Тезисы семинара с представителем Роскомнадзора

Новеллы 152-ФЗ «О персональных данных»

Раздел 1. Уведомление о намерении осуществлять обработку персональных данных

Тезис: Если РКН не принял уведомление и вернул, то обязанность по подаче уведомления «О намерении осуществлять обработку ПДн» не считается исполненной. Оператора могут привлечь к административной ответственности за неподачу.

  • Необходимо проверить регистрацию в Реестре операторов ПДн;
  • Если сведений в реестре нет – нужно подать уведомление о намерении осуществлять обработку ПДн. Примеры заполнения есть на портале ведомства.
  • Если оператор зарегистрирован в Реестре, нужно вносить изменения в реестровую запись, если сведения неактуальны (по отношению к фактической деятельности, внутренним документам и т.д.) или не соответствуют новым требованиям к содержанию уведомления (предоставление сведений относительно каждой цели – ч. 3.1 ст. 22 152-ФЗ) и его форме (приказ РКН от 28.10.2022 № 180); 
  •  Подача уведомления до начала обработки ПДн — это прямая обязанность оператора (ч. 1 ст. 22 ФЗ «О персональных данных»);
  • Исключения по подаче Уведомления — ч. 2 ст. 22 ФЗ «О персональных данных»;
  • Уведомление направляется в территориальный орган Роскомнадзора;
  • Частая ошибка: Политику поменяли, а Уведомление нет и наоборот. Необходимо синхронизировать данные процессы!

Какие предъявляются требования:

  • указывать полные, достоверные и исчерпывающие сведения;
  • уведомление должно быть актуальным при изменении деятельности (ч. 7 ст. 22 ФЗ).

Часто допускаемые ошибки в уведомлении о намерении осуществлять обработку персональных данных:

  • Отсутствие сведений об обработке ПДн пользователей сайта (в т.ч. через метрики);
  • Ошибочная квалификация фото- и видеоизображений как биометрии, если фактически обработка не подпадает под ч.1 ст.11 ФЗ;
  • Отсутствие определения по каждой цели категорий ПДн, категорий субъектов, правовых оснований, перечня действий и способов обработки;
  • Указание не всех обязательных сведений (например, адреса ЦОДа);
  • Указание «распространения» или «обезличивания» ПДн при фактическом их отсутствии. 
  • «Неактуальная» информация об осуществлении трансграничной передачи персональных данных.

Рубрика вопрос-ответ

Если ранее не подали уведомление, то будет ли ответственность?

Задача состоит в исполнении требований. Ответственность будет наступать для тех организаций, которые не подали уведомления. Если в рамках проверки было обнаружено осуществления обработки ПДн, то будет нарушение.

Ответственность за неподачу уведомления?

Прежде всего для тех, кто не представил уведомление и обрабатывает ПДн.

Заполнение электронных форм уведомления на сайте?

Если нет вашей цели, то надо выбирать графу «Иные» и прописывать цель.

Если организация прекращается путем реорганизации, то нужно ли подавать уведомление о прекращении?

Да, нужно.

Адвокат — это оператор?

Да, если осуществляет обработку ПДн.

Обособленное подразделение является отдельным оператором?

Да, если имеет отличный от головной организации ИНН.

Должны ли регистрироваться в качестве оператора РКН самозанятые или ИП?

Если обрабатывают персональные данные не только на бумаге, то нужно.

Если у ИП есть бухгалтер, то можно на него возложить обязанности ответственного за организацию обработки ПДн?

Это не распространяется на ИП.

Раздел 2. Согласие на обработку персональных данных

  • Согласие должно быть: конкретным, предметным, информированным, сознательным и однозначным;
  • Субъект ПДн сам принимает решение о предоставлении своих данных;
  • В случаях, установленных законом, согласие должно быть в письменной форме (например, при передаче данных работников по ст. 88 ТК РФ).

