1. Нет, не нужно. Если ваша компания заключает договор с индивидуальным предпринимателем, то нет необходимости дополнительно получать согласие на обработку его персональных данных.
2. Обратите внимание, что ваша компания (как оператор персональных данных) в силу закона обязана уведомить Роскомнадзор об обработке персональных данных и наладить взаимодействие с ГосСОПКа. Такое уведомление следует сделать до начала обработки данных. Уведомление возможно направить как в бумажном виде, так и в электронном виде с использованием УКЭП.
3. Данное правило относится исключительно к персональным данным самого контрагента-ИП. И не распространяется на случаи, когда ваш контрагент-ИП в ходе исполнения договора передает вам персональных данные иных лиц.
4. Следует помнить, что согласие на обработку персональных данных контрагента-ИП не требуется, если вы используете его персональные данные исключительно и только для заключения и исполнения договора с ним.
Если же ваша компания намерена использовать персональные данные контрагента-ИП для иных целей, то следует получить согласие именно на эти дополнительные цели (рассылка рекламных материалов, иные маркетинговые цели, передача данных иным лицам, хранение за пределами нормативных сроков хранения первичных бухгалтерских документов и т.п.)
Персональные данные: что год грядущий нам готовит?
По общему правилу обработка персональных данных осуществляется с согласия субъекта персональных данных (ч. 1 ст. 6 Закона о персональных данных).
Вместе с тем имеется целый ряд случаев, когда получения такого согласия не требуется.
Так, в частности, согласие не требуется, если обработка персональных данных необходима для заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных (п. 5 ч. 1 ст. 6 Закона о персональных данных).
Следовательно, если ваша компания заключает договор с индивидуальным предпринимателем (контрагент-ИП), то нет необходимости дополнительно получать от него согласие на обработку его персональных данных.
Однако компания обязана уведомить Роскомнадзор о самой обработке персональных данных контрагента-ИП, если такая обработка осуществляется автоматизированным способом (т.е. с использованием компьютеров).
Такая обязанность появилась с 01.09.2022 и не зависит от того, что получать само согласие на обработку персональных данных от субъекта этих данных не требуется. А за нарушение правила предусмотрена административная ответственность в виде штрафа
Ранее компании могли осуществлять обработку персональных данных своих контрагентов-физических лиц (и ИП) без уведомления Роскомнадзора. Работа с такими данными подпадала под специальный перечень исключений. Вот как ранее звучал в законе этот пункт с исключением (ч. 2 п. 2. ст. 22 Закона о персональных данных):
- Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:… полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
Такая обязанность касается всех компании и индивидуальных предпринимателей, которые получают персональные данные иных лиц и обрабатывают их.
ПЕРСОНАЛЬНЫЕ ДАННЫЕ. Зачем собирают и что делать
Нарушение правила об уведомлении Роскомнадзора влечет административную ответственность (штраф). На момент подготовки данной заметки размер штрафа 5 000 руб., но учитывая общую направленность на усилие защиты персональных данных, следует ожидать увеличение размера штрафа.
После уведомления Роскомнадзора такие компании и ИП обязаны будут наладить взаимодействие с государственной системой ГосСОПКА — система обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ (ч. 12 ст. 19 Закона):
- Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
Источник: laarts.ru
Федеральный закон от 27.07.2006 г. № 152-ФЗ
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. (В редакции Федерального закона от 25.07.2011 № 261-ФЗ)
11. Положения настоящего Федерального закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договора, стороной которого являются граждане Российской Федерации, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами Российской Федерации либо на основании согласия гражданина Российской Федерации на обработку его персональных данных. (Дополнение частью — Федеральный закон от 14.07.2022 № 266-ФЗ)
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) (Пункт утратил силу — Федеральный закон от 25.07.2011 № 261-ФЗ)
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
5) (Дополнение пунктом — Федеральный закон от 28.06.2010 № 123-ФЗ) (Утратил силу — Федеральный закон от 29.07.2017 № 223-ФЗ)
3. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации». (Дополнение частью — Федеральный закон от 29.07.2017 № 223-ФЗ)
Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
11) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом; (Дополнение пунктом — Федеральный закон от 30.12.2020 № 519-ФЗ)
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
9) обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
(Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее — нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию. (В редакции Федерального закона от 25.07.2011 № 261-ФЗ)
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
31. Нормативные правовые акты, принимаемые в соответствии с частью 2 настоящей статьи, подлежат обязательному согласованию с уполномоченным органом по защите прав субъектов персональных данных в случаях, если указанные нормативные правовые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания. Срок указанного согласования не может превышать тридцать дней с даты поступления соответствующего нормативного правового акта в уполномоченный орган по защите прав субъектов персональных данных. (Дополнение частью — Федеральный закон от 14.07.2022 № 266-ФЗ)
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
5. Решения межгосударственных органов, принятые на основании положений международных договоров Российской Федерации в их истолковании, противоречащем Конституции Российской Федерации, не подлежат исполнению в Российской Федерации. Такое противоречие может быть установлено в порядке, определенном федеральным конституционным законом. (Дополнение частью — Федеральный закон от 08.12.2020 № 429-ФЗ)
Глава 2. Принципы и условия обработки персональных данных
Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
(Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; (В редакции Федерального закона от 29.07.2017 № 223-ФЗ)
31) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта); (Дополнение пунктом — Федеральный закон от 29.07.2017 № 223-ФЗ)
4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг; (В редакции Федерального закона от 05.04.2013 № 43-ФЗ)
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных; (В редакции федеральных законов от 21.12.2013 № 363-ФЗ, от 03.07.2016 № 231-ФЗ, от 14.07.2022 № 266-ФЗ)
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; (В редакции Федерального закона от 03.07.2016 № 231-ФЗ)
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
91) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» и Федеральным законом от 31 июля 2020 года № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами; (Дополнение пунктом — Федеральный закон от 24.04.2020 № 123-ФЗ) (В редакции Федерального закона от 02.07.2021 № 331-ФЗ)
10) (Пункт утратил силу — Федеральный закон от 30.12.2020 № 519-ФЗ)
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
11. Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года № 57-ФЗ «О государственной охране». (Дополнение частью — Федеральный закон от 01.07.2017 № 148-ФЗ)
2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 181 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ста
Источник: www.kremlin.ru
Что нужно знать об обработке персональных данных: чек-лист для предпринимателя
Вопрос, который мы затронем в этом лонгриде, вполне можно изучить самостоятельно. Но даже на первом шаге у любого предпринимателя может возникнуть вполне логичный вопрос: «А касается ли вообще моей компании закон № 152-ФЗ?».
