Больше контента и возможностей будет доступно после авторизации

Персональные данные: готовые решения для сложных ситуаций

03.04.24372

Уже больше года действуют новые правила работы с персональными данными, и накопилось много практики, которую нужно учитывать. Мы выбрали 10 самых важных вопросов, с которыми чаще всего обращаются за консультациями наши клиенты. Изучите ответы эксперта, чтобы отбиться от претензий со стороны Роскомнадзора.

Опыт полного юридического сопровождения организации, ведение судебных дел, участие в проверках ГИТ, Прокуратуры

  • 231.1K просмотров
  • 10 подписчиков
  • 110 материалов

Зарубежная командировка: подавать ли уведомление о трансграничной передаче

Если при загранкомандировках работодатель передает персональные данные сотрудника за пределы России, это считается трансграничной передачей. Направьте в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных.

Внимание

Это уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных.

Включите в документ обязательные сведения, например, категории и перечень передаваемых персональных данных. Посмотрите пример правильного оформления в образце заполнения уведомления о намерении осуществлять трансграничную передачу персональных данных.

Уведомление можно подать на бумаге или с помощью портала Роскомнадзора. В последнем случае нужно пройти аутентификацию через «Госуслуги». Статус уведомления можно будет отслеживать с помощью специального сервиса.

У Роскомнадзора будет 10 дней на рассмотрение вашего уведомления. После этого он вынесет одно из решений: разрешить передачу данных, запретить или ограничить.

Какие проверочные мероприятия проводит Роскомнадзор и в каком порядке — читайте в Готовом решении КонсультантПлюс: Как Роскомнадзор контролирует соблюдение требований в сфере персональных данных.

Как часто подают уведомление об обработке персональных данных

Такое уведомление подают один раз. Если вы уже направляли уведомление, например, в прошлом году, то новое подавать не нужно. Но если изменились какие-то сведения, которые входили в состав уведомления, об этом нужно сообщить. То же касается ситуации, когда вы прекратили обрабатывать персональные данные. Подайте такое уведомление не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения.

Рекомендуем периодически проверять информацию в ранее поданных уведомлениях на актуальность. Если что-то поменялось, например добавилась цель обработки, изменился ответственный или поменялся адрес оператора, уведомите Роскомнадзор.

Напомним, что уведомление о намерении обрабатывать персональные данные должны подать все организации. Даже если у компании нет клиентов – физических лиц, у нее есть работники, чьи персональные данные обрабатываются. Поэтому любая компания относится к операторам персональных данных.

Исключений, когда уведомление подавать не нужно, мало. Уведомление не подается, если оператор обрабатывает персональные данные:

  • в целях защиты безопасности государства и общественного порядка, транспортной безопасности;
  • исключительно без средств автоматизации.

Как получить согласие на обработку персональных данных, если вам вручили визитку

Вы можете использовать персональные данные без отдельного согласия, но есть нюанс.

Рассмотрим ситуацию, когда представители компаний обменялись визитками на выставке. Компания планирует занести данные с визиток в базу данных потенциальных клиентов и работать с этими контактами.

При обмене визитками представители компаний выразили согласие на обработку персональных данных конклюдентными действиями. То есть запрашивать специально такое согласие не нужно, оно уже получено. Но есть важная тонкость.

Обработка персональных данных ограничивается достижением конкретных, заранее определенных целей. Когда представитель компании передает визитку, он хочет продвинуть свою компанию или себя как специалиста. Например, юрист передает визитку, чтобы к нему обратились за консультацией, а не для того, чтобы позвали на обучение. Поэтому внести данные с визиток в базу и работать по этим контактам как с потенциальными клиентами вы не можете.

Если всё-таки такая цель стоит, получите согласие физического лица с явно обозначенной целью. Например, если на выставке он заполнит анкету, которая включает согласие. Или перейдет на ваш сайт и оставит заявку, проставив галочку в поле «Я даю согласие на обработку персональных данных».

Это касается только персональных данных физических лиц. Если на визитке сведения исключительно о компании (например, общий номер телефона и электронная почта), их можно заносить в базу потенциальных клиентов. На юридические лица закон о персональных данных не распространяется.

