Вопросы по соблюдению 152-ФЗ о персональных данных и уведомлению Роскомнадзора

<h2 id="b2b-">Обработка персональных данных в B2B-услугах: правовые аспекты и риски</h2> <h3 id="_1">Анализ ситуации</h3> <p>Рассмотрим каждый из описанных случаев обработки персональных данных с учетом требований законодательства.</p> <h4 id="1">1. Форма обратной связи на сайте</h4> <blockquote> <p>"Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 9)</p> </blockquote> <p>Автоматическое согласие при нажатии кнопки без отдельного оформления согласия не соответствует требованиям закона. Необходимо предусмотреть отдельный элемент (галочку) с полной информацией о целях и условиях обработки данных.</p> <h4 id="2">2. Обработка данных сотрудников клиента</h4> <blockquote> <p>"Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 6)</p> <p>"Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 18)</p> </blockquote> <p>Для обработки данных сотрудников клиента необходимо:<br /> - Убедиться, что обработка действительно необходима для исполнения договора<br /> - Уведомить сотрудников об обработке их данных, если они не были уведомлены оператором-клиентом</p> <h4 id="3">3. Обработка данных при выплате компенсаций</h4> <blockquote> <p>"Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 6)</p> </blockquote> <p>Пункт 5 статьи 6 действительно может применяться, если физические лица являются выгодоприобретателями по договору. Однако необходимо:<br /> - Убедиться, что обработка ограничена только данными, необходимыми для исполнения договора<br /> - Соблюдать требования к уведомлению субъектов при получении данных не от них</p> <h4 id="4">4. Передача данных бухгалтерской компании</h4> <blockquote> <p>"Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицем договора" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 6)</p> <p>"Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 6)</p> </blockquote> <p>При передаче данных бухгалтерской компании необходимо:<br /> - Заключить договор, определяющий условия обработки<br /> - Убедиться, что первоначальное согласие субъекта покрывает передачу данных для указанных целей<br /> - Обеспечить соответствие аутсорсера требованиям защиты данных</p> <h4 id="5">5. Уведомление Роскомнадзора</h4> <blockquote> <p>"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ, статья 22)</p> <p>"Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных - влечет наложение административного штрафа на юридических лиц - от ста тысяч до трехсот тысяч рублей." (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11)</p> </blockquote> <h3 id="_2">Выводы и рекомендации</h3> <ol> <li> <p><strong>Для формы на сайте</strong> - переработать механизм получения согласия, предусмотрев отдельный элемент (галочку) с полной информацией об обработке данных.</p> </li> <li> <p><strong>При обработке данных сотрудников клиентов</strong> - обеспечить уведомление субъектов о обработке их данных и документально подтвердить правомерность обработки в рамках договора.</p> </li> <li> <p><strong>При выплате компенсаций</strong> - убедиться, что обработка ограничена целями исполнения договора, и физические лица действительно являются выгодоприобретателями.</p> </li> <li> <p><strong>При передаче данных аутсорсеру</strong> - заключить договор, определяющий условия обработки, и обеспечить соответствие аутсорсера требованиям защиты данных.</p> </li> <li> <p><strong>Обязательно подать уведомление</strong> в Роскомнадзор до начала обработки данных, так как описанные случаи не подпадают под исключения из статьи 22 Федерального закона №152-ФЗ.</p> </li> </ol> <p><strong>Риски несоблюдения</strong>: Штрафы по статье 13.11 КоАП РФ могут достигать 700 000 рублей за обработку без согласия и 300 000 рублей за неуведомление Роскомнадзора, а также ответственность за возмещение морального вреда по статье 24 Федерального закона №152-ФЗ.</p> <p>Рекомендую обратиться к адвокату, специализирующемуся на защите персональных данных, для разработки полного комплекта документов и процедур, соответствующих требованиям законодательства.</p> <p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>