- Обработка персональных данных в отсутствие согласия
- Основания для обработки данных без согласия
- Обработка данных для исполнения органами исполнительной власти
- Обработка данных для заключения и исполнения договоров
- Обработка персональных данных в рамках договорных отношений
- Ограничения при обработке
- Новые требования
- Обработка без согласия
- Обработка персональных данных
- Профессиональная деятельность
- Статистические исследования
- Ограничения
- Установление Режима
- Защита Персональных данных
- На пути к центру
- Анатомия данных
- Области применения
- Задачи Минцифры
- Чем грозит передача обезличенных персональных данных
- Не берут согласие на передачу персональных данных третьим лицам
- Берут одно согласие на все случаи обработки
- Собирают излишнюю личную информацию
- Не уведомляют Роскомнадзор о трансграничной передаче
- Не уничтожают персональные данные
- Полезные советы от Роскомнадзора
Обработка персональных данных в отсутствие согласия
В отсутствие согласия субъекта персональных данных оператор может обрабатывать конфиденциальную информацию о гражданах лишь в случаях, перечисленных в п. 2-11 ч. 1 ст. 6 Закона № 152-ФЗ. Отметим, данный перечень сформулирован исчерпывающим образом и расширительному толкованию не подлежит.
Основания для обработки данных без согласия
В п. 2 ч. 1 ст. 6 Закона № 152-ФЗ установлено два основания, освобождающих оператора от получения согласия гражданина на обработку его персональных данных.
Пункты 3 и 3.1 ч. 1 ст. 6 Закона № 152-ФЗ позволяют обработку персональных данных без согласия гражданина в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве.
Обработка данных для исполнения органами исполнительной власти
Обработка персональных данных, необходимая для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 г. № 210-ФЗ Об организации предоставления государственных и муниципальных услуг, также не требует получения согласия идентифицируемого лица.
Обработка данных для заключения и исполнения договоров
Не требуется согласие гражданина на обработку его персональных данных, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Иными словами, истребование от граждан помимо прочих документов согласия на обработку персональных данных при оказании им государственных или муниципальных услуг будет считаться неправомерным.
Обработка персональных данных в рамках договорных отношений
Это основание применимо лишь в тех случаях, когда субъект персональных данных либо выступает стороной договора, либо является выгодоприобретателем или поручителем по договору.
Под выгодоприобретателем гражданское законодательство подразумевает лицо, в пользу которого заключен договор (ст. 430 Гражданского кодекса). Это может быть лицо, в пользу которого застраховано имущество по договору страхования (ст. 930 ГК РФ); лицо, в интересах которого осуществляется доверительное управление имуществом (ст. 1012 ГК РФ); лицо, в пользу которого открыт банковский вклад (ст. 842 ГК РФ), и другие.
Поручитель – это лицо, заключившее договор поручительства, по которому он обязывается перед кредитором другого лица отвечать за исполнение последним его обязательства полностью или в части (п. 1 ст. 361 ГК РФ).
Ограничения при обработке
Обработка персональных данных в подобных случаях должна строго ограничиваться целями заключения и исполнения договора. Не допускается в отсутствие согласия участника договорного правоотношения передача его персональных данных третьим лицам в рекламных или маркетинговых целях (ч. 1 ст. 15 Закона № 152-ФЗ).
Хранение же и передача необходимой информации, содержащей персональные данные, в уполномоченные органы (например, налоговые, органы валютного контроля и т. п.) могут осуществляться оператором без согласия субъекта на основании п. 2 ч. 1 ст. 6 Закона № 152-ФЗ.
Новые требования
С 1 сентября 2022 г. заключаемый с гражданином договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством РФ, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.
Обработка без согласия
Следующее основание допускает возможность обрабатывать персональные данные физического лица без его согласия, если это необходимо для защиты жизни, здоровья или иных жизненно важных интересов субъекта, когда получить его согласие невозможно (п. 6 ч. 1 ст. 6 Закона № 152-ФЗ).