Какие риски возникают, когда кадры хранят копии документов в личных делах

Это может повлечь штраф: от 10 тыс. до 20 тыс. рублей для должностных лиц и от 60 тыс. до 100 тыс. рублей для организаций (ч. 1 ст. 13.11 КоАП РФ).

Роскомнадзор считает, что такие копии являются избыточными данными и хранить их нельзя. Суды такую позицию поддерживают (Постановление Пятнадцатого арбитражного апелляционного суда от 14.03.2014 № 15АП-22502/2013 по делу № А53-12557/2013, Постановление ФАС Северо-Кавказского округа от 21.04.2014 по делу № А53-13327/2013).

У Роструда противоположная позиция: можно хранить копию паспорта работника в его личном деле, если он дал согласие на хранение и обработку персональных данных. Но штрафует за такие нарушения не Роструд, а Роскомнадзор. Поэтому не рекомендуем хранить копии документов в личном деле работника, за исключением случаев, когда вы должны делать это по закону.

Как правильно хранить персональные данные и какие есть требования к помещению для хранения — узнайте в Путеводителе по кадровым вопросам. Персональные данные работников.

Нужно ли согласие на обработку персональных данных при заключении договора с ИП

Если вы используете их исключительно для заключения и исполнения договора, согласие не требуется. Например, когда ИП арендует у вас помещение и вы указываете в договоре его паспортные данные.

Но согласие нужно получить, если вы планируете использовать персональные данные ИП для других целей (например, занести его личный телефон в клиентскую базу и предлагать свои услуги).

Нужно ли согласие на обработку данных от представителей при выдаче им доверенности

Да. Но на практике считается, что представитель соглашается с обработкой своих персональных данных, когда передает их для оформления доверенности. Суды с такой позицией согласны (Постановление Арбитражного суда Московского округа от 01.02.2022 № Ф05-17164/2018 по делу № А41-28166/2018).

Эти разъяснения касаются только тех случаев, когда вы используете персональные данные только для составления доверенности. Если вы хотите использовать их в других целях, возьмите отдельное согласие.

Можно ли дать контрагенту копию паспорта директора

Обычно копию паспорта просят при заключении договора, чтобы сверить подписи. Согласие директора обязательно нужно оформить.

Но, если согласие взять не получается, выход есть. Можно предоставить другие документы, где подлинность подписи руководителя засвидетельствована нотариально (например, карточка с образцами подписей и оттиска печати).

Могут ли охранники записывать в журнал паспортные данные посетителей

Да. Но вопрос опять же в целях обработки. Закон разрешает не брать согласие на обработку, если она нужна для достижения общественно значимых целей и при этом не нарушаются права субъекта персональных данных.

Так что если паспортные данные нужны только для обеспечения безопасности (например, чтобы найти нарушителя после кражи), то никакого нарушения нет.

Для других целей использовать персональные данные нельзя.

Нужно ли брать согласие у работника, который уволился, но вернулся в течение месяца

Нет, не нужно. Изначально работник соглашался на обработку своих данных в целях соблюдения трудового законодательства. Цели не поменялись, и предыдущее согласие продолжает действовать.

Но если он при увольнении отозвал согласие, то его нужно получить повторно перед трудоустройством.

Должно ли микропредприятие иметь положение об обработке персональных данных сотрудников

Да, исключений из этой обязанности нет. Вопросы возникают, потому что микропредприятия вправе полностью или частично отказаться от локальных нормативных актов.

Но обязанность принять положение об обработке персональных данных предусмотрена не Трудовым кодексом, а Законом об обработке персональных данных. В этом законе исключений для операторов нет. Кроме того, микропредприятие может обрабатывать персональные данные не только работников, но и клиентов.

Подключайте бота «Что делать Если»

Присылает материалы и трансляции от экспертов, на которые подписались, а также отслеживает изменения в темах, которые вы поставили на контроль.
Бонус: стикерпаки для бухгалтера и юриста.

Подключить