Давайте разбираться, что такое персональные данные, почему нужно из собирать и обрабатывать, а так же зачем об этом знать Роскомнадзору. Ну и расскажу о том, какие важные документы вам для этого могут понадобится, чтобы не нарваться на штрафы.
А начнём с основ и понятий.
А начнём с основ и понятий.
Кто является Оператором?
Все — это и ИП, и самозанятый, и компания, если организуют обработку персональных данных.
Вы оказываете услуги — вы Оператор Пдн.
Что такое персональные данные (ПДн)?
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому человеку: ФИО, email, телефон, паспорт, адрес, история заказов, IP-адрес, фото и т.д.
То есть по смыслу ПДн — это данные, с помощью которых человека можно идентифицировать. Какого-то прям конкретного перечня не существует.
По мнению ВС РФ отдельно email без всего или номер телефона без всего не являются ПДн.
При этом большинство юристов склоняется к тому, что это не так однозначно и РКН не то чтобы поддерживает это.
Обработка персональных данных — что это?
Обработка ПДн — любое действие с персональными данными: запись, сбор, хранение, систематизация, изменение, передача, удаление, даже просто хранение в телефоне или облаке.
Смотрите. Даже если вы условно не собираете ПДн (не просите их у своих клиентов), вы все равно можете их так или иначе обрабатывать:
То есть сбор — это всего лишь часть общего понятия "обработка".
По общему правилу обрабатывать ПДн можно только с согласия или в ограниченных законом случаях без.
Когда НЕ требуется отдельное согласие?
В случаях, прямо установленных законом (ч. 1 ст. 6 ФЗ-152).
Например:
То есть вы можете обрабатывать данные своих клиентов в целях исполнения договора без их согласия.
Например:
При этом количество ПДн должно быть обусловлено вашей услугой. То есть я не могу запрашивать у вас, например, дату рождения для проведения консультации. Она мне вообще не нужна для консультации.
Получается, что если:
Причем согласие в этом случае должно быть отдельным документом (блоком на сайте), конкретным и добровольным. И не "вшито" в договор или оферту. Так нельзя!
Все — это и ИП, и самозанятый, и компания, если организуют обработку персональных данных.
Вы оказываете услуги — вы Оператор Пдн.
Что такое персональные данные (ПДн)?
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому человеку: ФИО, email, телефон, паспорт, адрес, история заказов, IP-адрес, фото и т.д.
То есть по смыслу ПДн — это данные, с помощью которых человека можно идентифицировать. Какого-то прям конкретного перечня не существует.
По мнению ВС РФ отдельно email без всего или номер телефона без всего не являются ПДн.
При этом большинство юристов склоняется к тому, что это не так однозначно и РКН не то чтобы поддерживает это.
Обработка персональных данных — что это?
Обработка ПДн — любое действие с персональными данными: запись, сбор, хранение, систематизация, изменение, передача, удаление, даже просто хранение в телефоне или облаке.
Смотрите. Даже если вы условно не собираете ПДн (не просите их у своих клиентов), вы все равно можете их так или иначе обрабатывать:
- собирать в таблицы;
- делать рассылку на старых клиентов;
- проводить анкетирование;
- сохранять в контактах.
То есть сбор — это всего лишь часть общего понятия "обработка".
По общему правилу обрабатывать ПДн можно только с согласия или в ограниченных законом случаях без.
Когда НЕ требуется отдельное согласие?
В случаях, прямо установленных законом (ч. 1 ст. 6 ФЗ-152).
Например:
- Для исполнения договора, стороной которого выступает субъект данных.
- Для выполнения обязательств по закону.
- Для защиты жизни и здоровья, если нельзя получить согласие.
- Для защиты прав и законных интересов оператора или третьих лиц, если это не нарушает права субъектов.
То есть вы можете обрабатывать данные своих клиентов в целях исполнения договора без их согласия.
Например:
- Отправить напоминание клиенту о встрече — это обработка ПДн в рамках договора. Согласия не надо.
- Отправить информацию о новой услуге клиенту — это обработка ПДн НЕ в рамках договора и нужно отдельное согласие.