В данной ситуации оператор должен самостоятельно определить, наличествует или нет реальная угроза жизненно важным интересам человека и имеется ли объективная невозможность применения п. 1 ч. 1 ст. 6 Закона № 152-ФЗ (получение согласия). Примером такой обработки может считаться передача или распространение информации о малолетних детях, оказавшихся в трудной жизненной ситуации, потерявшихся гражданах.
Обработка персональных данных
Обработка персональных данных возможна без согласия субъекта, если она необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон О микрофинансовой деятельности и микрофинансовых организациях, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных (п. 7 ч. 1 ст. 6 Закона № 152-ФЗ).
По сути данное основание позволяет оператору оправдать осуществляемую им обработку персональных данных собственными законными правами и интересами или законными интересами и правами иных лиц либо публичными интересами. Но при этом он должен подтвердить, что подобная обработка не имеет отрицательных последствий для субъекта персональных данных. Заметим, что риск возможного несогласия с такой оценкой как со стороны субъекта, так и контролирующих органов несет оператор, поскольку бремя доказывания перечисленных условий возлагается на него.
Профессиональная деятельность
Не требуется согласие лица, если обработка его персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации (СМИ) либо научной, литературной или иной творческой деятельности (п. 8 ч. 1 ст. 6 Закона № 152-ФЗ). Данное основание гарантирует профессиональным журналистам и СМИ реализовать предоставленное им право на свободу слова (ст. 29 Конституции РФ), право на свободу литературного, художественного, научного, технического и других видов творчества, преподавания (ст. 44 Конституции РФ), но только в той мере, в которой не нарушаются права и законные интересы субъектов персональных данных.
Статистические исследования
Закон допускает обработку персональных данных без согласия субъекта в статистических или иных исследовательских целях, при условии обязательного обезличивания этих данных (п. 9 ч. 1 ст. 6 Закона № 152-ФЗ). Под обезличиванием понимается действие, в результате которого становится невозможным определить принадлежность персональных данных конкретному субъекту персональных данных.
Ограничения
В силу прямого указания закона такая обработка не должна использоваться в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации (ст. 15 Закона № 152-ФЗ). Подчеркнем также, что это основание не распространяется на специальные категории персональных данных.
Приказом Роскомнадзора от 5 сентября 2013 г. № 996 утверждены требования и методы по обезличиванию персональных данных. Однако данный документ предназначен для операторов, являющихся государственными или муниципальными органами. Какой-либо иной нормативно-правовой акт, регламентирующий процедуру обезличивания персональных данных, в настоящее время отсутствует.
С 1 июля 2020 года Федеральным законом от 24 апреля 2020 г. № 123-ФЗ ч. 1 ст. 6 Закона № 152-ФЗ дополнена п. 9.1, в силу которого в отсутствие согласия возможна обработка личных данных физических лиц, полученных в результате обезличивания персональных данных, которая осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных данным законом.
Отметим, что Закон № 123-ФЗ создает правовую основу для разработки и внедрения технологий искусственного интеллекта и последующего возможного использования его результатов. Согласно его нормам с 1 июля 2020 года в Москве на пять лет установлен специальный экспериментальный режим, в рамках которого осуществляется нормативное правовое регулирование для создания технологий искусственного интеллекта.
При этом под искусственным интеллектом понимается комплекс технологических решений, позволяющий имитировать когнитивные функции человека (включая самообучение и поиск решений без заранее заданного алгоритма) и получать при выполнении конкретных задач результаты, сопоставимые, как минимум, с результатами интеллектуальной деятельности человека. Комплекс технологических решений включает в себя информационно-коммуникационную инфраструктуру, программное обеспечение, процессы и сервисы по обработке данных и поиску решений (ст. 2 Закона № 123-ФЗ).
Установление Режима
Целями установления такого режима являются:
- обеспечение повышения качества жизни населения;
- повышение эффективности государственного или муниципального управления;
- повышение эффективности деятельности хозяйствующих субъектов в ходе внедрения технологий искусственного интеллекта;
- формирование комплексной системы регулирования общественных отношений, возникающих в связи с развитием и использованием технологий искусственного интеллекта, по результатам установления экспериментального правового режима (ч. 1 ст. 3 Закона № 123-ФЗ).
