СЕГОДНЯ, 25.06.2025 | КУРСЫ ВАЛЮТ, ЦБР (руб.): USD: 78,3892 EUR: 91,7370 | ДРАГ. МЕТАЛЛЫ, ЦБР (руб./г.): ЗОЛОТО: 8519,90 СЕРЕБРО: 91,06 ПЛАТИНА: 3263,75 ПАЛЛАДИЙ: 2694,17
Минимальные требования Федерального закона № 152-ФЗ «О персональных данных» для микропредприятий и ИП ювелирной отрасли

Минимальные требования Федерального закона № 152-ФЗ «О персональных данных» для микропредприятий и ИП ювелирной отрасли

Настоящий материал предназначен для начинающих специалистов в ювелирной отрасли, а также для ООО и индивидуальных предпринимателей со статусом микропредприятий на рынке драгоценных металлов и драгоценных камней (ДМДК) с целью обмена опытом. Эта расширенная версия статьи была ранее опубликована в журнале "Экспо-Ювелир" №1'136 (январь - май) 2025 года.

Основные понятия Федерального закона № 152-ФЗ

Согласно статье 3 Федерального закона № 152-ФЗ "О персональных данных" (далее — 152-ФЗ), используются следующие основные понятия:

  • Персональные данные: любая информация, прямо или косвенно относящаяся к определённому или определяемому физическому лицу (субъекту персональных данных).

  • Оператор: государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

  • Обработка персональных данных: любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. Это включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Главная задача 152-ФЗ — обеспечить права граждан при обработке персональных данных операторами, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну, гарантированных статьями 23 и 24 Конституции РФ. Цель закона — обеспечить безопасность данных, предотвратить их утечки и незаконное распространение.

Основные случаи обработки персональных данных для микропредприятий

Микропредприятия могут сталкиваться со следующими случаями обработки персональных данных:

  • Сотрудники: данные сотрудников (в том числе по договорам гражданско-правового характера), кадровые документы и отчётность по ним.

  • Представители контрагентов или клиентов: данные сотрудников, руководителей, владельцев юридических лиц и индивидуальных предпринимателей при документообороте по договорным отношениям.

  • Клиенты: данные, обязательные к получению для исполнения законодательства и нормативных актов, с целью заполнения обязательных форматов документов и идентификации в целях противодействия легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма (ПОД/ФТ). Это включает скупку, комиссию от физических лиц, квитанции при заказах в мастерских, анкеты клиентов при обязательной идентификации покупателя, рекламные рассылки и иные формы сбора персональных данных.

Уведомление Роскомнадзора

С 1 сентября 2022 года, в связи с изменениями в 152-ФЗ, почти все операторы обязаны были направить уведомление в Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) о включении в реестр операторов персональных данных (для тех, кто ранее не направлял).

Исключение предусмотрено в пункте 2 части 2 статьи 22: если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации. При этом, если оператор обрабатывает данные только на бумаге (например, микро ИП без сотрудников и без формализованных договоров с клиентами), он обязан соблюдать Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Учитывая, что в ювелирной отрасли возникает обязанность по сбору персональных данных, а также в связи с цифровизацией и автоматизацией баз данных (обусловленной отчётностью в ФНС и Социальный фонд, ГИИС ДМДК, исполнением Приказа Росфинмониторинга "Об идентификации"), микропредприятия (ИП) в большинстве случаев применяют для документооборота не только бумажные формы, но и средства автоматизации. Это любое компьютерное оборудование с программным обеспечением, начиная от простого Word или Excel до различных облачных систем.

Следовательно, с 1 сентября 2022 года предприятия ювелирной отрасли обязаны состоять в Реестре операторов Роскомнадзора (РКН). Выполнить данное требование несложно: достаточно заполнить форму на сайте РКН и отправить заказное письмо в региональное Управление РКН (самый простой способ) или в электронном виде с использованием усиленной квалифицированной электронной подписи или через ЕСИА (Госуслуги). Пример заполнения уведомления также размещён на сайте РКН.

Политика оператора в отношении обработки персональных данных

Следующей важной нормой является наличие утверждённого руководителем (ИП) документа (Положения) о Политике оператора в отношении обработки персональных данных. Данное Положение обязательно согласно части 2 статьи 18.1 152-ФЗ, которая гласит: "Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных."

