Всех приветствую. Совсем недавно, в мае малое предпринимательское сообщество колыхнуло известиями о новых штрафах в сфере обработки персональных данных и все тут же срочно захотели подать уведомление об этой самой обработке в Роскомнадздор. Некоторые клиенты прям ножками топали и хотели, чтоб я подала тотчас и немедля, но я была неприклонна как скала, даже за деньги.
Во-первых я вообще считаю это работа ни разу не бухгалтера. Почему-то никто не ходит геморрой лечить к стоматологу, а зубы к проктологу. Но бухгалтер у нас универсальный солдат и должен все. Это так не работает, я как терапевт могу дать только направление, а если меня злить и своей опой часто в меня тыкать, то направление будет в путешествие эротического содержания.
Во-вторых даже если я захочу подзаработать денег (а я захочу), то сначала мне надо разобраться "а че ж там опять навертели в законе".
Ну и сайт все равно упал на тот момент, он там еще от набега блогеров не отошел, а тут новая волна его накрыла.
Штрафы.
Собственно говоря че все так возбудились-то, конечно же из-за денег, а точнее из-за штрафов которые стали действовать с 30.05.2025 за нарушения в обработке персданных. Я вам только несколько легоньких перечислю:
- Обработка ПД без уведомления РКН - штраф для юридических лиц (ЮЛ) и индивидуальных предпринимателей (ИП) 100000-300000 рублей. Для должностных лиц (ДЛ) 30000-50000. Для физических лиц (ФЛ) 5000-10000
- Обработка ПД без согласия субъекта/с нарушениями требований к содержанию согласия - штраф для ЮЛ и ИП 300000-700000 рублей (повторное нарушение 1000000-1500000). Для должностных лиц (ДЛ) 100000-300000 (повторное нарушение 300000-500000). Для физических лиц (ФЛ) 10000-15000 (повторное нарушение 15000-30000)
- Отсутствие политики об обработке ПД - штраф для ЮЛ 30000-60000 рублей. Для ИП 10000-20000 рублей. Для должностных лиц (ДЛ) 6000-12000. Для физических лиц (ФЛ) 1500-3000
Ну и там много еще интересного в КоАП ст. 13.11
Кто ж оператор?
А все, вот реально все мы обрабатываем персональные данные, поэтому проще написать кто НЕ ОПЕРАТОР.
- кто обрабатывает исключительно для личных и семейных нужд и то с оговорочкой "если при этом не нарушаются права субъектов персональных данных". Ну то есть если вы поругались с подругой, а она возьми да нажалуйся в РКН, что вы видео как она веселая на столе отплясывает без ее согласия выложили и подписали Танька Иванова (@профиль) отжигает на дискотеке, то вам светит штраф за нарушение порядка обработки персональных данных.
- организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.
- обработка персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Вот и все, вот и закончились исключения.
И в процессе опроса предпринимателей обнаружилась вот какая штука, они думают что:
у меня же нет сотрудников, я не обрабатываю ПД, а я вообще самозанятый, я тем более не обрабатываю ПД.
Безусловно те у кого есть сотрудники это стопроцентное попадание в операторы. А теперь смотрим дальше, допустим вы ИП и сотрудников нет, зато есть сайт на котором форма для заказа (ФИО, телефон, электронная почта) и вот в уже оператор, более того на вашем сайте обязательно должна быть политика конфедициальности доступная к просмотру с любой страницы сайта и форма согласия для клиента, это минимум.
Допустим и сотрудников нет, и сайта нет и весь вы такой ИП самостоятельный. Сами все закупаете и со всеми контактируете. Вот тут поподробнее надо присмотреться, а со всеми это с кеми. Это сотрудники вашего поставщика или покупателя, поздравляю вы оператор. Их работотадель должен взять у них согласие на передачу данных третьим лицам или отразить это в трудовом договоре как-то, ну а вы иметь все документы по обработке ПД и сдать уведомление.
Вы самозанятый стилист или репититор, собираете данные своих клиентов в свой смартфончик, поздравляю вы оператор. Одна радость для физлиц штрафы не такие кусучие, как для ЮЛ и ИП.
Уведомление.
Подобрались к тому из-за чего топали ножками некоторые истеричные особы. Штраф за не подачу для ЮЛ и ИП приличный, поэтому все малыши и подались истерии, не хочется на ровном месте словить штраф.
Сейчас будет риторический вопрос, если и ежу в лесу понятно, что все ЮЛ и ИП так или иначе обрабатывают ПД. Да даже ИП с ИП договор заключил, вот привет персданные. Ну так вот, так почему ж нельзя ставить на учет в режиме одного окна, зарегился в наловой и сразу в остальных органах Рос... А уж потом пусть они по факту жалоб точечно проверяют соблюдается там закон или нет.