Защита Персональных данных
Безусловно, технологии искусственного интеллекта представляют потенциальную угрозу для неприкосновенности частной жизни, а зачастую сознательно проектируются для идентификации физических лиц. Поэтому разработчикам искусственного интеллекта важно не нарушать право граждан на защиту их персональных данных.
Участники эксперимента несут ответственность за соблюдение прав субъектов персональных данных в соответствии с Законом № 152-ФЗ в течение всего срока проведения эксперимента и после прекращения их участия в эксперименте (ч. 6 ст. 4 Закона № 123-ФЗ).
И, наконец, последнее основание для обработки персональных данных без согласия субъекта касается случаев, когда эти данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом (п. 11 ч. 1 ст. 6 Закона № 152-ФЗ). Примерами требований законодательства являются положения, обязывающие граждан, претендующих на замещение должностей государственной или муниципальной службы, представлять работодателю сведения о своих доходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей (ст. 8 Федерального закона от 25 декабря 2008 г. № 273-ФЗ "О противодействии коррупции"); требования законодательства о банкротстве об опубликовании идентифицирующих сведений о должнике-гражданине (ст. 213.7 Федерального закона от 26 октября 2002 г. № 127-ФЗ "О несостоятельности (банкротстве)"), медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием Интернета, о своих медицинских работниках, уровне их образования, квалификации (п. 7 ч. 1 ст. 79 Федерального закона от 21 ноября 2011 г. № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации") и др.
В частности, применительно к медицинским работникам, Конституционный Суд Российской Федерации указал, что, реализуя право свободно распоряжаться своими способностями к труду, выбирать род деятельности и профессию (ч. 1 ст. 37 Конституции РФ), лицо тем самым выражает и свое согласие с установленными законодателем условиями и требованиями, обеспечивающими повышенную открытость сведений о деятельности и компетенции представителей отдельных профессий (Постановление КС РФ от 25 мая 2021 г. № 22-П).
Последняя актуализация: 23 июня 2023 г.
На пути к центру
О том, что в составе Минцифры в 2024 году может появиться центр обезличивания, рассказал заместитель главы ведомства Александр Шойтов. По его словам, для создания центра вначале потребуется его макет — специальный программно-аппаратный комплекс. При этом в ходе создания модели будут проведены исследования в области обезличивания персональных данных.
Как сообщил Шойтов, первый вариант макета будущего центра на базе Национального технологического центра цифровой криптографии должен появиться в конце нынешнего года, а полноценный образец, в котором будут реализованы разные варианты исходных данных, появится к концу 2024 года. Работы над самим центром обезличивания будут идти параллельно — их также планируется закончить в 2024 году.
Замглавы Минцифры отметил, что при обезличивании данных есть две задачи. Первая — обеспечить невозможность достоверного установления по обезличенным данным исходной информации конкретного человека. Вторая — необходимо сохранять их в качественном виде для дальнейшего использования, в том числе обучения искусственного интеллекта.
Между тем сам вопрос обезличивания персональных данных считается довольно сложным не только с технической, но и с нормативной точки зрения. Именно поэтому в настоящее время в Госдуму внесен проект федерального закона, в котором предусматривается нормативное регулирование одного из подходов в этой области.
Анатомия данных
— Данные считаются обезличенными, если для их персонализации необходимо слишком много времени, усилий, денег или ресурсов, — отмечает IT-специалист и генеральный директор компании ProControl Станислав Сидоров.
По словам руководителя направления мониторинга и аналитики Innostage Ксении Рысаевой, на сегодняшний день существует четыре основных метода обезличивания персональных данных. Первый из них — замена состава или семантических особенностей этих данных: в таком случае производится удаление части информации, не имеющей пользы, ее замена на анонимизированные данные или обобщение.
Второй способ — использование идентификаторов вместо конкретной информации. В результате создается особая таблица, где обозначены коды и их расшифровка. Такой метод при наличии соответствующего доступа позволяет восстановить изначальный объем и содержание персональных данных.
— Третий способ — это декомпозиция, разделение общего массива на то или иное количество блоков, — рассказывает Рысаева. — Суть в том, что, имея доступ лишь к части информации, невозможно понять, какому именно субъекту она принадлежит.
