Мы советуем нашим клиентам пользоваться в Telegram секретными чатами.
Омское отделение Ассоциации юристов России провело юридический завтрак на тему «Как правильно обрабатывать персональные данные, чтобы избежать штрафов?». Представляем читателям выступление на этом мероприятии ведущего юриста юридической компании «ТетЧер» Марии УХАНОВОЙ:
— По итогам за 2024 год Россия заняла пятое место в мире по утечке персональных данных, уступив США, Китаю, Испании и Индии. Но в 2023 году у нашей страны была седьмая строчка в этом антирейтинге. Именно поэтому власти и бьют тревогу по поводу того, что нужно урегулировать на законодательном уровне вопросы организации работы с персональными данными.
Чтобы определить, является ли информация персональными данными, задайте два вопроса. Первый: можем ли мы, исходя из этих персональных данных, выявить человека? Второй: можем ли мы при помощи этих персональных данных повлиять на человека? Если да, то тогда вы точно обрабатываете персональные данные.Оператор персональных данных – любое лицо, которое работает с персональными данными. Легче определить, кто НЕ является оператором персональных данных. Во-первых, это человек, который вообще не собирает персональные данные. Но, по мнению Роскомнадзора, таких людей в России нет… Во-вторых, если человек собирает персональные данные для личных целей: например, приглашает гостей на день рождения.
Завуч в школе, сотрудник отдела кадров, директор компании – представители организаций, им не нужно регистрироваться в реестре операторов персональных данных, достаточно сделать это юридическим лицам, на которые они работают. Но если лицо, обрабатывающее персональные данные в интересах коммерческой деятельности, имеет статус индивидуального предпринимателя либо самозанятого – тогда надо.
Предстоит определить, какие данные предприниматель/самозанятый собирает, для каких целей использует, каким образом их получает, как обрабатывает. Он должен описать все процессы и уже потом, на основании документов, подать уведомление в Роскомнадзор. Все это носит исключительно заявительный характер. Даже если Роскомнадзор запрашивал у вас какие-то документы, это не означает, что вас включили в реестр операторов персональных данных.
Чтобы осуществлять трансграничную передачу персональных данных, нужно подать отдельное уведомление в Роскомнадзор и дождаться разрешения, потому что у них есть список недружественных стран, куда россияне передавать данные не должны.
Политика обработки персональных данных – основной документ, в котором указаны действия, которые вы осуществляете с персональными данными, цели, для чего вы их используете. Но с ней пользователю сайта соглашаться не нужно, достаточно выразить согласие на сбор персональных данных (через cookie-файлы, через метрики) в специальном чекбоксе, во всплывающем баннере. Обратите внимание, там не должно быть предустановленных галочек – человек сам обязан совершить активное действие. Если же предустановленные галочки есть, это чревато штрафом. Но пока таких прецедентов в Омске не было.
Мы советуем нашим клиентам пользоваться в Telegram секретными чатами: документы со временем удаляются. Файлы, направляемые по почте, рекомендуем архивировать и устанавливать на архив пароль, который лучше сообщать партнеру очно. Или взаимодействовать через систему электронного документооборота.
При заключении трудового договора вам не нужно брать согласие работников на обработку персональных данных. По-хорошему, вы взяли оригиналы документов, заполнили трудовой договор и вернули их. Но если вы снимаете копии, то нужно получить согласие сотрудника на хранение их в офисе.
Очень часто на сайтах, в соцсетях выкладывают фотографии работников и клиентов, например, в отзывах. Недостаточно взять письменное согласие на обработку персональных данных, нужно получить еще разрешение на их распространение. Нам известны только отказы в такой ситуации, поэтому при размещении фотографии напишите фразу:
«Персональные данные опубликованы на сайте (в социальной сети) при наличии правовых оснований в соответствии с ч.1 ст.6 и ст.10.1 152-ФЗ. Субъектами установлены запреты на обработку неограниченным кругом лиц опубликованных персональных данных».
Таково требование закона, Роскомнадзор проверяет ее наличие на сайте или в соцсети.
Ранее репортаж был доступен только в печатной версии газеты «Коммерческие вести» от 26 марта 2025 года.
Фото © Максим КАРМАЕВ