Положение содержит все минимальные регламенты и процедуры оператора для исполнения 152-ФЗ. Оно утверждается руководителем (ИП) и обязательно для исполнения всеми сотрудниками (при их наличии). Пример Положения доступен на сайте РКН. Однако Положение должно быть разработано с учётом специфики обработки персональных данных конкретного предприятия.

Требования к обработке персональных данных: с согласием или без

На практике требования исполнения разделяются в зависимости от двух способов обработки оператором персональных данных (ПД):

  1. Без предварительного письменного согласия с условием обработки ПД (согласно пункту 1 статьи 6 152-ФЗ):

    • Исключительно самостоятельно оператором для исполнения договора, стороной которого и выгодоприобретателем является субъект персональных данных.

    • Необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей. Это включает:

      • Выполнение обязанности работодателя (налогового агента) по ТК РФ и отчётности в ФНС и Социальный фонд.

      • Идентификация клиента, возложенная 115-ФЗ "О ПОД/ФТ".

      • Фиксирование персональных данных в обязательных формах договоров по Постановлению 616 "Правила скупки", Договоре комиссии с физическим лицом, квитанции мастерской для случаев исполнения Постановления № 394 "Об опробовании и клеймении", а также иные нормативно-правовые акты (НПА), требующие сбор и фиксирование данных клиентов или физических лиц.

    • Передача документов, содержащих персональные данные, по мотивированным письменным требованиям (запросам) надзорных или государственных органов в силу их законных полномочий.

    • Исключающие факты передачи персональных данных третьим лицам не для целей, возложенных законодательством на оператора функций, полномочий и обязанностей.

  2. При наличии согласия субъекта персональных данных: если персональные данные могут передаваться третьим лицам без оснований исполнения федеральных законов, согласно которым предусматриваются полномочия надзорных и иных органов на получение информации, содержащей персональные данные.

Обязанность получать письменное согласие установлена в пункте 4 статьи 9 152-ФЗ в случаях, предусмотренных федеральным законом. Такими случаями являются:

  • Обработка персональных данных осуществляется с согласия субъекта персональных данных (пункт 1 части 1 статьи 6). На практике это означает обработку с согласия в любом случае, когда оператор получает такое письменное согласие, например, при передаче третьим лицам без требований законов и НПА.

  • Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных (пункт 3 статьи 6). Например, при передаче третьим лицам без требований законодательства, как в случае аутсорсинга бухгалтерских услуг.

  • Размещение в общедоступных источниках персональных данных с письменного согласия субъекта персональных данных (пункт 1 статьи 8).

  • Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (пункт 2 части 1 статьи 10). В коммерческом секторе такие ПД, как правило, не обрабатываются.

  • Согласие на обработку персональных данных, разрешённых субъектом персональных данных для распространения (статья 10.1). Это более относится к распространению (например, такое согласие обязаны соблюдать СМИ в некоторых случаях).

  • Обработка биометрических персональных данных, используемых оператором для установления личности субъекта персональных данных (пункт 1 статьи 11). Может обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.

  • Трансграничная передача персональных данных (пункт 4 части 1 статьи 12) при наличии согласия в письменной форме субъекта персональных данных.

  • Продвижение товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи (пункт 1 статьи 15). Допускается только при условии предварительного согласия субъекта персональных данных (например, СМС-рассылки, таргетирование).

  • Исключительно автоматизированная обработка персональных данных (пункт 2 статьи 16) только при наличии согласия в письменной форме субъекта персональных данных (онлайн-обслуживание).

Требования к письменному согласию

Письменное согласие для исполнения пункта 4 статьи 9 152-ФЗ должно содержать:

  1. Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.

  2. Фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных).

  3. Наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных.

  4. Цель обработки персональных данных.

  5. Перечень персональных данных, на обработку которых даётся согласие субъекта персональных данных.

  6. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу.

  7. Перечень действий с персональными данными, на совершение которых даётся согласие, общее описание используемых оператором способов обработки персональных данных.

  8. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.

  9. Подпись субъекта персональных данных.

Примеры различных форм согласий легко найти в Примере Положения РКН (размещено выше) или через поиск в интернете.

Если согласие обязательно, то при заключении письменного формализованного договора, содержащего реквизиты данных клиента, можно изложить его универсально. Например, в договоре скупки ранее коллеги включали отдельным пунктом "Согласие на обработку персональных данных":

"Клиент даёт согласие на обработку персональных данных, внесённых в договор, с целью исполнения договора, обеспечения действий с персональными данными в целях выполнения возложенных законодательством обязанностей, на срок, предусмотренный законодательством."

