Презентации экспертов:

Федулов Я.В. Роскомнадзор
Наталья Немудрая. Калуга Астрал

Сотрудник какой службы в компании должен вести работу по организации обработки персональных данных?

Ответ: Ответственный за организацию обработки персональных данных назначается по решению руководителя. Можно возложить такие полномочия на сотрудника любой службы. Рекомендуется в качестве ответственного выбрать сотрудника, который имеет представление о деятельности компании в целом и обо всех направлениях по обработке персональных данных, а не узкого специалиста.

Если уведомление в Роскомнадзор подано до 1.02.23, то повторно нужно подать уведомление или информационное письмо об изменении?

Ответ: В таком случае подается Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных. Ранее форма называлась информационное письмо.

Пока не штрафуют за отсутствие уведомления на сайте Роскомнадзора?

Ответ: Изменения 152-ФЗ, а также приказ Роскомнадзора №180 не установили сроки для подачи уведомлений по новой форме. Однако, если в адрес организации поступил запрос РКН по подаче такого уведомления, необходимо предоставить его в течение 10 рабочих дней с момента получения запроса, иначе организация может быть привлечена к административной ответственности по ст. 19.7 КоАП РФ.

Должен ли ИП без работников подавать уведомление в Роскомнадзор? Розничная торговля, договоров с клиентами нет.

Ответ: Не подавать уведомление с учетом осуществляемой вами деятельности возможно в том случае, если персональные данные вы обрабатываете без использования средств автоматизации (в том числе, при направлении отчетности в государственные органы). Если же для обработки вы используете негосударственные информационные системы, то уже не будете подпадать под предусмотренные ч. 2 ст. 22 152-ФЗ исключения, и подавать уведомление необходимо.

Есть ли штраф/ответственность за неподачу корректирующего уведомления?

Ответ: За непредставление в уполномоченный орган информации, предусмотренной законом, предусмотрена административная ответственность по ст. 19.7 КоАП РФ.

Создайте полный пакет организационно-распорядительной документации по обработке персональных данных в вашей организации через удобный конструктор 152DOC. Документы обновляются при любых изменениях законодательства РФ, а составить их грамотно поможет онлайн-консультант.

Заказать консультацию по сервису 152DOC

Как защитить свои интересы, если банки и тендерные площадки запрашивают данные директора?

Ответ: При наличии оснований, предусмотренных ч. 1 ст. 6 152-ФЗ (имеется согласие, предусмотрено законом, договором и тд.) – передача таких данных допускается. В случае отсутствия таких правовых оснований можно направить в адрес лица, запросившего сведения, мотивированный отказ, а также запросить информацию об основаниях и целях требования данных директора в определенном объеме. Дальнейшие действия зависят от реакции на ваш отказ.

Для участия в тендере просят копию паспорта директора. Правомерно ли это?

Ответ: Правомерно при наличии оснований, предусмотренных ч. 1 ст. 6 152-ФЗ (имеется согласие, предусмотрено законом, договором и тд.).

Физические лица на нашем сайте оставляют заявку на выполнение услуги. Указывают свои ФИО, адрес, телефон для связи. Согласие на обработку ПД нужно?

Ответ: Должно быть согласие, а также поле, где субъект может поставить отметку о согласии на обработку персональных данных. Помимо согласия форма должна содержать ссылку на политику в отношении обработки ПД.

Подскажите, пожалуйста, как проверить информацию, ранее отправленную в уведомлении в РКН?

Ответ: Вы можете проверить данные на портале по ссылке. Вводите ИНН и нажимайте кнопку «Найти». Система найдет организацию в Реестре. При нажатии на название организации откроется общедоступная часть Реестра.

Если фирма отправляет с/ф и накладные в страны ЕАЭС, то является ли это трансграничной передачей ПД, ведь там есть ФИО наших должностных лиц?

Ответ: Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Передача данных за границу, но российскому органу власти, ФЛ или ЮЛ под определение трансграничной передачи не подпадает.

Мы обучающий центр, к нам направляют заявки с персональными данными обучающихся организации, кто должен собирать согласия?

Ответ: Согласие должно получить лицо, направляющее на обучение. Если в ходе образовательного процесса вы помимо обучения и подготовки соответствующих документов осуществляете обработку ПДн дополнительно (например, хотите на своем сайте разместить отзывы обучающихся с их фото или предлагаете обучающимся подписаться на новости центра и тд.) – то согласие на эти действия уже должны получить вы.

Аутсорсинговая компания оказывает бухгалтерские услуги. Должна она получать согласие работников организаций, которые она обслуживает, на обработку персональных данных? Это ведь работодатель должен получить согласие от своих работников? На передачу их персональных данных аутсорсинговой компании? В договоре между компанией, оказывающей бухгалтерские услуги, и компанией на обслуживании обязательно указывать, что осуществляется обработка персональных данных работников?

Ответ: Данные отношения регулируются чч. 3-5 ст. 6 152-ФЗ. В указанном случае аутсорсинговая компания будет действовать по поручению оператора и не обязана получать согласие на обработку ПДн. Согласие в письменной форме от сотрудников для данных целей должен получить работодатель (в таком согласии должны быть указаны все сведения, предусмотренные ч. 4 ст. 9 152-ФЗ, в том числе наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора). 

Договор (или оформленное доп.соглашением поручение на обработку ПДн) должен содержать все сведения, предусмотренные ч. 3 ст. 6 152-ФЗ.

Подскажите, пожалуйста, в согласии необходимо указывать только одну цель, верно? Если целей несколько, то на каждую оформляется согласие?

Ответ: Верно, согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.

Скажите, пожалуйста, председатель кооператива вывешивает сведения о долгах членов кооператива с указанием ФИО собственника, является ли это нарушением закона о перс. данных (согласие на обработку перс. данных председатель не собирал)?

Ответ: При отсутствии оснований, предусмотренных ч. 1 ст. 6 152-ФЗ, такие действия будут являться нарушением конфиденциальности ПДн ( ст. 7 152-ФЗ).

Под фото сотрудников прям согласие надо разместить? Или просто написать, что согласие получено?

Ответ: Во-первых, сам документ (согласие) размещать на сайте не нужно (оно также содержит ПДн, и зачастую больше, чем опубликовано). Во-вторых, в соответствии с ч. 10 ст. 10.1 152-ФЗ опубликовать необходимо информацию не о наличии согласия, а об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения. 

На сегодняшний день можно опубликовать в футере сайта общую информацию о том, что все ПДн на сайте размещены с согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, и субъектами установлены запреты и условия на обработку неограниченным кругом лиц персональных данных.

А если нет запретов от сотрудников на распространение их фото?

Ответ: В случае, если из предоставленного согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, то персональные данные обрабатываются оператором, которому они предоставлены, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц ( ч. 5 ст. 10.1 152-ФЗ).