ЮВЕЛИР.INFO : НОВОСТИ
Минимальные Требования исполнения № 152-ФЗ « О персональных данных» для микро предприятий (ИП) в ювелирной отрасли.
Данный материал составлен, как для начинающих коллег в ювелирной отрасли, так и для ооо и индивидуальных предпринимателей в статусе микро предприятий на рынке дмдк с целью обмена опытом. ( расширенная версия статьи ранее опубликованной в ЭКСПО-ЮВЕЛИР №1(136) ЯНВАРЬ - МАЙ 2025)
Основные понятия
Согласно ст. 3 №152-ФЗ « О персональных данных» (далее 152-ФЗ) :
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Главная задача 152-ФЗ - обеспечить права граждан при обработке персональных данных операторами с целью Обеспечения безопасности данных (недопущение утечек и недопущения незаконного распространения), в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, которую гарантирует ст. 23 и 24 Конституции РФ.
Основные Случаями обработки персональных данных возможных у микро предприятий:
- сотрудники (в том числе при договорах гпх ) и кадровые документы и отчетность по ним
- представители (сотрудники и руководители, владельцы) контрагентов или клиентов юр.лиц и ип при документообороте по договорным отношениям
- данные клиентов, которые обязательны к получению для исполнения законодательства и нормативных актов, с целью заполнения обязательных форматов документов и идентификации в целях под/фт (скупка, комиссия от физ. лиц, квитанция при заказах в мастерских, анкеты клиентов при обязательной идентификации покупателя, рекламные рассылки и иные формы сбора персональных данных)
С 01.09.2022г. в связи с изменениями №152-ФЗ почти все операторы обязаны были направить Уведомление в Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) о включении в реестр операторов персональных данных (кто ранее не направлял).
Исключение в ст. 22 п. 2 пп. 8 если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.
При этом если оператор обрабатывает без средств автоматизации, те исключительно на бумаге (например возможный случай микро ип без сотрудников и без формализованных договоров с клиентами), то такой оператор обязан соблюдать Постановление Правительства РФ от 15 сентября 2008 г. N 687
"Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
Учитывая, что в ювелирной отрасли возникают обязанности по сбору персональных данных описанные выше и также в связи с цифровизацией и автоматизацией баз данных, обусловленной отчетностью в ФНС и Соц. фонд, ГИИС ДМДК, исполнением Приказа РФМ «Об идентификации», микро предприятия (ИП) в большинстве случаев применяют для документооборота не только бумажные формы, но и средства автоматизации (любое компьютерное оборудование с программным обеспечением , начиная от простого ворд или эксель до различных облачных систем).
Следовательно, с 01.09.22г. предприятия ювелирной отрасли обязаны состоять в Реестре операторов Роскомнадзора (далее РКН) .
Выполнить данное требование не сложно заполнив форму на сайте РКН, после чего отправить заказное письмо в региональное Управление РКН (самый простой способ) или в электронном виде с использованием усиленной квалифицированной электронной подписи или через ЕСИА (Госуслуги).
Пример заполнения Уведомления также размещен на сайте РКН.
Следующей Важной нормой является наличие утвержденного руководителем (ИП) Документа (Положения) о Политике оператора в отношении обработки персональных данных.
Данное Положение обязательно согласно ст. 18.1 №152-ФЗ
п.2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
Положение и содержит все минимальные регламенты и процедуры оператора для исполнения 152-ФЗ. Утверждается Руководителем (ИП) и обязательно для исполнения всеми сотрудниками при наличии.
Но Положение должно быть разработано с учетом специфики обработки персональных данных.
На практике Требования исполнения разделяются в зависимости от 2х способов обработки оператором персональных данных (ПД):
1.Без предварительного письменного согласия с условием обработки ПД согласно п.1 ст. 6 №152-ФЗ:
-исключительно самостоятельно оператором для исполнения договора, стороной которого и выгодоприобретателем является субъект персональных данных,
- необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей:
для выполнения обязанности работодателя (налог. агента) по ТК РФ и отчётности в ФНС и Соц. Фонд,
по идентификации клиента возложенной №115-ФЗ «О ПОД/ФТ»",
фиксирование перс. данных в обязательных формах договоров по Постановлению 667 « Правила скупки», Договоре комиссии с физ. лицом, квитанции мастерской для случаев исполнения Постановления №394 « об опробовании и клеймении» , иные НПА, требующие сбор и фиксирование данных клиентов или физ. лиц.