По аналогии такое же согласие может включаться в трудовые договоры с сотрудниками, в иные формы первичных документов с данными клиентов.

Разработка Положения и ответственность

Поскольку 152-ФЗ — обширный закон, требующий для работы с ним специальной подготовки, обычно коллеги поступают следующим образом:

  • Либо заказывают в учебных центрах с хорошей репутацией шаблоны Положения, но с учётом специфики своей деятельности (объёма и случаев обработки персональных данных).

  • Либо самостоятельно перерабатывают общедоступные примеры (например, через Яндекс-поиск находятся пример РКН "Положение оператора об обработке персональных данных" и иные примеры на сайтах "Гарант", а также примеры на сайтах крупных ювелирных компаний). Так, например, у микророзницы без скупки объём обрабатываемых персональных данных потенциально небольшой.

Санкция за отсутствие такого утверждённого регламента предусмотрена статьёй 13.11 КоАП РФ. Ответственность предусмотрена, в том числе за:

  • Неуведомление РКН о намерении осуществлять обработку персональных данных (с 30 мая).

  • Обработку персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с 152-ФЗ.

  • Необеспечение неограниченного доступа к документу, определяющему Политику оператора в отношении обработки персональных данных.

При этом, согласно статье 4.1.1 КоАП: "За впервые совершённое административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств." Однако, с 30 мая вступают в силу существенные штрафы за действия (бездействие) оператора, повлёкшие неправомерную передачу (предоставление, распространение, доступ) информации.

Роскомнадзор осуществляет риск-ориентированный надзор и проводит профилактические мероприятия с субъектами малого и микробизнеса с целью разъяснения минимальных обязательных требований, а не наказания, если нет грубых нарушений. На вебинарах РКН для предпринимателей об исполнении 152-ФЗ транслировалось, что самое главное — не допускать утечек, незаконного распространения, доступа третьих лиц к персональным данным, обрабатываемым и хранящимся на предприятии, и соблюдать права субъектов персональных данных (граждан) согласно внутренним регламентам (политикам об обработке, основанным на 152-ФЗ).

Информационная поддержка

Самостоятельно проверить своё исполнение и Положение с учётом специфики обработки персональных данных можно с помощью проверочного листа Приказа РКН № 253. С целью информационного обмена опытом в Telegram-чате "ДМДК: бухучёт и право" сети "Ювелирный Telegram" создана ветка по персональным данным, в том числе с полезными ссылками.

Надеемся, что эта информация будет полезной для вашей деятельности.

Опубликовал(а) Евгений Дьяченко
Индивидуальный предприниматель, юрист
1984

ПОДЕЛИТЬСЯ В СОЦ. СЕТЯХ:

Оставить комментарий

Для того, чтобы оставить комментарий,
авторизуйтесь на портале или зарегистрируйтесь

ЭКСПО-ЮВЕЛИР / ЮВЕЛИР-ТЕХ РЕКОМЕНДУЮТ
Salakatov Salakatov
Красное-на-Волге
ИП Салакатова Е.Н. Производство и продажа ювелирных изделий из серебра
DeQi DeQi
Москва г.
ООО «ДЕКИ РУС» - пакеты, коробки, демонстрационное оборудование.
Сидоровская ювелирная фабрика, ООО "KRASNOE" Сидоровская ювелирная фабрика, ООО "KRASNOE"
Ювелирный бренд «KRASNOE» производится на Сидоровской ювелирной фабрике.
РО ТЕХ, ООО РО ТЕХ, ООО
Казань
Продажа драгоценных металлов (серебро), сбор лома и отходов драгоценных металлов (серебро).
ВЕСОВЫЕ ТЕХНОЛОГИИ, ООО ВЕСОВЫЕ ТЕХНОЛОГИИ, ООО
Москва г.
Поставляем ювелирные весы для производств, магазинов и ломбардов.

ПОДПИШИСЬ НА ЮВЕЛИРНЫЙ ВЕСТНИК

Введите имя и адрес электронной почты, чтобы подписаться на рассылку

Подписывайтесь на наш Telegram канал!
Важные отраслевые новости, аналитика, публикации экспертов и пр.