ЮВЕЛИР.INFO : НОВОСТИ

Минимальные требования Федерального закона № 152-ФЗ «О персональных данных» для микропредприятий и ИП ювелирной отрасли

Настоящий материал предназначен для начинающих специалистов в ювелирной отрасли, а также для ООО и индивидуальных предпринимателей со статусом микропредприятий на рынке драгоценных металлов и драгоценных камней (ДМДК) с целью обмена опытом. Эта расширенная версия статьи была ранее опубликована в журнале "Экспо-Ювелир" №1'136 (январь - май) 2025 года.

Основные понятия Федерального закона № 152-ФЗ

Согласно статье 3 Федерального закона № 152-ФЗ "О персональных данных" (далее — 152-ФЗ), используются следующие основные понятия:

• Персональные данные: любая информация, прямо или косвенно относящаяся к определённому или определяемому физическому лицу (субъекту персональных данных).

• Оператор: государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

• Обработка персональных данных: любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. Это включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Главная задача 152-ФЗ — обеспечить права граждан при обработке персональных данных операторами, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну, гарантированных статьями 23 и 24 Конституции РФ. Цель закона — обеспечить безопасность данных, предотвратить их утечки и незаконное распространение.

Основные случаи обработки персональных данных для микропредприятий

Микропредприятия могут сталкиваться со следующими случаями обработки персональных данных:

• Сотрудники: данные сотрудников (в том числе по договорам гражданско-правового характера), кадровые документы и отчётность по ним.

• Представители контрагентов или клиентов: данные сотрудников, руководителей, владельцев юридических лиц и индивидуальных предпринимателей при документообороте по договорным отношениям.

• Клиенты: данные, обязательные к получению для исполнения законодательства и нормативных актов, с целью заполнения обязательных форматов документов и идентификации в целях противодействия легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма (ПОД/ФТ). Это включает скупку, комиссию от физических лиц, квитанции при заказах в мастерских, анкеты клиентов при обязательной идентификации покупателя, рекламные рассылки и иные формы сбора персональных данных.

Уведомление Роскомнадзора

С 1 сентября 2022 года, в связи с изменениями в 152-ФЗ, почти все операторы обязаны были направить уведомление в Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) о включении в реестр операторов персональных данных (для тех, кто ранее не направлял).

Исключение предусмотрено в пункте 2 части 2 статьи 22: если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации. При этом, если оператор обрабатывает данные только на бумаге (например, микро ИП без сотрудников и без формализованных договоров с клиентами), он обязан соблюдать Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Учитывая, что в ювелирной отрасли возникает обязанность по сбору персональных данных, а также в связи с цифровизацией и автоматизацией баз данных (обусловленной отчётностью в ФНС и Социальный фонд, ГИИС ДМДК, исполнением Приказа Росфинмониторинга "Об идентификации"), микропредприятия (ИП) в большинстве случаев применяют для документооборота не только бумажные формы, но и средства автоматизации. Это любое компьютерное оборудование с программным обеспечением, начиная от простого Word или Excel до различных облачных систем.

Следовательно, с 1 сентября 2022 года предприятия ювелирной отрасли обязаны состоять в Реестре операторов Роскомнадзора (РКН). Выполнить данное требование несложно: достаточно заполнить форму на сайте РКН и отправить заказное письмо в региональное Управление РКН (самый простой способ) или в электронном виде с использованием усиленной квалифицированной электронной подписи или через ЕСИА (Госуслуги). Пример заполнения уведомления также размещён на сайте РКН.

Политика оператора в отношении обработки персональных данных

Следующей важной нормой является наличие утверждённого руководителем (ИП) документа (Положения) о Политике оператора в отношении обработки персональных данных. Данное Положение обязательно согласно части 2 статьи 18.1 152-ФЗ, которая гласит: "Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных."

Положение содержит все минимальные регламенты и процедуры оператора для исполнения 152-ФЗ. Оно утверждается руководителем (ИП) и обязательно для исполнения всеми сотрудниками (при их наличии). Пример Положения доступен на сайте РКН. Однако Положение должно быть разработано с учётом специфики обработки персональных данных конкретного предприятия.

Требования к обработке персональных данных: с согласием или без

На практике требования исполнения разделяются в зависимости от двух способов обработки оператором персональных данных (ПД):

1. Без предварительного письменного согласия с условием обработки ПД (согласно пункту 1 статьи 6 152-ФЗ):

   • Исключительно самостоятельно оператором для исполнения договора, стороной которого и выгодоприобретателем является субъект персональных данных.

   • Необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей. Это включает:

     • Выполнение обязанности работодателя (налогового агента) по ТК РФ и отчётности в ФНС и Социальный фонд.

     • Идентификация клиента, возложенная 115-ФЗ "О ПОД/ФТ".

     • Фиксирование персональных данных в обязательных формах договоров по Постановлению 616 "Правила скупки", Договоре комиссии с физическим лицом, квитанции мастерской для случаев исполнения Постановления № 394 "Об опробовании и клеймении", а также иные нормативно-правовые акты (НПА), требующие сбор и фиксирование данных клиентов или физических лиц.

   • Передача документов, содержащих персональные данные, по мотивированным письменным требованиям (запросам) надзорных или государственных органов в силу их законных полномочий.

   • Исключающие факты передачи персональных данных третьим лицам не для целей, возложенных законодательством на оператора функций, полномочий и обязанностей.