При этом количество ПДн должно быть обусловлено вашей услугой. То есть я не могу запрашивать у вас, например, дату рождения для проведения консультации. Она мне вообще не нужна для консультации.
Получается, что если:
- Цель — подготовка, заключение и исполнение договора — согласие не нужно.
- Цель — любая другая — практически всегда нужно согласие.
Причем согласие в этом случае должно быть отдельным документом (блоком на сайте), конкретным и добровольным. И не "вшито" в договор или оферту. Так нельзя!
Согласие на распространение персональных данных
Если вы собираетесь публиковать ПДн (например, в виде отзывов на сайте или в соцсетях) — нужно отдельное согласие на распространение, с особыми реквизитами. согласно ст. 10.1 ФЗ-152, Приказ Роскомнадзора № 18 от 24.02.2021.
Вариант без согласия? Обезличивать отзывы. Чтобы было не идентифицировать человека.
Уведомление о начале обработки персональных данных
Все операторы должны подавать это уведомление.
Исключение — если вы обрабатываете данные только на бумаге, без автоматизации (и еще два, но это не про нас) согласно ПП РФ от 15.09.2008 № 687.
Уведомление подается В Роскомнадзор, до начала обработки.
Штрафы за отсутствие уведомления (ч. 10 ст. 13.11 КоАП РФ):
Какие минимально нужны документы?
И для ИП, и для самозанятых понадобятся:
Штрафы за нарушение обработки ПДн (отсутствие согласий, политики и т.д.) большие. ТАк что имейте ввиду и подумайте о размещении Согласия на обработку заранее.
Вариант без согласия? Обезличивать отзывы. Чтобы было не идентифицировать человека.
Уведомление о начале обработки персональных данных
Все операторы должны подавать это уведомление.
Исключение — если вы обрабатываете данные только на бумаге, без автоматизации (и еще два, но это не про нас) согласно ПП РФ от 15.09.2008 № 687.
Уведомление подается В Роскомнадзор, до начала обработки.
Штрафы за отсутствие уведомления (ч. 10 ст. 13.11 КоАП РФ):
- Самозанятые от 5 000 до 10 000
- ИП от 100 000 до 300 000
Какие минимально нужны документы?
И для ИП, и для самозанятых понадобятся:
- согласия на обработку ПДн (там, где нужно);
- политика в отношении обработки ПДн;
- для сайтов корректные чекбоксы для сбора ПДн.
Штрафы за нарушение обработки ПДн (отсутствие согласий, политики и т.д.) большие. ТАк что имейте ввиду и подумайте о размещении Согласия на обработку заранее.
Политика для сайта
Когда речь заходит о сайте, чуть ли не один из первых документов, который советуют разместить — это политика в отношении обработки персональных данных.
Политика в отношении обработки персональных данных — документ с условиями работы с персональными данными.
Откуда политика вообще взялась?
Это всё положения пп 2 ч. 1 статьи 18.1 152-ФЗ.
Оператор обязан издать (!) "документы, определяющие политику оператора в отношении обработки персональных данных". Вот ровно из этой формулировки и вылупилась политика в отношении обработки ПДн.
Кому нужна политика?
Всем операторам персональных данных: ИП, юрлицам, самозанятым. Помним, что мы с вами — самозанятые и ИП, оказывающие услуги — операторы персональных данных.
Даже если вы не собираете отдельно персональные данные, вы все равно с ними соприкасаетесь, а значит, обрабатываете — вы оператор.
Например:
Что, как Оператор, вы обязаны сделать с политикой?
Все та же ч 2 статьи 18.1 ФЗ-152. Обязан:
И тут нюанс. Все эти пункты не исключают друг друга. То есть даже если у вас нет сайта, с которого вы собираете ПДн, политика у вас все равно должна быть и должна быть где-то размещена. У кого есть офис или кабинет — можно повестить в уголок.
А если офиса нет... :)
Понятное дело, что вероятность прихода сотрудников РКН с проверкой к самозанятому или ИП домой — с вопросом "гдеее у вас размещена политика?!", маловероятна, но я все равно должна была предупредить :)
Короче. Однозначный мастхэв по политике, если у вас есть:
Что должно быть в Политике?