Ошибки в документах Согласия:

  • Подмена согласия заявкой (например, на участие в программе);
  • На сайте используются только формулировки вроде «Я согласен на обработку ПДн» или ссылка только на политику конфиденциальности;
  • «Бессрочный» срок обработки, отсутствие целей, избыточный сбор данных.

Согласно общему правилу, Согласие на обработку не требуется в следующих ситуациях:

  • Существует соответствующая законная обязанность;
  • Данные обрабатываются в связи с участием в судебных процессах;
  • Проводится исполнение судебного решения;
  • Предоставляются государственные и муниципальные услуги, определенные 210-ФЗ;
  • Субъектом был заключен договор;
  • Обработка требуется для обеспечения защиты жизни, здоровья или других критически важных интересов субъекта, когда получение согласия не представляется возможным;
  • Ведется профессиональная деятельность журналиста и (или) СМИ;
  • Имеют место другие случаи, указанные в ч.1 ст. 6 152-ФЗ.

Рекомендации по составлению согласия на обработку ПДн:

  • Указать данные оператора ПДн: наименование (ИНН), контактная информация;
  • Цель обработки, категория, перечень данных, категории субъектов, способы, сроки обработки, и хранения, порядок уничтожения ПДн;
  • Способы связи с оператором (почта, e-mail и т.д.), включая возможность отзыва согласия;
  • Информация о передаче ПДн третьим лицам: правовое основание, цели, состав передаваемых данных;
  • Данные о трансграничной передаче;
  • Ссылка на политику конфиденциальности.

Тезис: Если передача персональных данных требуется большому числу лиц и берется согласие, то в согласии можно сделать ссылку на файл/страницу в интернете, где актуальный и обновляемый список третьих лиц.

При распространении персональных данных в сети Интернет может потребоваться получение одного из двух видов Согласий на их обработку:

  • Письменное Согласие для включения ПДн в общедоступные источники (справочники, адресные, телефонные книги) в соответствии с ч. 4 ст. 9 152-ФЗ “О персональных данных”;
  • Согласие на обработку персональных данных, разрешенных субъектом для распространения, согласно статье 10.1 того же закона Приказ РКН №18 от 24.02.2021 (при распространении ПДн на интернет-ресурсах, не являющихся справочниками и адресными книгами).

Рубрика вопрос-ответ

Можно ли предоставлять согласие на одном документе нескольким операторам?

  • В Согласие на распространение дается только одному оператору!
  • В Согласии по части 4 статьи 9 (передача данных, биометрия и прочее) – дается только одному оператору!
  • Согласие в свободной форме — оператор может упомянуть несколько организаций. Важно, чтобы Цель была единой у всех операторов.

Если работодатель пользуется сайтами рекрутинговых компаний нужно ли получать согласие на обработку кандидатов?

  • Если вы ищите сотрудников через HH.ru и прочее, то нет, т.к. есть пользовательское соглашение. Если решили кандидата внести в резерв, то берете Согласие в свободной форме;
  • Если вы ищите сотрудника через кадровые агентства, то основанием будет договор;
  • Если пользуетесь услугами лиц, чья деятельность не является кадровыми услугами, то оформляете договор поручения!

Нужно ли согласие на обработку при фотографировании на публичных мероприятиях?

Нет, не требуется.

Можно ли распространение ПДн и обработку биометрических ПДн включать вместе
в согласие на обработку?

Нет. Так как это разные Цели получения персональных данных и разные требования к оформлению Согласий.

Нужно ли брать согласие на ведение справочника внутри группы компаний?

Если для исполнения трудовых полномочий внутри компаний, то не требуется согласие.

Сканирование документов (паспорта) + фотографирование при оказании банковских услуг. Насколько правомерно?

Нужно смотреть на условия оказания банковских услуг + Требования законодательства. Если не охватывается вышеуказанным, то нужно согласие на обработку.

Нужно ли согласие на обработку ПДн в рамках реализации проекта Пушкинская карта?

