Найти юриста / адвоката / эксперта
I.Уведомление о намерении осуществлять обработку персональных данных
В статье 3 закона «О персональных данных» от 27.07.2006 № 152-ФЗ (далее закон о перс данных) дано определение оператора персональных данных. Оператор — государственный или муниципальный орган, юридическое или физическое лицо, осуществляющие обработку персональных данных.
Оператор определяет цели обработки персональных данных. Например, оформление и исполнение заказов для клиентов, ведение кадрового учета для сотрудников, анализ посещаемости для посетителей сайтов.
Оператор определяет состав персональных данных, подлежащих обработке. Например, ФИО, паспортные данные, адрес, эл. почта и т.д.
Оператор определяет действия (операции), совершаемые с персональными данными. Например, сбор, запись, хранение, уточнение, использование, передача, блокирование, удаление.
Таким образом, закон о персональных данных касается каждого индивидуального предпринимателя или юридического лица.
Почти каждый оператор должен пройти регистрацию в Роскомнадзоре. Основанием является уведомление по форме, утвержденной приказом Роскомнадзора от 28.10.2022 № 180.
Некоторые операторы вправе без уведомления Роскомнадзора осуществлять обработку персональных данных. К ним отнесены случаи, когда,
-персональные данные включены в государственные информационные системы персональных данных (ЕГРИП, ЕГРЮЛ);
-оператор осуществляет деятельность по обработке персональных данных без использования средств автоматизации;
-персональные данные обрабатываются в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности.
Касательно обработки персональных данных без использования средств автоматизации следует руководствоваться Положением, утв. Постановлением Правительства РФ от 15 сентября 2008 г. N 687 (Положение).
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (п.1 Положения).
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п.2 Положения).
Адвокатам, чтобы понять относятся ли они к операторам, осуществляющим обработку персональных данных без использования средств автоматизации, необходимо сделать анализ субъектов персональных данных.
Основной субъект — доверитель. Цель обработки — составление Соглашения о юридической помощи.
Состав персональных данных — ФИО, паспортные данные, адрес, эл почта и т.д.
Действия (операции) — использование, уточнение, распространение, уничтожение персональных данных осуществляются при непосредственном участии человека (то есть, на бумажном материальном носителе). Такой же анализ провести по другим субъектам персональных данных.
Оператор, осуществляющий обработку персональных данных с использованием средств автоматизации, должен отправлять уведомление в Роскомнадзор в следующие сроки. До начала обработки персональных данных, при этом, конкретных сроков представления сведений в составе уведомления законодательство не содержит. При любых изменениях сведений (например, при изменении целей или сроков обработки персональных данных) — не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.
Если оператор не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений до 30 мая 2025 года, его оштрафуют по ст. 19.7 КоАП РФ, с 30 мая 2025 года размеры штрафов за нарушения будут повышены ч. 10 ст. 13.11 КоАП РФ:
-для граждан — в размере от 5000 до 10 000 руб.;
-для должностных лиц государственного или муниципального органа либо некоммерческой организации — от 30 000 до 50 000 руб.;
-для юридических лиц, (не являющихся государственным, муниципальным органом или НКО), и ИП — от 100 000 до 300 000 руб.
До подачи уведомления должны быть сформированы локально — нормативные акты, отражающие систему работы с персональными данными организации, поскольку уведомление должно отражать эти документы.
Но безопаснее срочно подать уведомление до 30 мая 2025 года, даже если пока не сформированы локально-нормативные документы. Впоследствии подать уведомление с изменениями сведений.
II. Сайты
Все операторы, у которых есть сайт, обязаны соблюдать требования Роскомнадзора.
Кроме того, сайт не должен нарушать требования к трансграничной передаче данных (необходим аудит технический и юридический для выявления нарушений, они могут быть в коде сайта, и оператор может даже не знать об этом).
Трансграничной передачей персональных данных является использование иностранного программного обеспечения или интернет-сервисов, позволяющих собирать, хранить или обмениваться персональными данными с помощью сети «Интернет».
Алгоритмы Роскомнадзора — это новая система контроля, которая сейчас осуществляется автоматизированно. Алгоритмы Роскомнадзора видят не только внешние (видимые), но и внутренние (невидимые) нарушения. Контроль становится массовым и не требует человеческого ресурса со стороны госоргана так, как это было раньше.
Операторам необходимо следующее:
1.Опубликовать на сайте актуальную Политику оператора обработки персональных данных.
2.Опубликовать на сайте актуальную Политику конфиденциальности сайта.
3.Согласие на обработку персональных данных посетителя должно быть во всех в формах связи на сайте.
4.Согласие для посетителей сайта о собираемых «Cookie».
5.Разместить контактные данные юридического лица (владельца сайта).
6.Привести в соответствие предлагаемых на сайте товаров или услуг кодам ОКВЭД (виду деятельности) организации.
Касательно трансграничной передачи — отключить программы.