Наконец, четвертый способ обезличивания персональных данных — это их перемешивание до того момента, когда становится нереальным определить, о чьих именно данных идет речь.
— Зачастую обезличивание персональных данных преследует рекламные цели, — объясняет Андрей Воробьев. — Персональная часть — допустим, имена и фамилии — заменяются на цифровые идентификаторы.
В качестве примера специалист приводит базу сервиса WHOIS, который предоставляет информацию о регистрации доменных имен. Там персональные данные администраторов — физических лиц — скрыты и заменены статусом private person. А при обработке cookie-файлов персональные данные часто вообще не собираются, зато сохраняется информация о поведении пользователя на сайте, которая позволяет затем показать ему рекламу с учетом персональных особенностей.
Области применения
— Например, вы тестируете новое банковское приложение, которое работает с огромными пользовательскими массивами данных, — объясняет специалист. — С одной стороны, вы не можете отдать эти данные разработчикам, а с другой — тестировать продукт без данных не имеет смысла. Тогда-то и появляется необходимость в реальных, но обезличенных данных.
Как отмечает Станислав Сидоров, такие данные сегодня используются в широком спектре областей — от маркетингового анализа до медицинских исследований. Поскольку они не содержат личной информации, их можно безопасно использовать для анализа трендов, паттернов и других массовых явлений, не нарушая прав на конфиденциальность пользователей. Наконец, обезличенные персональные данные играют важную роль в обучении ИИ — в частности, прогностических, которые предсказывают потребительское поведение пользователей.
— Используя обезличенные данные, системы ИИ могут обучаться на реальных примерах без риска нарушения конфиденциальности, — рассказывает Сидоров. — Это позволяет создавать более точные и надежные модели, поскольку они основаны на реальных данных, но при этом не нарушаются законы о защите данных.
По мнению Сергея Полунина, для обучения искусственного интеллекта обезличенные данные подходят не хуже обычных, если правильным образом проводить обучение. При этом сам ИИ позволяет обезличивать данные куда эффективнее, чем все известные алгоритмы.
Задачи Минцифры
Между тем Андрей Воробьев указывает на то, что ИИ под силу провести операцию, обратную обезличиванию данных, — так называемую деанонимизацию.
Что касается создания центра обезличивания персональных данных внутри информационной системы Минцифры, то, по мнению Воробьева, такая структура позволит гарантированно обезличивать критичные государственные данные, утечка которых могла бы привести к тяжелым последствиям. При этом разработчики смогут обучать свои ИИ на обезличенных данных, но под строгим контролем Минцифры.
— Не исключено, что речь также идет о создании изолированной экосистемы, которая должна придать дополнительные возможности ИИ-проектам, разрабатываемым под патронажем ведомства, — отмечает специалист.
В свою очередь Сергей Полунин называет создание центра на базе Минцифры назревшей необходимостью: дело в том, что государственные информационные системы уже сейчас работают с колоссальными массивами данных. И появление отдельной структуры, которая возьмет на себя эту работу, а также взаимодействие с субъектами, которым требуется доступ к этим данным, было лишь вопросом времени.
Полунин считает, что, поскольку сегодня Россия взяла курс на цифровизацию, работа центра будет востребована. При этом для грамотной интеграции с ним всех государственных информационных систем, а также подключения к нему коммерческих предприятий неизбежно потребуется найти баланс между удобством и безопасностью.
— Перспективы работы центра обезличивания данных в России зависят от многих факторов, включая законодательную базу и готовность индустрии к такому подходу, — заключает Станислав Сидоров. — В общем и целом, это направление кажется очень перспективным, учитывая растущую потребность в безопасной обработке больших данных для исследований и обучения ИИ.
Материал раздела Основной
Чем грозит передача обезличенных персональных данных
Минцифры РФ допускает возможность использовать обезличенные персональные данные граждан. Однако пока эта инициатива на законодательном уровне не реализована. Как сейчас действовать бизнесу — рассказывают эксперты системы «Гарант»

В соответствии с п. 1 ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Пунктом 1 указа президента РФ от 6 марта 1997 г. № 188 сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях, отнесены к информации конфиденциального характера.