Указанный проект реализуется в рамках постановления правительства, поэтому согласие не требуется.

Нужно ли согласие при судебных разбирательствах?

Согласие не требуется.

Про обработку ПДн докторов и учителей, размещенных на сайте?

Сведения на официальном сайте в рамках требования законодательства. На сайте можно размещать персональные данные в количестве, не превышающем требования законодательства. Если решили разместить больше, то берете согласие.

Нужно ли согласие работников при подписи в инструктажах?

Нет, не требуется.

Нужно ли согласие на вступление в группу в мессенджере/соц. сети?

Обработка персональных данных пользователей соц. сетей и мессенджеров регулируется их пользовательскими соглашениями. Вступление в тематические группы означает согласие пользователя с этими условиями. Однако при оказании услуг или продаже товаров через соц. сети и мессенджеры возникают договорные отношения. Оператор услуг/товаров обязан иметь правовые основания, например, договор оферты, доступный пользователю.

В форме сбора ПДн нужен чек-бокс?

Это необязательно, но нужно прописать с какого момента получено согласие, например, как раз через чек-бокс.

Если при подписании договора с контрагентом начали запрашивать согласие на обработку ПДн руководителя?

Не требуется, т.к. является должностным лицом в рамках исполнения своих обязанностей + содержится в публичных регистрах.

Должен ли собственник получать согласие с агрегаторов съёма жилого помещения?

Смотрим на следующее: на платформах есть пользовательское соглашение, которое выступает в качестве основания обработки.

Согласие на обработку спец или биометрии. Как оформлять?

Требования к оформлению согласия прописаны 152-ФЗ ч. 4 ст. 9. Такие Согласия оформляются отдельно.

При вступлении в профсоюз надо согласие на ПДн?

Нет.

Есть центральная организация и филиал. Какое юр.лицо указывать в качестве оператора
в согласии?

Если филиал имеет такой же ИНН, как и центральная организация, то оператора Центральная организация.

Нужно ли согласие работника на обработку ПДн для создания визиток?

Да, нужно. Письменное Согласие по ч. 4 ст. 9 152-ФЗ.

Нужно ли согласие на повышения квалификации?

Нет, не нужно. Так как в ТК РФ есть положения о повышении квалификации.

Франчайзер передает третьему лицу для проведения обучения работников, которые приобрели франшизу. Нужно ли согласие?

Нужно предусмотреть в договоре такое обучение. И оформить поручение на обработку ПДн третьему лицу.

Можно ли оформить согласие и его текст отдельно?

Согласие должно быть четким, конкретным и однозначным, требования прописаны в ст. 9 152-ФЗ.

Раздел 3: «Утечка» персональных данных

Утечка персональных данных — это ситуация, когда данные передаются или становятся доступными третьим лицам без разрешения. В обязанностях операторов и иных лиц не допускать раскрытия и распространения данных без согласия субъекта, кроме случаев, прямо установленных законом (ст.6, ст.7 152-ФЗ «О персональных данных).  

Если вы столкнулись с таким инцидентом, важно действовать быстро. В течение 24 часов нужно уведомить Роскомнадзор, а в течение 72 часов провести расследование, чтобы подтвердить (или опровергнуть) факт утечки.

Если оператор выявил факт утечки данных, он обязан:

  • Подать уведомление в Роскомнадзор;
  • Провести внутреннее расследование;
  • Принять меры и предоставить отчет в РКН (некоторые забывают это делать).

Тезис: Установление факта распространения (предоставления) в сети «Интернет» баз данных (их части), содержащих персональные данные, является основанием проведения контрольного (надзорного) мероприятия в отношении оператора.

Тезис: РКН наделен полномочиями по проведению административного расследования по некоторым составам статьи 13.11.

