Персональные данные: обработка, использование и документы
2025-06-19 14:35
Давайте разбираться, что такое персональные данные, почему нужно из собирать и обрабатывать, а так же зачем об этом знать Роскомнадзору. Ну и расскажу о том, какие важные документы вам для этого могут понадобится, чтобы не нарваться на штрафы.
А начнём с основ и понятий.
Кто является Оператором?
Все — это и ИП, и самозанятый, и компания, если организуют обработку персональных данных.
Вы оказываете услуги — вы Оператор Пдн.
Что такое персональные данные (ПДн)?
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому человеку: ФИО, email, телефон, паспорт, адрес, история заказов, IP-адрес, фото и т.д.
То есть по смыслу ПДн — это данные, с помощью которых человека можно идентифицировать. Какого-то прям конкретного перечня не существует.
По мнению ВС РФ отдельно email без всего или номер телефона без всего не являются ПДн.
При этом большинство юристов склоняется к тому, что это не так однозначно и РКН не то чтобы поддерживает это.
Обработка персональных данных — что это?
Обработка ПДн — любое действие с персональными данными: запись, сбор, хранение, систематизация, изменение, передача, удаление, даже просто хранение в телефоне или облаке.
Смотрите. Даже если вы условно не собираете ПДн (не просите их у своих клиентов), вы все равно можете их так или иначе обрабатывать:
собирать в таблицы;
делать рассылку на старых клиентов;
проводить анкетирование;
сохранять в контактах.
То есть сбор — это всего лишь часть общего понятия "обработка".
По общему правилу обрабатывать ПДн можно только с согласия или в ограниченных законом случаях без.
Когда НЕ требуется отдельное согласие?
В случаях, прямо установленных законом (ч. 1 ст. 6 ФЗ-152). Например:
Для исполнения договора, стороной которого выступает субъект данных.
Для выполнения обязательств по закону.
Для защиты жизни и здоровья, если нельзя получить согласие.
Для защиты прав и законных интересов оператора или третьих лиц, если это не нарушает права субъектов.
То есть вы можете обрабатывать данные своих клиентов в целях исполнения договора без их согласия.
Например:
Отправить напоминание клиенту о встрече — это обработка ПДн в рамках договора. Согласия не надо.
Отправить информацию о новой услуге клиенту — это обработка ПДн НЕ в рамках договора и нужно отдельное согласие.
При этом количество ПДн должно быть обусловлено вашей услугой. То есть я не могу запрашивать у вас, например, дату рождения для проведения консультации. Она мне вообще не нужна для консультации.
Получается, что если:
Цель — подготовка, заключение и исполнение договора — согласие не нужно.
Цель — любая другая — практически всегда нужно согласие.
Причем согласие в этом случае должно быть отдельным документом (блоком на сайте), конкретным и добровольным. И не "вшито" в договор или оферту. Так нельзя!
Согласие на распространение персональных данных
Если вы собираетесь публиковать ПДн (например, в виде отзывов на сайте или в соцсетях) — нужно отдельное согласие на распространение, с особыми реквизитами. согласно ст. 10.1 ФЗ-152, Приказ Роскомнадзора № 18 от 24.02.2021.
Вариант без согласия?Обезличивать отзывы. Чтобы было не идентифицировать человека.
Уведомление о начале обработки персональных данных
Все операторы должны подавать это уведомление.
Исключение — если вы обрабатываете данные только на бумаге, без автоматизации (и еще два, но это не про нас) согласно ПП РФ от 15.09.2008 № 687.
Уведомление подается В Роскомнадзор, до начала обработки.
Штрафы за отсутствие уведомления (ч. 10 ст. 13.11 КоАП РФ):
Самозанятые от 5 000 до 10 000
ИП от 100 000 до 300 000
Какие минимально нужны документы?
И для ИП, и для самозанятых понадобятся:
согласия на обработку ПДн (там, где нужно);
политика в отношении обработки ПДн;
для сайтов корректные чекбоксы для сбора ПДн.
Штрафы за нарушение обработки ПДн (отсутствие согласий, политики и т.д.) большие. ТАк что имейте ввиду и подумайте о размещении Согласия на обработку заранее.
Политика для сайта
Когда речь заходит о сайте, чуть ли не один из первых документов, который советуют разместить — это политика в отношении обработки персональных данных.
Политика в отношении обработки персональных данных — документ с условиями работы с персональными данными.
Оператор обязан издать (!) "документы, определяющие политику оператора в отношении обработки персональных данных". Вот ровно из этой формулировки и вылупилась политика в отношении обработки ПДн.
Кому нужна политика?
Всем операторам персональных данных: ИП, юрлицам, самозанятым. Помним, что мы с вами — самозанятые и ИП, оказывающие услуги — операторы персональных данных.
Даже если вы не собираете отдельно персональные данные, вы все равно с ними соприкасаетесь, а значит, обрабатываете — вы оператор.
Например:
прислали анкету клиенту
прислали предложение клиенту в мессенджер
подписали договор
согласовали условия
сделали сайт, страничку таплинк и т.п.
Что, как Оператор, вы обязаны сделать с политикой?
Все та же ч 2 статьи 18.1 ФЗ-152. Обязан:
Издать политику в отношении обработки ПДн.
Обеспечить неограниченный доступ к этой политике.
Если сбор персональных данных (оплата, рассылка, заявки и т.п.) идёт через сайт или бот — разместить политику на сайте или в боте.
И тут нюанс. Все эти пункты не исключают друг друга. То есть даже если у вас нет сайта, с которого вы собираете ПДн, политика у вас все равно должна быть и должна быть где-то размещена. У кого есть офис или кабинет — можно повестить в уголок.
А если офиса нет... :)
Понятное дело, что вероятность прихода сотрудников РКН с проверкой к самозанятому или ИП домой — с вопросом "гдеее у вас размещена политика?!", маловероятна, но я все равно должна была предупредить :)
Короче. Однозначный мастхэв по политике, если у вас есть:
сайт/лендинг
бот
страница типа таплинк
Что должно быть в Политике?
Общий перечень — опять пп. 2 ч. 1 статьи 18.1 ФЗ-152:
общие цели
цели сбора персональных данных
правовые основания обработки персональных данных
объем и категории обрабатываемых данных, категории субъектов персональных данных;
порядок и условия обработки персональных данных;
актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным.
Ну или не показали ее при запросе от РКН. Штрафы по ч. 3 статьи 13.11 КоАП РФ: Физлица и самозанятые — от 1 000 до 3 000 руб. ИП — от 10 000 до 20 000 руб.