Конфиденциальность персональных данных заключается в том, что операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (ст. 7 Закона № 152-ФЗ).
Закон № 152-ФЗ не содержит определения обезличенных персональных данных, указывая лишь на то, что обезличивание персональных данных — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (п. 9 ст. 3 Закона № 152-ФЗ). То есть, по смыслу закона, обезличивание персональных данных является дополнительным способом защиты персональных данных от несанкционированного доступа и частным случаем их обработки (п. 3 ст. 3 Закона № 152-ФЗ), в результате которой персональные данные невозможно отнести прямо или косвенно к конкретному индивиду без использования дополнительной информации. Однако при этом обезличенная информация не перестает быть персональными данными в контексте Закона № 152-ФЗ, а потому ее обработка должна подчиняться требованиям действующего законодательства.
1. Общие положения
Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных ИП Петрова Е. К (далее – Оператор).
2. Основные понятия, используемые в Политике
3. Оператор может обрабатывать следующие персональные данные Пользователя
4. Цели обработки персональных данных
5. Правовые основания обработки персональных данных
6. Порядок сбора, хранения, передачи и других видов обработки персональных данных
Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.
7. Трансграничная передача персональных данных
8. Условия передачи информации при оплате «Долями»
Под персональными данными понимаются любые относящиеся к Пользователю сведения и информация на бумажных и/или электронных носителях, которые были или будут переданы Пользователем в ТКС и/или поступили (поступят) ТКС иным способом, включая от третьих лиц, в том числе для заключения гражданско-правового(-ых) договора(-ов) между Пользователем и ТКС.
Указанное согласие дано на срок 15 лет, а в случае его отзыва обработка персональных данных Пользователя должна быть прекращена ТКС и/или третьими лицами и данные уничтожены при условии расторжения заключенных с ними договоров и полного исполнения обязательств по договорам в срок не позднее 1 (одного) года с даты прекращения действия указанных договоров.
Пользователь дает согласие на получение им рассылки и рекламы по сетям электросвязи, включая подвижную радиотелефонную связь, от ТКС и его аффилированных лиц, а также партнеров ТКС и их аффилированных лиц.
9. Заключительные положения
Весна – время цветови
на ВСЕ продукты, кроме спецтарифов
Только за 2022 год Роскомнадзор оштрафовал операторов персональных данных за нарушения в работе более чем на 50 млн. рублей. Некоторые предприниматели даже не догадываются, что нарушают закон. В статье собрали самые распространенные ошибки, которые допускают предприниматели из-за незнания закона о персональных данных. Прочитайте и проверьте — не грозит ли вам штраф..
Не берут согласие на передачу персональных данных третьим лицам
Пример 1. ИП торгует через свой интернет-магазин. Для доставки товаров он заключил договор с курьерской службой и передаёт ей Ф.И.О., адрес проживания покупателей. Согласия от клиентов на передачу данных третьим лицам он не получает, думая, что личная информация нужна для исполнения договора купли-продажи.
Пример 2. ИП-работодатель сдаёт отчётность в Социальный фонд через СБИС. Для этого он передаёт в СБИС персональные данные сотрудников: Ф.И.О., СНИЛС. Согласия от работников на передачу личной информации третьим лицам он не получает. Он думает, что раз сдавать отчётность он обязан по закону, об этом не нужно предупреждать сотрудников.
Пример 3. Владелец интернет-магазина делает email-рассылки своим клиентам с новостями по акциям, скидкам, поступлению новых товаров. Для этого он использует почтовый сервис UniSender или аналогичную программу и туда загружает базу контактов. Согласия от клиентов на передачу их данных разработчикам программы он не получает.
В этих ситуациях ИП нарушает ч. 3 ст. 6 закона от 27.07.2006 № 152-ФЗ «О персональных данных». Передавать личную информацию третьим лицам можно только с согласия гражданина. Предпринимателя могут оштрафовать как должностное лицо на сумму от 10 000 до 20 000 рублей по ч. 1 ст. 13.11 КоАП РФ.
