным и восстанавливать модифицированные или уничтоженные данные, подвергшиеся несанкционированному доступу.
При сборе персональных данных через интернет компании обязаны обеспечить запись, систематизацию, накопление и хранение персональных данных граждан исключительно с использованием баз данных, находящихся на территории РФ (ч.5 ст.18 Федерального закона от 27.07.2006 № 152-ФЗ).
Целевая обработка персональных данных
Обработка персональных данных должна ограничиваться достижением только тех целей, которые указаны в уведомлении о начале обработки данных. Не допускается обработка персональных данных, несовместимая с целями их сбора. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным в уведомлении целям.
Например, если компания указала в уведомлении такую цель, как «Подбор и трудоустройство персонала», то в рамках данной цели у соискателей можно запрашивать для трудоустройства только те документы, которые перечислены в ст.65 ТК РФ (паспорт, трудовая книжка, СНИЛС и т.д.). В рамках указанной цели нельзя истребовать у соискателей, в частности, их биометрические данные, сведения о национальной, религиозной принадлежности, политических взглядах и философских убеждениях. Это считается излишними сведениями. Компания-оператор должна принимать необходимые меры по удалению и уничтожению излишних персональных сведений (ч.6 ст.5 Федерального закона от 27.07.2006 № 152-ФЗ).
Исполнение законных требований физлиц
Компании обязаны безвозмездно предоставлять физлицам информацию об обработке их личных данных, а также обеспечивать им возможность ознакомления с этими данными. Если физлицо установит, что персональные данные являются неполными, неточными или неактуальными, компания в течение 7 дней со дня поступления к ней соответствующего запроса должна внести в них необходимые изменения. В этот же срок компания должна уничтожить по требованию физлица данные, которые получены незаконно (ч.3 ст.20 Федерального закона от 27.07.2006 № 152-ФЗ).
При сборе персональных данных компания обязана предоставлять физлицу по его просьбе следующие сведения (ч.7 ст.14 Федерального закона от 27.07.2006 № 152-ФЗ):
- правовые основания и цели обработки персональных данных;
- применяемые компанией способы обработки персональных данных;
- наименование и место нахождения компании-оператора, а также сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок и средства защиты персональных данных.
Прекращение обработки персональных данных по требованию физлиц
Компания должна прекратить обработку персональных данных в случаях, если физлицо, которое ранее предоставило согласие на обработку его данных, решило отозвать данное согласие. Аннулировать согласие физлицо может в любое время. Компания-оператор обязана прекратить обработку персональных данных физлица в 30-дневный срок с момента отзыва согласия (ч.5 ст.21 Федерального закона от 27.07.2006 № 152-ФЗ).
В ряде случаев компания может продолжить обработку персональных данных, несмотря на отзыв согласия на обработку. К таким случаям, в частности, относится обработка персональных данных, осуществляемая (ч.1 ст.6 Федерального закона от 27.07.2006 № 152-ФЗ):
- для выполнения возложенных законодательством на оператора функций, полномочий и обязанностей;
- для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является физлицо, отозвавшее свое согласие на обработку;
- для защиты жизни и здоровья физлица, отозвавшего свое согласие на обработку;
- в рамках профессиональной деятельности журналистов, СМИ, либо научной, литературной или иной творческой деятельности.
Уведомление об окончании обработки персональных данных
При прекращении обработки персональных данных компания обязана уведомить об этом Роскомнадзор в течение 10 рабочих дней со дня прекращения обработки (ч.7 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ). Уведомление о прекращении обработки персональных данных нужно направить по форме, приведенной в приложении № 3 к приказу Роскомнадзора от 28.10.2022 № 180. Данное уведомление потребуется в следующих случаях:
- при ликвидации компании;
- при прекращении деятельности компании в результате ее реорганизации;
- при снятии физлица-оператора с налогового учета в качестве ИП или самозанятого;
- при окончании срока обработки персональных данных, указанного в уведомлении о начале обработки;
- при вступлении в законную силу решения суда о прекращении обработки персональных данных.
Заполнить уведомление об окончании обработки персональных данных можно на сайте Роскомнадзора.
- Согласие на обработку персональных данных: как и зачем его получать организациям и ИП
- Какие компании могут получить штрафы за нарушения правил обработки персональных данных в 2025 году
- Трудовые споры: как оформлять согласие на обработку персональных данных работников
- Новые наказания за незаконную обработку персональных данных: штрафы до 500 млн рублей и уголовные сроки
- Кто и когда должен подавать в Роскомнадзор уведомление о прекращении обработки персональных данных
В материале использованы фото: MarutStudio / Shutterstock / Fotodom.
Здравствуйте. Чем данные "Фото и видео", отличаются от биометрических фото и видео? Например, съемка выступления спикеров на бизнес конференции и размещение их выступлений в открытой группе вк. Это биометрия или нет?
Наш мальчик-программист, Фото и видео выступления спикеров на бизнес конференции не относится к биометрическим персональным данным. Фото и видео действительно могут выступать в качестве биометрии, но только в том случае, если их назначение состоит в идентификации личности гражданина.
Если человека просто снимают на публичном мероприятии, то биометрией это не является. Хотя по фото и можно установить личность человека, но цель такого фото - не идентификация личности, а иная - информационная, ознакомительная, рекламная и т.д. Поэтому это не биометрия.
Милый мой бухгалтер, В этом случае указывать сбор, обработка фото и видео все равно нужно?
Наш 1С-ник, Нужно, но только не в разделе "Биометрические персональные данные". В форме уведомления есть три категории персональных данных - общие (ФИО, паспортные данные, адреса и т.д.), специальные (судимости, состояние здоровья, политические и религиозные взгляды и т.д.) и биометрические, на основании которых устанавливают личность человека.
В вашем случае биометрические данные не обрабатываются. Поэтому заполняйте только общие. В этом разделе есть подкатегория - фото-видео изображение лица. Ее и отметьте.
В уведомлении РКН есть пункт об условиях прекращения обработки ПД. Многие указывают помимо ликвидации и другие условия: отзыв согласия на обработку ПД, окончание срока обработки ПД и т.д. Нужно ли указывать эти условия? Или этот пункт относится к окончательному прекращению деятельности оператора, после которого следует подача уведомления о снятии с учета, является ли указание доп условий излишним?
Наш мальчик-программист, Ликвидация организации или снятие ИП/самозанятого с учета - это общее условие прекращения обработки персональных для всех случаев. Окончание срока обработки ПД - это частный случай, когда обработка персональных данных носит временный характер и примерное время обработки изначально известно.
Но если компания не планирует прекращать какую-либо деятельность, то лучше не устанавливать в уведомлении дополнительных условий прекращения обработки ПД, чтобы у РКН не возникло дополнительных поводов для претензий. Лучше прописать одну лишь ликвидацию.
Если после сдачи уведомления установили, что допустили ошибки: указали излишние данные, которые собираются, или другие пункты не совсем верно (юриста нет, разбирались как могли), что нужно предпринять? Есть форма по подаче изменений, но какую дату там указывать?