- передача документов, содержащих персональные данные по мотивированным письменным требованиям (запросам) надзорных или государственных органов в силу их законных полномочий
- исключающие факты передачи Персональных данных 3-м лицам Не для целей, возложенных Законодательством на оператора функций, полномочий и обязанностей
2. При наличии согласия субъекта персональных данных, если персональные могут передаваться 3 –м лицам, без оснований исполнения Федеральных законов, согласно которым предусматриваются полномочия надзорных и иных органов на получение информации, содержащей перс. данные.
Обязанность брать Письменное Согласие установлена в 152-ФЗ ст. 9 п. 4 в случаях, Предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
Такими случаями являются :
- в ст. 6 п. 1 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; ( те обработка с Согласия при любом случае когда оператор берет такое письменное согласие , На практике – при передачи 3м лицам например, без Требований Законов и НПА)
- ст. 6 п. 3. Оператор вправе поручить обработку персональных данных другому лицу с Согласия субъекта персональных данных, (Передача 3 м лицам без Требований законодательства, например Аутсорс бух. услуги )
-ст. 8.п. 1 В общедоступные источники персональных данных с письменного согласия субъекта персональных данных.
- ст. 10 Специальные категории персональных данных п. 2 1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) такие ПД в коммерческом секторе не обрабатываются.
- ст. 10.1 Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения - это больше относится к Распространению (например такое согласие обязаны соблюдать СМИ в некоторых случаях) .
- ст. 11 п. 1 (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных
- ст. 12 п. 4 1) наличия согласия в письменной форме субъекта персональных данных на Трансграничную передачу его персональных данных;
- ст. 15 п. 1 в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта персональных данных. (например, смс рассылки, таргетирование)
- ст. 16 п. 2 исключительно Автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных (онлайн обслуживание)
Письменное Согласие для исполнения п.4. Ст.9. 152-ФЗ должно содержать:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
(примеры различных форм согласий несложно найти в Примере Положения РКН ( размещено выше), или через яндекс-поиск)
Если Согласие обязательно, то при заключении письменного формализованного договора, содержащего реквизиты данных клиента :
можно изложить универсально: например в договоре скупки и ранее коллеги включали отдельным пунктом «Согласие на обработку персональных данных»:
«Клиент дает согласие на обработку персональных данных, внесенных в договор с целью исполнения договора, обеспечения действий с персональными данными в целях выполнения возложенных законодательством обязанностей, на срок, предусмотренный законодательством»
По аналогии такое же согласие может включаться в Трудовые договора с сотрудниками, в иные формы первичных документов с данными клиентов.
Т.к. №152-ФЗ очень большой закон, требующий для работы с ним спец. подготовки, то обычно коллеги:
- Либо заказывают в учебных центрах с репутацией Шаблоны Положения, но с учетом специфики своей деятельности ( объема и случаев обработки персональных данных) ,
- либо самостоятельно перерабатывают общедоступные примеры ( например через яндекс поиск находится и пример РКН «Положение оператора об обработке персональных данных» и иные примеры на сайте гарант, примеры на сайтах крупных ювелирных компаний). Т.к. например у микро розницы без скупки объём обрабатываемых персональных данных потенциально не большой.
Санкция за отсутствие такого утвержденного регламента в ст. 13.11 КОАП РФ .
Ответственность предусмотрена, в том числе за:
- Не уведомление РКН о намерении осуществлять обработку персональных данных (с 30 мая);
- Обработку персональных данных Без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии со 152-ФЗ
- Не обеспечение неограниченного доступа к документу, определяющему Политику оператора в отношении обработки персональных данных
При этом согласно ст. 4.1.1 КоАП:
За впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора) административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств
Однако, с 30 мая вступают в силу существенные штрафы за Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации.
При этом Роскомнадзор осуществляет Риск-ориентированный надзор. Проводит профилактические мероприятия с субъектами малого и микро бизнеса, с целью разъяснить минимальные обязательные требования, а не наказать, если нет грубых нарушений. На вебинарах РКН для предпринимателей об исполнении 152-ФЗ транслировалось, что самое главное Не допускать Утечек, незаконного распространения, доступа 3 лиц к Персональным данным обрабатываемым и хранящимся в предприятии и соблюдать права субъектов Персональных данных (граждан) согласно внутренним регламентам (политикам об обработке, основанных на 152-ФЗ).
Самопроверить свое исполнение и Положение с учетом специфики обработки персональных данных возможно с помощью Проверочного листа Приказ РКН № 253.
С целью информационного обмена опытом в телеграмм чате Ювелир-Инфо "ДМДК: бухучёт и право" создана ветка по Персональным данным, в том числе с полезными ссылками.
Добавлено: 22 мая 2025 г. 8:45