Роскомнадзор узнаёт о нарушениях операторов персональных данных в ходе проверок: плановых и внеплановых. Если он получит жалобу от граждан или информацию о возможной утечке личной информации, то придёт с визитом к предпринимателю в любое время. Пожаловаться в Роскомнадзор могут работники, клиенты, сотрудники подрядчиков.
Ответственность за конфиденциальность персональных данных несёт оператор — тот, кто заключил с гражданином договор. Он должен получить согласие, обеспечить защиту личной информации и предотвратить её утечки.
Чтобы разделить ответственность с третьей стороной при возможных «сливах данных», надо включить в договор с ней дополнительные условия:
Третья сторона не обязана получать согласия с клиентов ИП на обработку их персональных данных. Она не несёт ответственности за сохранность ПД, если оператор не позаботится указать это в договоре с ней.
Если не уверены, нужно получать согласие на обработку ПД или нет, всегда получайте согласие. За это не штрафуют.
Берут одно согласие на все случаи обработки
Пример. Владелец сервиса «Муж на час» публикует на своём сайте данные своих работников с фото, номерами мобильных телефонов, а также отзывы клиентов с указанием их e-mail, ссылок на профиль в соцсетях. Отдельного согласия на распространение персональных данных он не получает. У него есть одно согласие на обработку ПД, которое подписывают работники у кадровика, и одно общее согласие от клиентов на обработку ПД при входе на сайт.
Публикация телефонов, e-mail и имён своих сотрудников или клиентов в интернете, в рекламных буклетах либо на корпоративной доске при входе в офис — это распространение персональных данных. В этом случае доступ к ним получает любой желающий, то есть «неопределённый круг лиц».
На распространение ПД нужно получать отдельное согласие в письменной форме, чтобы не нарушать ст. 10.1 закона от 27.07.2006 № 152-ФЗ «О персональных данных». Иначе предприниматель может заплатить штраф по ч. 2 ст. 13.11 КоАП РФ:
Если данные граждан публикуются на сайте с иностранным доменом, то наказание будет ещё строже — по ч. 8 и 9 ст. 13.11 КоАП РФ. Это штраф для ИП от 100 000 до 800 000 рублей.
Проверьте, где вы размещаете в открытом доступе данные работников и клиентов. На все эти случаи получите согласие на распространение ПД. Для формы этого документа есть свои требования.
Так, гражданин должен по каждому виду ПД указать, что он разрешает с ними делать. Например, он согласен дать свой e-mail оператору ПД, но против его публикации на сайте.
На сайте Роскомнадзора есть специальный сервис для подготовки шаблона согласия на распространение ПД. Для авторизации нужна подтверждённая учётная запись на Госуслугах. Вы можете составить шаблон согласия и при желании направить его в Роскомнадзор на проверку.
С 1 сентября 2022 года согласие на обработку персональных данных должно быть «конкретным, предметным, информированным, сознательным и однозначным». В идеале на одну цель обработки нужно одно согласие. Например, для интернет-магазина могут потребоваться:
Собирают излишнюю личную информацию
Пример. Клиент интернет-магазина покупает товар с самовывозом из пункта выдачи заказов. Владелец магазина при оформлении заказа запрашивает с него: Ф.И.О., мобильный телефон, дату рождения, домашний адрес, паспортные данные, адрес электронной почты.
Предприниматель может собирать только те персональные данные, которые совместимы с целями их обработки. Запрашивая избыточную личную информацию с граждан, он нарушает ст. 5 закона о персональных данных. В примере c доставкой самовывозом домашний адрес клиента, e-mail и дата рождения продавцу не нужны.
За такое нарушение оператор ПД получит штраф по ч. 1 ст. 13.11 КоАП РФ. Для индивидуального предпринимателя он составит:
Проведите инвентаризацию всех бизнес-процессов: от заказа товара до его доставки клиентам и получения отзывов. Запишите, какую личную информацию граждан вы получаете и обрабатываете на всех этапах.
Оцените, какие персональные данные вам нужны для работы, а какие — нет. После этого уничтожьте или передайте в архив лишние ПД. Если необходимо, исправьте согласия на обработку ПД, убрав оттуда избыточные запросы.