Если хотите погрузиться глубже, закон для самостоятельного изучения можно найти по ссылке.
Отвечаем просто:
Закон №152-ФЗ распространяется на всех, кто собирает и обрабатывает персональные данные.
- «персональные данные»;
- «обработка»;
- «оператор».
Что такое «Персональные данные»?
Окей, для начала ответим на вопрос, который у вас мог возникнуть:
«Если я не имею дел с персональными данными, требования закона можно не выполнять?»
Однако на сегодняшний день трудно представить себе, что ни один процесс в компании не задействует информацию о гражданах. Договоры с клиентами, наличие работников в компании, поиск кандидатов на вакантные места, информация о пользователях сайта — все это предполагает обработку персональных данных.
Теперь расшифруем термин того, что мы собрались обрабатывать или обрабатываем прямо сейчас:
«Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
1) персональные данные могут быть только у граждан (физических лиц). Реквизиты и иная информация об организации персональными данными
не является;
2) отсутствует перечень в законе, исчерпывающе перечисляющий все персональные данные;
3) персональные данные — это информация любого характера (в текстовой
или в устной форме, правдивая или ложная, характеризирующая гражданина или имеющая технический характер (например, геолокационные данные).
Важно лишь, чтобы такая информация имела отношение к гражданину.
Примеры персональных данных:
ФИО, дата рождения, контактный телефон, е-mail, адрес места жительства, место рождения, паспортные данные, образование, профессия, должность, доходы…
И много всего остального, так как формулировка не предполагает окончания перечня информации, которая попадает под действие этого закона.
Распространите на всю используемую компанией информацию
о гражданах режим персональных данных.
Выполнить требования закона № 152-ФЗ в таком случае будет меньшим злом по сравнению с оспариванием штрафов за неправильную обработку персональных данных.
Разберемся с понятием
«Обработка персональных данных»
С понятием «обработка» дела обстоят намного проще — это любые действия (операции) с персональными данными.
К таким действиям относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение и т.д.
Понятие «Оператор» предполагает следующее:
Оператором признается любое лицо, осуществляющее обработку персональных данных. Причем таким лицом могут выступать не только организации, но и государственные органы и физические лица.
Операторы самостоятельно определяют, как будет происходить обработка персональных данных:
- с какой целью (самое важное);
- какие данные обрабатывать;
- каким способом (передавать третьим лицам, за рубеж, обезличивать и т.п.).
Дядя Сэм намекает,
кто здесь «Оператор персональных данных»
Примеры оператора персональных данных:
владелец сайта, осуществляющий сбор данных через форму обратной связи, личный кабинет;
компания, в которой оформлены работники по трудовому договору или по ГПХ.
Что дальше?
Итак, если информация из предыдущих разделов имеет к Вам отношение, то, скорее всего, Вы являетесь оператором персональных данных и, соответственно, обязаны выполнять требования закона № 152-ФЗ.
Исключение:
Из-под действия закона выпадают случаи обработки персональных данных для личных и семейных нужд (не связано с предпринимательством) и некоторые другие.
Далее речь пойдет именно о том, на что оператору следует обратить внимание, если он все-таки решил привести обработку персональных данных в компании в соответствие с законодательством. (Да-да, чек-лист!)
Закон № 152-ФЗ почти полностью состоит из обязанностей оператора.
Помимо данного закона требования к обработке персональных данных содержатся и в иных актах. Например, обработку персональных данных работников также регламентирует Трудовой кодекс РФ. Или если персональные данные обрабатываются без использования технических средств, то дополнительно применяется уже соответствующее Постановление Правительства.
Законов множество, но в действительности Вам поможет список документов в Приказе Роскомнадзора от 13.12.2017 г. № 247, который содержит перечень того, что должен сделать оператор. При проверке компании Роскомнадзор смотрит, соблюдаются ли правила, установленные документами из этого списка.
Далее остановимся на конкретных шагах, которые обязан выполнить каждый оператор в своей компании.
Источник: legal-box.ru