Общий перечень — опять пп. 2 ч. 1 статьи 18.1 ФЗ-152:
У Роскомнадзора есть рекомендации по составлению политики.
Что будет если не разместили политику на сайте?
Ну или не показали ее при запросе от РКН.
Штрафы по ч. 3 статьи 13.11 КоАП РФ:
Физлица и самозанятые — от 1 000 до 3 000 руб.
ИП — от 10 000 до 20 000 руб.
Политика в отношении обработки персональных данных — документ с условиями работы с персональными данными.
Откуда политика вообще взялась?
Это всё положения пп 2 ч. 1 статьи 18.1 152-ФЗ.
Оператор обязан издать (!) "документы, определяющие политику оператора в отношении обработки персональных данных". Вот ровно из этой формулировки и вылупилась политика в отношении обработки ПДн.
Кому нужна политика?
Всем операторам персональных данных: ИП, юрлицам, самозанятым. Помним, что мы с вами — самозанятые и ИП, оказывающие услуги — операторы персональных данных.
Даже если вы не собираете отдельно персональные данные, вы все равно с ними соприкасаетесь, а значит, обрабатываете — вы оператор.
Например:
- прислали анкету клиенту
- прислали предложение клиенту в мессенджер
- подписали договор
- согласовали условия
- сделали сайт, страничку таплинк и т.п.
Что, как Оператор, вы обязаны сделать с политикой?
Все та же ч 2 статьи 18.1 ФЗ-152. Обязан:
- Издать политику в отношении обработки ПДн.
- Обеспечить неограниченный доступ к этой политике.
- Если сбор персональных данных (оплата, рассылка, заявки и т.п.) идёт через сайт или бот — разместить политику на сайте или в боте.
И тут нюанс. Все эти пункты не исключают друг друга. То есть даже если у вас нет сайта, с которого вы собираете ПДн, политика у вас все равно должна быть и должна быть где-то размещена. У кого есть офис или кабинет — можно повестить в уголок.
А если офиса нет... :)
Понятное дело, что вероятность прихода сотрудников РКН с проверкой к самозанятому или ИП домой — с вопросом "гдеее у вас размещена политика?!", маловероятна, но я все равно должна была предупредить :)
Короче. Однозначный мастхэв по политике, если у вас есть:
- сайт/лендинг
- бот
- страница типа таплинк
Что должно быть в Политике?
Общий перечень — опять пп. 2 ч. 1 статьи 18.1 ФЗ-152:
- общие цели
- цели сбора персональных данных
- правовые основания обработки персональных данных
- объем и категории обрабатываемых данных, категории субъектов персональных данных;
- порядок и условия обработки персональных данных;
- актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным.
У Роскомнадзора есть рекомендации по составлению политики.
Что будет если не разместили политику на сайте?
Ну или не показали ее при запросе от РКН.
Штрафы по ч. 3 статьи 13.11 КоАП РФ:
Физлица и самозанятые — от 1 000 до 3 000 руб.
ИП — от 10 000 до 20 000 руб.
Вдогонку вот вам подборки полезных постов:
👉 Подборка полезных видео для коучей, психологов, консультантов
👉 Подборка полезных постов об офертах для частных практиков: ИП и самозанятых
👉 Подборка постов о том, что надо учитывать на сайте: для ИП и самозанятых
Смотрите, там тоже много важного на тему персональных данных.
👉 Подборка полезных видео для коучей, психологов, консультантов
👉 Подборка полезных постов об офертах для частных практиков: ИП и самозанятых
👉 Подборка постов о том, что надо учитывать на сайте: для ИП и самозанятых
Смотрите, там тоже много важного на тему персональных данных.
Резюме
- В большинстве случаев нам нужно собирать и обрабатывать персональные данные
- Персональные данные можно собирать и обрабатывать только после уведомления в Роскомнадзор
- Однозначно нужно размещать политику на сайте, лендинге, в боте.