С 1 марта 2023 года оператор ПД должен иметь Акт оценки вреда, который может быть причинён субъекту ПД при утечке его персональных данных. Документ составляют в соответствии с приказом Роскомнадзора от 27.10.2022 № 178. Оператор делает список всех видов ПД, которые он обрабатывает, и по каждому из них оценивает степень вреда: высокую, среднюю, низкую.
По возможности, исключайте обработку персональных данных с высокой степенью вреда, так как за них при нарушениях штраф может быть больше.
Не уведомляют Роскомнадзор о трансграничной передаче
Пример. Маркетологи интернет-магазина используют в работе для анализа поведения посетителей сайта Google Analytics. На странице есть личные данные клиентов магазина. Google Analytics — это иностранный сервис, без локализации баз данных в России. В данном случае владелец интернет-магазина фактически отправляет персональные данные клиентов иностранной компании в другую страну. Это трансграничная передача ПД (ТППД), о которой нужно уведомлять Роскомнадзор. Но владелец интернет-магазина этого не делает. Он думает, что это обязательно только для тех, у кого есть зарубежные партнёры.
С 1 марта 2023 года передавать иностранцам и иностранным организациям в другой стране личные данные россиян можно только после уведомления Роскомнадзора. Это обязательно по ч. 3 ст. 12 закона о персональных данных.
Как уведомить Роскомнадзор:
Если персональные данные передают в государство с адекватной защитой ПД, можно после уведомления не дожидаться ответа от Роскомнадзора. Список таких стран утверждён приказом Роскомнадзора от 05.08.2022 № 128.
Если личная информация попадает в страну, которой нет в списке, нужно подождать 10 рабочих дней. За это время Роскомнадзор рассмотрит уведомление и примет решение, можно передавать ПД иностранцу или нет. Если ведомство откажет в ТППД, то никакую информацию этому контрагенту отправлять нельзя.
Если Роскомнадзор запретил ТППД, а личные данные россиян к иностранцу уже попали, нужно обеспечить уничтожение ПД. Как это делать, в законе не сказано. Часто ИП может только направить письмо своему партнёру с просьбой уничтожить ПД, и на этом легальные способы заканчиваются.
Если вы используете Google Analytics, направьте уведомление в Роскомнадзор о ТППД или выберите для анализа сайта другие метрики.
Не уничтожают персональные данные
Пример. Компания искала бухгалтера через интернет и собирала резюме кандидатов. Кадровик получал от соискателей согласие на обработку персональных данных в целях выбора работника для закрытия вакансии. Бухгалтера нашли и приняли на работу. Но кадровик продолжает хранить «на всякий случай» резюме других кандидатов.
Все персональные данные после достижения целей обработки надо уничтожить или сдать в архив. На архивное дело законодательство о ПД не распространяется.
Если этого не сделать, то будет нарушение требований ч. 4 и ч. 6 ст. 21 закона о персональных данных. ИП может заплатить штраф до 100 000 рублей по ч. 1 ст. 13.11 КоАП РФ.
Проверьте, не храните ли вы лишнюю информацию. Например, данные бывших клиентов или уволенных работников. Посмотрите, что нужно сдать в архив, а что — уничтожить.
Обучите своих работников правилам обработки ПД. Объясните им, что не стоит копить личные данные граждан, если это не нужно по закону.
Полезные советы от Роскомнадзора
Роскомнадзор опубликовал в августе 2023 года Рекомендации операторам персональных данных. Что он советует:
Минцифры подготовило законопроект об обезличенных данных. По данным Forbes, документ предполагает, что госструктуры и бизнес будут передавать имеющиеся у них данные о клиентах в государственную информационную систему, которую определит правительство. Система будет эту информацию обезличивать и формировать из нее дата-сеты, которые разработчики будут использовать для тестирования и обучения своих нейросетей. Эксперты говорят, что фактически речь может идти о монополизации данных госкомпаниями, причем без согласия самих граждан. Кроме того, агрегировать такой большой объем данных в одной структуре небезопасно, добавляют юристы







