❗️Что нужно знать про персональные данные к 30 мая 2025 года
30.05.2025 вступают в силу новые штрафы за некорректное обращение с персональными данными. Налагаться они будут на операторов. В связи с многочисленными вопросами, делаем серию публикаций на эту тему.
Начнем с определений👇🏻
📍Оператор персональных данных
В соответствии с пунктом 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ О персональных данных оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Такое определение дал однажды Роскомнадзор (РКН) у себя на сайте.
Исходя из этого определения, работодатели и заказчики по ГПД также являются операторами персональных данных. Есть физлица, у которых затребовали личные данные, чтобы заключить с ними договор, произвести оплату и т.д. – есть обработка персональных данных.
📍Что относится к персональным данным
Персональные данные бывают нескольких типов (но все они – персональные данные, ст. 10-11 закона № 152-ФЗ):
▪️Обычные – ФИО, паспортные данные, адреса проживания и регистрации и т.д.;
▪️Биометрические – отпечатки пальцев, форма лица, глаз и т.д.;
▪️Специальные – национальность, политические взгляды, философские убеждения и т.д.
Сбор и распоряжение такими данными делают того, кто этим занят, оператором персональных данных.
📍Когда надо уведомлять РКН об обработке персональных данных?
РКН ведет реестр операторов персданных. Но, чтобы он включил актуальную информацию в реестр, ему ее нужно предоставить. Делается это в форме уведомления.
По общему правилу уведомление в РКН о намерении работать с персональными данными надо подать ДО начала такой работы. Но, поскольку правило вводили в ситуации, когда все уже вовсю работали с персональными данными, то уведомлять об этом было можно просто в процессе работы в переходном периоде. Санкций за это не было.
А будут они как раз с 30 мая 2025 года.
Чтобы понимать, когда надо уведомлять РКН, проще перечислить ситуации, в которых этого дела НЕ надо.
📍Уведомлять РКН не нужно, если речь о некоторых типах взаимодействия с физлицом, при которых не требуется согласие на обработку персданных.
Это, в основном, случаи, когда взаимодействие не целевое или разовое и/или нужно для исполнения договора, по которому физлицо является выгодоприобретателем.
Например:
▪️Договор аренды с ИП, в который вписываются его паспортные данные как физлица;
▪️Договор, для исполнения которого нужны некоторые данные, допустим, договор поставки физлицу товара, в котором нужно указать адрес, куда этот товар доставить;
▪️Если нужно исполнить требования закона. Например, не нужно согласие на обработку персданных, если вы запрашиваете адрес электронной почты, чтобы направить на него чек ККТ;
▪️Если данные нужны для обеспечения прав и интересов третьих лиц и права лица, предоставившего данные, при этом не нарушаются. Пример такой ситуации – на входе в здание (помещение) фиксируются данные посетителей в целях контроля и безопасности.
В остальных случаях нужно спрашивать у физлица согласие на обработку его данных и, следовательно, становиться оператором.
Уведомлять РКН также не нужно, если обработка персданных происходит:
▪️Вручную (без использования автоматизированных средств);
▪️Для обеспечения безопасности в транспортной сфере;
▪️Для обеспечения безопасности государства и поддержания общественного порядка.
Если ваша цель сбора персданных под заявленные не подходит – уведомлять РКН нужно.
Источник -нетипичный бухгалтер