III. Меры по обеспечению выполнения оператором обязанностей по обработке персональных данных
ст. 13.11 КОАП РФ предусматривает ответственность для юридических лиц (ИП, приравненных к ним), должностных лиц, граждан. Рассмотрим способы снижения риска быть подвергнутым штрафам.
1) Юридические лица (ИП, приравненные к ним)
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законом о перс данных (ст. 18.1). Добросовестное выполнение этой обязанности важно и полезно для оператора.
При определении пакета мер допустимо использовать Постановление Правительства РФ от 21 марта 2012 г. № 211, ред. от 15.04.2019 г. (ПП № 211). Несмотря на то, что оно предназначено для государственных органов, никто не запрещает его использовать и другим организациям. Использование в качестве шаблона ПП № 211 дает основание полагать, что приняты меры необходимые и достаточные.
Первый документ пакета мер следует назвать «Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» (Перечень). Во вступительной части следует написать, что он составлен руководствуясь Перечнем, утв.
Постановлением Правительства РФ от 21 марта 2012 г. № 211. В Перечне следует указать все правила, перечни, типовые формы, действия, необходимые для выполнения обязанностей оператора персональных данных.
Затем необходимо составить все документы и совершить действия, перечисленные в Перечне.
Дополнительно необходимо выполнить требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения закона о персональных данных (Утв. приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 № 178).
Тем самым оператор подтверждает для контролирующего органа, что принял меры, необходимые и достаточные для обеспечения выполнения тех обязанностей, которые предусмотрены законом о перс данных.
Надо понимать важность и значение этого пакета мер.
Ответственность несут лица, виновные в нарушении законодательства (ч.1 ст. 24 закона о перс данных).
В соответствии с ч.4 ст. 2.1 КОАП РФ юридическое лицо не подлежит административной ответственности за совершение административного правонарушения, за которое должностное лицо или иной работник данного юридического лица привлечены к административной ответственности, если таким юридическим лицом были приняты все предусмотренные законодательством Российской Федерации меры для соблюдения правил и норм, за нарушение которых предусмотрена административная ответственность.
Рекомендуемый пакет мер послужит доказательством перед контролерами того факта, что юридическое лицо не подлежит административной ответственности в случае нарушения законодательства о персональных данных его должностным лицом или работником, так как невиновно.
2) Должностное лицо
Квалифицирующим признаком является то, что административной ответственности подлежит должностное лицо в случае совершения им административного правонарушения в связи с неисполнением либо ненадлежащим исполнением своих служебных обязанностей (ст. 2.4 КОАП РФ).
Руководители и другие работники не государственных организаций несут административную ответственность как должностные лица в связи с выполнением организационно-распорядительных или административно-хозяйственных функций (Примечание к ст. 2.4 КОАП РФ).
Одной из мер выполнения обязанностей в области персональных данных является назначение лица, ответственного за организацию обработки персональных данных (по приказу). Допустимо назначить лицо, не являющееся должностным лицом или не управомоченное выполнять организационно-распорядительные или административно-хозяйственные функции.
Руководитель организации утверждает Перечень, другие документы, перечисленные в Перечне. Лицо, ответственное за организацию обработки персональных данных (Ответственный), осуществляет проверки соответствия обработки персональных данных установленным требованиям.
Ответственный докладывает руководителю о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений.
Руководитель организации издает распоряжение, предусматривающее устранение нарушений.
Ответственный осуществляет ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, организуют их обучение.
Эти меры послужат доказательством перед контролерами того факта, что юридическое лицо и должностное лицо не подлежит административной ответственности в случае нарушения законодательства о персональных данных его работником, так как невиновны.
3) Гражданин
После принятия мер, снижающих штрафы для юридического лица и должностного лица, остается риск наложения штрафа на работников организации. Но размеры этих штрафов самые низкие.
Тем не менее, оператору следует проявить заботу о работниках, непосредственно осуществляющих обработку персональных данных. Действия, способствующие снижению этих штрафов, описаны ниже в тексте.
IV. Контрольные мероприятия
Контролирующий орган проводит контрольные (надзорные) мероприятия либо без взаимодействия с контролируемым лицом либо во взаимодействии.
1) Контрольные (надзорные) мероприятия без взаимодействия с контролируемым лицом осуществляются в соответствии с законом о перс данных. Рассмотрим два случая.
а) Контролирующий орган доводит до оператора запрос — требование о выявлении неправомерной обработки персональных данных. Случаи неправомерной обработки установлены в статье 13.11 КоАП РФ.
К ним относятся: обработка в случаях, не предусмотренных законодательством РФ в области персональных данных (ч.1); либо обработка несовместимая с целями сбора персональных данных (ч.1); либо обработка без согласия в письменной форме субъекта персональных данных на обработку его персональных данных (ч.2); либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных (ч.2); невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (ч.8).
Для оператора установлена обязанность по устранению нарушений законодательства, допущенных при обработке персональных данных (ч.1,3 ст.21 закона о перс данных). Получив запрос контролирующего органа, оператор обязан прекратить неправомерную обработку, не подлежащую исправлению, блокировать неправомерную обработку, подлежащую исправлению и внести исправления.