Виды ответственности за нарушения в области обработки персональных данных:

  • Административная – штрафы по ст. 19.7, 13.11 КоАП РФ;
  • Дисциплинарная – за нарушение локальных актов внутри компании;
  • Гражданско-правовая – компенсация морального вреда, убытков, ответственность по договорам;
  • Уголовная – ответственность по 272.1 УК РФ.

Рубрика вопрос-ответ

Учет проверок утечек ПДн

Не требуется фиксировать, не предусмотрено 152-ФЗ.

Учет проверок утечек ПДн

  • Периодичность из нормативной базы ФСБ и ФСТЭК;
  • Частота уничтожения — месяц/квартал/год — определяются оператором самостоятельно, но с учетом требований 179 Приказа.

Насколько правомерно копирование баз данных для личных нужд?

Никак не предполагается для личных нужд, это содержит состав правонарушения.

Раздел 4. Трансграничная передача персональных данных

Порядок осуществления трансграничной передачи персональных данных (ч. 3 ст. 12 152-ФЗ «О персональных данных»):

Не требуется уведомление:

Если трансграничная передача осуществляется в случаях, перечисленных в п. 1 Постановления Правительства РФ от 29.12.2022 № 2526 (например, для выполнения международных договоров РФ, по требованию гос. органов и муниципалитетов в рамках их функций, полномочий и обязанностей).

Требуется уведомление:

Оператор до начала передачи обязан уведомить Роскомнадзор (уполномоченный орган по защите прав субъектов ПДн) о намерении осуществлять трансграничную передачу. Основание: ч. 3 ст. 12 ФЗ-152.

Исключения из обязанности уведомлять Роскомнадзор о трансграничной передаче ПДн (Приказ Правительства РФ № 2526 от 29.12.2022).

Основные случаи (примерный перечень):

  • дипломатические отношения, консульские функции, сотрудничество в рамках ЕАЭС;
  • международные перевозки, транспортная безопасность, ликвидация ЧС, противодействие преступности;
  • военное и военно-техническое сотрудничество РФ с иностранными государствами;
  • предоставление госуслуг, почтовой связи, международный автоматический обмен фин. информации;
  • правовая помощь по гражданским, семейным, административным и уголовным делам;
  • расчеты и платежные системы;
  • оказание международной телефонной, спутниковой и другой связи;
  • оборона, безопасность государства, экстрадиция, реадмиссия;
  • проведение мероприятий в сфере физкультуры, культуры, науки, образования.

Требования частей 3–6, 8–11 ст. 12 ФЗ-152 не применяются, если передача осуществляется в целях выполнения функций, возложенных:

  • Законодательством РФ — для гос. органов и муниципальных органов;
  • Международными договорами РФ.

Новый порядок осуществления трансграничной передачи персональных данных

С 1 марта 2023 года действует новый порядок передачи ПДн за границу (в иностранное государство или иностранному лицу). Правовое основание: ст. 12 ФЗ-152 — включает обязательство подачи уведомления в Роскомнадзор
о намерении осуществлять трансграничную передачу.

Примеры законной трансграничной передачи ПДн:

Посетители сайта:

  • Использование зарубежных сервисов веб-аналитики (например, Google Analytics).

Работники:

  • Организация командировок и обучения сотрудников (билеты, проживание и др.);
  • Деловая коммуникация работников в рамках подготовки, заключения и исполнения договоров.

Субъекты ПДн в ИСПДн:

  • Предоставление доступа к ИСПДн иностранным лицам или органам власти за пределами РФ.

Размещение баз данных россиян на территории Российской Федерации.

Компании и организации, которые собирают персональные данные граждан России, должны хранить и обрабатывать их с помощью баз данных, расположенных на территории России, а именно — запись, систематизация, накопление, хранение, уточнение, извлечение.

Запрещено использовать базы данных, расположенные за пределами Российской Федерации, для указанных целей, за исключением случаев, предусмотренных пп. 2, 3, 4 и 8 ч. 1 ст. 6 ФЗ-152. Передавать персональные данные, ранее собранные и локализованные в РФ, за границу без ограничений нельзя. Передача должна осуществляться в порядке, установленном ст. 12 ФЗ-152. Нарушение этих требований влечёт за собой административную ответственность в соответствии со ст. 13.11 КоАП РФ.