2. При наличии согласия субъекта персональных данных: если персональные данные могут передаваться третьим лицам без оснований исполнения федеральных законов, согласно которым предусматриваются полномочия надзорных и иных органов на получение информации, содержащей персональные данные.

Обязанность получать письменное согласие установлена в пункте 4 статьи 9 152-ФЗ в случаях, предусмотренных федеральным законом. Такими случаями являются:

• Обработка персональных данных осуществляется с согласия субъекта персональных данных (пункт 1 части 1 статьи 6). На практике это означает обработку с согласия в любом случае, когда оператор получает такое письменное согласие, например, при передаче третьим лицам без требований законов и НПА.

• Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных (пункт 3 статьи 6). Например, при передаче третьим лицам без требований законодательства, как в случае аутсорсинга бухгалтерских услуг.

• Размещение в общедоступных источниках персональных данных с письменного согласия субъекта персональных данных (пункт 1 статьи 8).

• Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (пункт 2 части 1 статьи 10). В коммерческом секторе такие ПД, как правило, не обрабатываются.

• Согласие на обработку персональных данных, разрешённых субъектом персональных данных для распространения (статья 10.1). Это более относится к распространению (например, такое согласие обязаны соблюдать СМИ в некоторых случаях).

• Обработка биометрических персональных данных, используемых оператором для установления личности субъекта персональных данных (пункт 1 статьи 11). Может обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.

• Трансграничная передача персональных данных (пункт 4 части 1 статьи 12) при наличии согласия в письменной форме субъекта персональных данных.

• Продвижение товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи (пункт 1 статьи 15). Допускается только при условии предварительного согласия субъекта персональных данных (например, СМС-рассылки, таргетирование).

• Исключительно автоматизированная обработка персональных данных (пункт 2 статьи 16) только при наличии согласия в письменной форме субъекта персональных данных (онлайн-обслуживание).

Требования к письменному согласию

Письменное согласие для исполнения пункта 4 статьи 9 152-ФЗ должно содержать:

1. Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе.

2. Фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных).

3. Наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных.

4. Цель обработки персональных данных.

5. Перечень персональных данных, на обработку которых даётся согласие субъекта персональных данных.

6. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу.

7. Перечень действий с персональными данными, на совершение которых даётся согласие, общее описание используемых оператором способов обработки персональных данных.

8. Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом.

9. Подпись субъекта персональных данных.

Примеры различных форм согласий легко найти в Примере Положения РКН (размещено выше) или через поиск в интернете.

Если согласие обязательно, то при заключении письменного формализованного договора, содержащего реквизиты данных клиента, можно изложить его универсально. Например, в договоре скупки ранее коллеги включали отдельным пунктом "Согласие на обработку персональных данных":

"Клиент даёт согласие на обработку персональных данных, внесённых в договор, с целью исполнения договора, обеспечения действий с персональными данными в целях выполнения возложенных законодательством обязанностей, на срок, предусмотренный законодательством."

По аналогии такое же согласие может включаться в трудовые договоры с сотрудниками, в иные формы первичных документов с данными клиентов.

Разработка Положения и ответственность

Поскольку 152-ФЗ — обширный закон, требующий для работы с ним специальной подготовки, обычно коллеги поступают следующим образом:

• Либо заказывают в учебных центрах с хорошей репутацией шаблоны Положения, но с учётом специфики своей деятельности (объёма и случаев обработки персональных данных).

• Либо самостоятельно перерабатывают общедоступные примеры (например, через Яндекс-поиск находятся пример РКН "Положение оператора об обработке персональных данных" и иные примеры на сайтах "Гарант", а также примеры на сайтах крупных ювелирных компаний). Так, например, у микророзницы без скупки объём обрабатываемых персональных данных потенциально небольшой.

Санкция за отсутствие такого утверждённого регламента предусмотрена статьёй 13.11 КоАП РФ. Ответственность предусмотрена, в том числе за:

• Неуведомление РКН о намерении осуществлять обработку персональных данных (с 30 мая).

• Обработку персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с 152-ФЗ.

• Необеспечение неограниченного доступа к документу, определяющему Политику оператора в отношении обработки персональных данных.

При этом, согласно статье 4.1.1 КоАП: "За впервые совершённое административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств." Однако, с 30 мая вступают в силу существенные штрафы за действия (бездействие) оператора, повлёкшие неправомерную передачу (предоставление, распространение, доступ) информации.

Роскомнадзор осуществляет риск-ориентированный надзор и проводит профилактические мероприятия с субъектами малого и микробизнеса с целью разъяснения минимальных обязательных требований, а не наказания, если нет грубых нарушений. На вебинарах РКН для предпринимателей об исполнении 152-ФЗ транслировалось, что самое главное — не допускать утечек, незаконного распространения, доступа третьих лиц к персональным данным, обрабатываемым и хранящимся на предприятии, и соблюдать права субъектов персональных данных (граждан) согласно внутренним регламентам (политикам об обработке, основанным на 152-ФЗ).

Информационная поддержка

Самостоятельно проверить своё исполнение и Положение с учётом специфики обработки персональных данных можно с помощью проверочного листа Приказа РКН № 253. С целью информационного обмена опытом в Telegram-чате "ДМДК: бухучёт и право" сети "Ювелирный Telegram" создана ветка по персональным данным, в том числе с полезными ссылками.

Надеемся, что эта информация будет полезной для вашей деятельности.