Статьи

Персональные данные: обработка, использование и документы

Давайте разбираться, что такое персональные данные, почему нужно из собирать и обрабатывать, а так же зачем об этом знать Роскомнадзору. Ну и расскажу о том, какие важные документы вам для этого могут понадобится, чтобы не нарваться на штрафы.

А начнём с основ и понятий.
Кто является Оператором?

Все — это и ИП, и самозанятый, и компания, если организуют обработку персональных данных.

Вы оказываете услуги — вы Оператор Пдн.

Что такое персональные данные (ПДн)?

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому человеку: ФИО, email, телефон, паспорт, адрес, история заказов, IP-адрес, фото и т.д.

То есть по смыслу ПДн — это данные, с помощью которых человека можно идентифицировать. Какого-то прям конкретного перечня не существует.

По мнению ВС РФ отдельно email без всего или номер телефона без всего не являются ПДн.

При этом большинство юристов склоняется к тому, что это не так однозначно и РКН не то чтобы поддерживает это.

Обработка персональных данных — что это?

Обработка ПДн — любое действие с персональными данными: запись, сбор, хранение, систематизация, изменение, передача, удаление, даже просто хранение в телефоне или облаке.

Смотрите. Даже если вы условно не собираете ПДн (не просите их у своих клиентов), вы все равно можете их так или иначе обрабатывать:

  • собирать в таблицы;
  • делать рассылку на старых клиентов;
  • проводить анкетирование;
  • сохранять в контактах.

То есть сбор — это всего лишь часть общего понятия "обработка".

По общему правилу обрабатывать ПДн можно только с согласия или в ограниченных законом случаях без.

Когда НЕ требуется отдельное согласие?

В случаях, прямо установленных законом (ч. 1 ст. 6 ФЗ-152).
Например:

  • Для исполнения договора, стороной которого выступает субъект данных.
  • Для выполнения обязательств по закону.
  • Для защиты жизни и здоровья, если нельзя получить согласие.
  • Для защиты прав и законных интересов оператора или третьих лиц, если это не нарушает права субъектов.

То есть вы можете обрабатывать данные своих клиентов в целях исполнения договора без их согласия.

Например:
  • Отправить напоминание клиенту о встрече — это обработка ПДн в рамках договора. Согласия не надо.
  • Отправить информацию о новой услуге клиенту — это обработка ПДн НЕ в рамках договора и нужно отдельное согласие.

При этом количество ПДн должно быть обусловлено вашей услугой. То есть я не могу запрашивать у вас, например, дату рождения для проведения консультации. Она мне вообще не нужна для консультации.

Получается, что если:

  • Цель — подготовка, заключение и исполнение договора — согласие не нужно.
  • Цель — любая другая — практически всегда нужно согласие.

Причем согласие в этом случае должно быть отдельным документом (блоком на сайте), конкретным и добровольным. И не "вшито" в договор или оферту. Так нельзя!


Согласие на распространение персональных данных

Если вы собираетесь публиковать ПДн (например, в виде отзывов на сайте или в соцсетях) — нужно отдельное согласие на распространение, с особыми реквизитами. согласно ст. 10.1 ФЗ-152, Приказ Роскомнадзора № 18 от 24.02.2021.

Вариант без согласия? Обезличивать отзывы. Чтобы было не идентифицировать человека.

Уведомление о начале обработки персональных данных

Все операторы должны подавать это уведомление.

Исключение — если вы обрабатываете данные только на бумаге, без автоматизации (и еще два, но это не про нас) согласно ПП РФ от 15.09.2008 № 687.

Уведомление подается В Роскомнадзор, до начала обработки.

Штрафы за отсутствие уведомления (ч. 10 ст. 13.11 КоАП РФ):

  • Самозанятые от 5 000 до 10 000
  • ИП от 100 000 до 300 000

Какие минимально нужны документы?

И для ИП, и для самозанятых понадобятся:

  • согласия на обработку ПДн (там, где нужно);
  • политика в отношении обработки ПДн;
  • для сайтов корректные чекбоксы для сбора ПДн.

Штрафы за нарушение обработки ПДн (отсутствие согласий, политики и т.д.) большие. ТАк что имейте ввиду и подумайте о размещении Согласия на обработку заранее.

Политика для сайта

Когда речь заходит о сайте, чуть ли не один из первых документов, который советуют разместить — это политика в отношении обработки персональных данных.

Политика в отношении обработки персональных данных — документ с условиями работы с персональными данными.

Откуда политика вообще взялась?

Это всё положения пп 2 ч. 1 статьи 18.1 152-ФЗ.

Оператор обязан издать (!) "документы, определяющие политику оператора в отношении обработки персональных данных". Вот ровно из этой формулировки и вылупилась политика в отношении обработки ПДн.

Кому нужна политика?

Всем операторам персональных данных: ИП, юрлицам, самозанятым. Помним, что мы с вами — самозанятые и ИП, оказывающие услуги — операторы персональных данных.

Даже если вы не собираете отдельно персональные данные, вы все равно с ними соприкасаетесь, а значит, обрабатываете — вы оператор.

Например:

  • прислали анкету клиенту
  • прислали предложение клиенту в мессенджер
  • подписали договор
  • согласовали условия
  • сделали сайт, страничку таплинк и т.п.

Что, как Оператор, вы обязаны сделать с политикой?

Все та же ч 2 статьи 18.1 ФЗ-152. Обязан:

  1. Издать политику в отношении обработки ПДн.
  2. Обеспечить неограниченный доступ к этой политике.
  3. Если сбор персональных данных (оплата, рассылка, заявки и т.п.) идёт через сайт или бот — разместить политику на сайте или в боте.

И тут нюанс. Все эти пункты не исключают друг друга. То есть даже если у вас нет сайта, с которого вы собираете ПДн, политика у вас все равно должна быть и должна быть где-то размещена. У кого есть офис или кабинет — можно повестить в уголок.

А если офиса нет... :)

Понятное дело, что вероятность прихода сотрудников РКН с проверкой к самозанятому или ИП домой — с вопросом "гдеее у вас размещена политика?!", маловероятна, но я все равно должна была предупредить :)

Короче. Однозначный мастхэв по политике, если у вас есть:

  • сайт/лендинг
  • бот
  • страница типа таплинк

Что должно быть в Политике?

Общий перечень — опять пп. 2 ч. 1 статьи 18.1 ФЗ-152:

  1. общие цели
  2. цели сбора персональных данных
  3. правовые основания обработки персональных данных
  4. объем и категории обрабатываемых данных, категории субъектов персональных данных;
  5. порядок и условия обработки персональных данных;
  6. актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным.

У Роскомнадзора есть рекомендации по составлению политики.

Что будет если не разместили политику на сайте?

Ну или не показали ее при запросе от РКН.
Штрафы по ч. 3 статьи 13.11 КоАП РФ:
Физлица и самозанятые — от 1 000 до 3 000 руб.
ИП — от 10 000 до 20 000 руб.
Вдогонку вот вам подборки полезных постов:

👉 Подборка полезных видео для коучей, психологов, консультантов

👉 Подборка полезных постов об офертах для частных практиков: ИП и самозанятых

👉 Подборка постов о том, что надо учитывать на сайте: для ИП и самозанятых

Смотрите, там тоже много важного на тему персональных данных.

Резюме

  • В большинстве случаев нам нужно собирать и обрабатывать персональные данные
  • Персональные данные можно собирать и обрабатывать только после уведомления в Роскомнадзор
  • Однозначно нужно размещать политику на сайте, лендинге, в боте.