Не предоставление полных или достоверных сведений в уведомлении о планируемой трансграничной передаче персональных данных влечет за собой определенные последствия, в том числе является основанием для ограничения/ запрещения трансграничной передачи ПДн:

Если уведомление содержит неполные или неверные сведения (не совпадает с данными ЕГРЮЛ/ЕГРИП), то:

  • рассмотрение приостанавливается;
  • оператору направляется запрос о предоставлении недостающих данных.

Если сведения не предоставлены — уведомление не подлежит рассмотрению.

Перечень стран.

 Страны, обеспечивающие адекватную защиту ПДн:

  • Требуется Уведомление о намерении осуществлять трансграничную передачу;
  • Предоставляются все сведения, кроме данных о правовом регулировании в области ПДн;
  • Передача возможна с даты подачи уведомления;
  • Роскомнадзор может принять решение об ограничении или запрете передачи.

Страны, не обеспечивающие адекватную защиту ПДн:

  • Также требуется Уведомление о намерении осуществлять трансграничную передачу;
  • Запрашиваются все сведения, передача возможна только через 10 рабочих дней после поступления уведомления в Роскомнадзор (исключение: защита жизни, здоровья, жизненно важных интересов);
  • Роскомнадзор может ограничить или запретить передачу.

Рубрика вопрос-ответ

Является ли трансграничной передачей передача образовательных документов для проверки подлинности. Какое будет правовое основание?

Когда поступает запрос, нужно обеспечивать правовое основание об обеспечении подлинности образовательных документов. Если нет правового основания (международного договора), то основанием выступает согласие. Также направление будет считаться трансграничной передачей.

Нужно ли подавать уведомление о трансграничной передаче, если передается пакет документов иностранному учредителю?

Да, если в документах есть ПДн.

Необходимо ли подавать уведомление о трансграничной передаче в рамках заключения/исполнения договора и нужно ли получать согласие?

Необходимо подать уведомление о трансграничной передаче. Основание для обработки – исполнение договора.

Направление через мессенджеры: является ли трансграничной передачей?

Если направляем пользователю РФ — то нет. Но есть запрет на использование иностранных мессенджеров — ч. 8 ст. 10 149-ФЗ «Об информации, информационных технологиях и о защите информации».

Раздел 5. Когда могут быть применены новые нормы ответственности и остальные вопросы по 152-ФЗ

Административные правонарушения в области обработки персональных данных согласно ст. 13.11 КоАП РФ (с изменениями с 30 мая 2025 года).

  • Не предоставление субъекту ПДн информации об обработке;
  • Нарушение сроков удовлетворения требований субъекта или Роскомнадзора по уточнению/удалению ПДн;
  • Нарушение обязанностей по обеспечению безопасности ПДн (неправомерный доступ, уничтожение, изменение, распространение и пр.);
  • Обработка ПДн в случаях, не предусмотренных законом, либо несовместимая с целями сбора Обработка ПДн без письменного согласия или с нарушением его требований;
  • Нарушение обязанностей по обеспечению систематизации, накопления, хранения
    и извлечения ПДн граждан РФ с использованием ИТ-систем в РФ;
  • Нарушение порядка обезличивания ПДн органами власти/муниципалитетами;
  • Повторные нарушения по ч. 8 ст. 13.11 КоАП РФ.

С 30 мая 2025 года были введены новые составы административных правонарушений (ст. 10–18 ст. 13.11 КоАП РФ).