Правило подать уведомление в РКН до начала обработки малось тоже напрягает, вот пришел мне на фирму исполнительный лист, а там данные жены и ребенка алиментщика - это тоже ПД, но в уведомлении у меня цель "Исполнение судебного акта " не заявлена. Бежать исправления вносить или что, так акт уже получен, я уже де-факто в процессе обработки. Вообще целей написали много, а расшифровок для каких случаев что применять не дали.
Вот у меня в бухфирме выходит цели:
Ведение кадрового и бухгалтерского учета, обеспечение трудового законодательства, обеспечение соблюдения налогового законодательства, обеспечение соблюдения пенсионного соблюдения законодательства, подготовка, заключение и исполнение гражданско-правового договора, подбор персонала, обепечение пропускного режима - это аж семь целей и для каждой надо заполнить свой блок обрабатываемых ПД.
А оценив объем документов, которые должны быть у меня на фирме, я, простите за мой французский, малось ох и ела.
- Политика защиты и обработки персональных данных клиентов и контрагентов
- Положение о работе с персональными данными работников
- Положение о работе с персональными данными клиентов и контрагентов
- Положение о внутреннем аудите работы с персональными данными
- Положение о порядке уничтожения персональных_данных
- План внутреннего контроля_соответствия обработки_персональных
- Правила осуществления внутреннего контроля соответствия обработки персональных данных
- Приказ о назначении ответственного лица по работе с персональными данными клиентов и партнеров, об утверждении перечня мест хранения персональных данных,об утверждении перечня сотрудников, допущенных к работе с персональными данными, об утверждении Политики защиты и обработки персональных данных....
- Согласие сотрудника на обработку персональных данных, Согласие на обработку персональных данных при заключении договора с физлицом, Согласие на обработку персональных данных на сайте, Согласие на поручение обработки персональных данных третьим лицам...
- Сделать с клиентами допники, что они поручают мне обработку персональных данных их сотрудников. Хотя, честно говоря, я считаю, что это и так вытекает из условий договора на бухгалтерское обслуживание.
и это я стопроцентов, что-то пропустила. А у меня еще и ИП есть, и соцсети, через которые я тоже могу получать клиентов и их персданные, там тоже везде надо политику развесить что ли.
Что-то меня в сторону от уведомения унесло, короче его лучше подать, но не просто подать, а хорошо обдумав, что в нем писать. Ознакомится с ним можете по ссылке тут. Я решила предерживаться приниципа - краткость сестра таланта и описывать там все по минимуму, если что потом внести изменения. Можно найти в реестре операторов какую-то фирму и "подглядеть" что они написали у себя.
Ну и прям минимум-минимум документов, это политика конфедициальности и положение об обработке и хранении ПД. Аналогично и на сайте какой-нибудь фирмы можно тиснуть политику и согласие, переработать под себя.
Можно попробовать надеятся на авось пронесет, потому что на самом деле в маленькой фирме с сотрудниками овер до хуа чего должно быть и СОУТ, и СУОТ, и пожбезопасность. За уведомление на первый раз можно отделаться предупреждением.
Решение суда передача персональных данных в аутсорсинговую компанию
Кстати, искала судебную практику в плане "а вот бухагентство по отношению к сотрудникам клиента оно кто оператор или не оператор, согласие надо или не надо и как заполнять уведомление." Нашла вот такое решение суда 02-0907/2024 от 30.01.2024
Если вкратце, то бывшая сотрудница Петрова обратилась в суд на своего бывшего работодателя о защите персональных данных, взыскании компенсации морального вреда. Суть претензий в том, что, мол, работодатель, гад такой, ее персональные данные передал аусорсинговому агентству, которое выполняло функцию кадров, а согласия-то на это у нее не взял и она от этого морально страдает. Суд, слава тебе судья Зенгер, разобрался в этом дурдоме и решил, что в удовлетворении требований Петровой нужно отказать, так как обработка персональных данных в данном случае осуществлялась в рамках исполнения трудового договора, закона, и не могла ставиться под условие получения согласия на обработку персональных данных, иное приводило бы к невозможности заключения и исполнения договора, соблюдения требований закона и к существенному ограничению прав работодателя как юридического лица. При этом закон не ограничивает работодателя в выборе средств и способов реализации возложенных на него обязанностей, в связи с этим для достижения целей исполнения трудового договора и исполнения закона допускается передача персональных данных работников третьим лицам без их письменного согласия, если при этом не нарушаются права и свободы работников как субъектов персональных данных. При этом с агентством был заключен договор, передача персональных данных произведена в рамках поручения, зафиксированного в договоре, и предусматривающего соблюдение адрес конфиденциальности полученных персональных данных и принятие указанным ответчиком мер по их защите в соответствии с требованиями действующего законодательства.
Так что не получилось у Петровой поиметь денег, зато я поняла что нужно делать допники ко всем клиентам ООО и ИП, где есть сотрудники.