Вопрос о добровольной идентификации клиентов и возможных обязательствах по 115-ФЗ и Росфинмониторингу

<h2 id="-">Добровольная идентификация пользователей при реализации ПО и онлайн-сервисов</h2> <h3 id="_1">Анализ ситуации</h3> <p>Ваша организация не относится к субъектам, перечисленным в Федеральном законе от 07.08.2001 N 115-ФЗ, поскольку осуществляет деятельность по реализации программного обеспечения и предоставлению доступа к онлайн-сервисам, что не включено в перечень организаций, осуществляющих операции с денежными средствами или иным имуществом.</p> <h3 id="_2">Правомерность добровольной идентификации</h3> <p>Введение добровольной идентификации пользователей является правомерным, поскольку законодательство не запрещает организациям устанавливать дополнительные процедуры проверки клиентов. Однако при этом необходимо соблюдать требования законодательства о персональных данных.</p> <blockquote> <p>"Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6)</p> </blockquote> <h3 id="_3">Обязанности в связи с идентификацией</h3> <p>Добровольное введение идентификации не повлечет автоматической обязанности регистрации в Росфинмониторинге и сдачи отчетности, так как эти обязанности распространяются только на организации, прямо указанные в 115-ФЗ.</p> <blockquote> <p>"К организациям, осуществляющим операции с денежными средствами или иным имуществом, относятся: кредитные организации, профессиональные участники рынка ценных бумаг... [и другие конкретные категории]" (Источник: Федеральный закон от 07.08.2001 N 115-ФЗ, статья 5)</p> </blockquote> <h3 id="_4">Риски ответственности</h3> <p>Основные риски связаны не с противодействием легализации доходов, а с нарушением законодательства о персональных данных:</p> <blockquote> <p>"Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных... - влечет наложение административного штрафа на юридических лиц от ста пятидесяти тысяч до трехсот тысяч рублей" (Источник: КоАП РФ, статья 13.11 часть 1)</p> </blockquote> <p>Также важно учитывать запрет на необоснованный отказ в заключении договора:</p> <blockquote> <p>"Отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если предоставление персональных данных является обязательным в соответствии с федеральными законами..." (Источник: КоАП РФ, статья 14.8 часть 7)</p> </blockquote> <h3 id="_5">Требования к обработке персональных данных</h3> <p>При реализации процедуры идентификации необходимо соблюдать следующие требования:</p> <ol> <li> <p><strong>Получение согласия</strong>:</p> <blockquote> <p>"Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9)</p> </blockquote> </li> <li> <p><strong>Обеспечение безопасности</strong>:</p> <blockquote> <p>"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19)</p> </blockquote> </li> <li> <p><strong>Уведомление Роскомнадзора</strong> (при необходимости):</p> <blockquote> <p>"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган о своем намерении осуществлять обработку персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22)</p> </blockquote> </li> </ol> <h3 id="_6">Выводы и рекомендации</h3> <ol> <li> <p><strong>Добровольная идентификация возможна</strong> - вы вправе ввести процедуру идентификации пользователей, так как не являетесь субъектом 115-ФЗ.</p> </li> <li> <p><strong>Регистрация в Росфинмониторинге не требуется</strong> - поскольку ваша деятельность не подпадает под перечень организаций, обязанных регистрироваться.</p> </li> <li> <p><strong>Соблюдайте закон о персональных данных</strong>:<br /> - Получайте явное согласие пользователей на обработку их данных<br /> - Разработайте политику обработки персональных данных<br /> - Обеспечьте надлежащую защиту собираемой информации<br /> - Предусмотрите возможность отказа от идентификации без прекращения обслуживания</p> </li> <li> <p><strong>Избегайте необоснованных отказов</strong> - не отказывайте в обслуживании пользователям, которые не желают проходить идентификацию, если это не связано с исполнением договора.</p> </li> <li> <p><strong>Проведите правовой аудит</strong> - рекомендую обратиться к адвокату для разработки корректной процедуры идентификации и документооборота, соответствующего требованиям 152-ФЗ.</p> </li> </ol> <p>Добровольное введение идентификации не приведет к автоматическому применению к вам требований 115-ФЗ, но создаст дополнительные обязанности по защите персональных данных пользователей.</p> <p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>