Возможность смягчения ответственности по чч. 15, 18 ст. 13.11 КоАП РФ (основание: 420-ФЗ) может наступить при одновременном выполнении условий:

  • Оператор документально подтвердил соблюдение требований к защите ПДн за последние 12 месяцев;
  • Оператор в течение трех лет до выявления нарушения тратил на ИБ не менее 1/10 годовой выручки (или собственного капитала кредитной организации), причем расходы подтверждены и связаны с лицензированными организациями либо собственными силами при наличии лицензии;
  • Отсутствуют обстоятельства, отягчающие ответственность.

Рубрика вопрос-ответ

Иные вопросы

Ключевая ошибка в Политике: когда все цели перечислены через запятую, а потом, общим списком прописаны категории и субъекты Пдн.

Как правильно составить акт об оценке вреда?

178 приказ + если несколько видов деятельности, то в акте указывается высшая уровень, которая была выявлена.

Нужно ли указывать адреса ЦОД, если берется ЦОД в аренду?

Да, нужно.

Обработка фото —  биометрия?

Ст. 13 572-ФЗ распространяется положение о биометрии. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, и которые используются оператором для установления личности субъекта персональных данных.

В остальных случаях – нет.

Доска почета является ИСПДн?

Нет.

Является ли размещение фотографии в мессенджерах/групп соц. сетей распространением?

 Да, является, если группа открытая и если не попадает под исключения, установленные в 152-ФЗ.

Нужен ли приказ для формирования комиссии по уничтожению ПДн?

На усмотрение оператора, но нужен обязательно акт об уничтожении и выгрузка.

Перечень работников, допущенных работников. Нужно указывать весь список?

Да, нужно весь список. Для удобства можно перечень должностей в приказе.

Является ли информация о пересадке волос спец. категорией?

Да, является.

Хранение уволенных сотрудников в системе.

После увольнения сотрудника его ПДн передаются в архив. В электронных ИСПДн могут хранится в рамках требований законодательства.

Является ли обработка персональных данных организацией, если она использует Яндекс-форму?

Да.

Логин и никнейм — это ПДн?

Да.

Если в рамках трудовых отношений осуществляется кадровый, налоговый учет агентства, то что делать?

Ведение кадрового, бух. учета, связано с обеспечением трудового законодательства. Следовательно, кадровый и бухгалтерский учет нужно выбрать в качестве цели обработки.

Есть исчерпывающий перечень документов для полного соответствия?

Не установлен, оператор самостоятельно определяет с учетом положения 152-ФЗ. Обязательно должна быть Политика, Положения по обработке, Разделения доступов к перс. данным и т.д.

Если на сайте размещена форма обратной связи (сбор ФИО, почта), нужно ли размещать политику ПДн?

Да, нужно.

Надо ли заводить два различных адреса электронной почты при обработке ПДн различными юр. лиц?

Нужно опираться на раздельные веб-формы, а не на отдельные электронные почты.

Чем руководствоваться при оформлении политики?

152-ФЗ и рекомендациями РКН

Относятся ли сведения о дисциплинарном взыскании ПДн?

Да.

Соотнесение 152-ФЗ и архивное законодательство.

На обработку ПДн не распространяются положения архивного законодательства. Отдельно нужно отметить, что 179 приказ применяется по отношению к не переведенным в статус архивный статус материальным носителям.

Сведения о состоянии здоровья

Результаты анализов, диагнозы и другое… – результаты медицинских услуг.

Адрес электронной почты — ПДн?

Да, поскольку выступает в роли уникального идентификатора.

Является ли изображение с привязкой к имени ПДн?

Да.

Являются ли файлы, полученные с помощью метрических программ ПДн?

Да.

Возможно хранение копий Паспорта и СНИЛС сотрудников?

Да, это обеспечение исполнения трудового законодательства

Как обрабатывать сведения о судимости?

Если у организации нет полномочий обрабатывать сведения о судимости, то даже с помощью Согласия этого нельзя делать.

Но сведения об отсутствии судимости организации могут запрашивать.

Оставьте комментарий

Продолжая использовать сайт, вы даете согласие на обработку файлов cookie генерируемых Яндекс.Метрикой. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.
Принять