О выполнении обязанности по устранению нарушений законодательства, допущенных при обработке персональных данных, оператор в течение 10-ти дней (ч.4 ст. 20 закона о перс данных) уведомляет контролирующий орган. В уведомлении надлежит сообщить об исполнении обязанности об устранении допущенных нарушений в соответствии с ч.1,3 ст. 21 закона о перс данных. Просить признать факт надлежащего исполнения обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных. Уведомление послужит доказательством перед контролерами того факта, что сотрудники не подлежит административной ответственности, так как невиновны.
б) Уполномоченный орган по защите прав субъектов персональных данных имеет право требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных (п.3 ч.3 ст. 23 закона о перс данных).
Для оператора установлена обязанность по устранению нарушений законодательства по уточнению, блокированию и уничтожению персональных данных (ч.1,2 ст.21 закона о перс данных). Получив требование контролирующего органа, оператор обязан его выполнить. В течение 7-ми рабочих дней (ч.2 ст.21 закона о перс данных) направить уведомление в адрес контролирующего органа.
В уведомлении сообщить об исполнении обязанности об устранении допущенных нарушений в соответствии с ч.1,2 ст. 21 закона о перс данных. Просить признать факт надлежащего исполнения обязанности оператора по устранению нарушений законодательства по уточнению, блокированию и уничтожению персональных данных.
Уведомление послужит доказательством перед контролерами того факта, что сотрудники не подлежит административной ответственности, так как невиновны.
2) Контрольные (надзорные) мероприятия во взаимодействии с контролируемым лицом осуществляется в соответствии с Федеральным законом от 31 июля 2020 года № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» (закон о гос контроле).
По окончании проведения контрольного (надзорного) мероприятия, предусматривающего взаимодействие с контролируемым лицом, составляется акт контрольного (надзорного) мероприятия (Акт).
Часть 2 статьи 87 закона о гос контроле предоставляет право контролируемому лицу устранить выявленные нарушения до окончания проведения контрольного (надзорного) мероприятия. Контролирующий орган должен в Акте указать факт устранения нарушения.
Для этого лицу, ответственному за организацию обработки персональных данных, надлежит постоянно сопровождать контроллеров, реализуя право оператора на присутствие при проведении контрольного (надзорного) мероприятия (ст. 36 закона о гос контроле) и выяснять установленные ими нарушения. Доказательствами устранения нарушений являются пояснения оператора по вопросам проведения контрольного (надзорного) мероприятия.
Если контроллер в Акте не указал факт устранения нарушений и оформил предписание об устранении выявленных нарушений обязательных требований, контролируемое лицо вправе подать жалобу на предписание контролирующего органа в течение 10 рабочих дней с момента получения предписания (п. 57 Постановления Правительства РФ от 29.06.2021 N 1046 (ред. от 16.12.2021) «О федеральном государственном контроле (надзоре) за обработкой персональных данных»).
Активная позиция оператора снижает риски быть подвергнутым штрафам.
V. Критерии отнесения объектов государственного контроля к категориям риска
Отнесение объектов государственного контроля к определенной категории риска причинения вреда (ущерба) охраняемым законом ценностям осуществляется на основании критериев отнесения объектов государственного контроля к определенной категории риска, установленных согласно приложению к Постановлению Правительства РФ от 29.06.2021 N 1046 (ред. от 16.12.2021) «О федеральном государственном контроле (надзоре) за обработкой персональных данных». Эти критерии влияют на плановые контрольные мероприятия.
Категории риска причинения вреда: высокого, значительного, среднего, умеренного, низкого. Чем выше категория, тем чаще проверка. При высокой категории — проверка один раз в два года, при низком риске — плановые контрольные мероприятия не проводятся.
Но не исключаются проверки, связанные с рассмотрением обращений граждан или юридических лиц (ч.5 ст. 23 закона о перс данных).
Уважаемая Ольга Юрьевна, спасибо за очередное напоминание о практически безграничной ответственности за то, что ещё совсем недавно не считалось не то что нарушением, но даже никому в голову не приходило считать обычные действия, совершаемые всеми вокруг при заключении сделок и обычном взаимодействии, и вдруг ставшими чуть ли не гостайной.
По большому счёту, вся эта нагнетаемая истерия, имеет смысл в основном для госорганов (фактически выведенных из под контроля) операторов связи и банков (и без того уже зарегулированных до невозможности), и мне сложно себе представить, как на практике будет осуществляться контроль, а главное — именно защита самих персональных данных, а не просто «мышиная возня» по выявлению и привлечению к ответственности кого попало, за нарушения, которые никому и никакого вреда не принесли (smoke)
Уважаемый Иван Николаевич, обнаружил интересную «загогулину». Вот она:
— п.1 ч.2 ст.1 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ гласит, что «Действие настоящего Федерального закона не распространяется на отношения, возникающие при обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных.
- по смыслу п.1 ч.1 ст.7 и п.1 ч.4 ст.25 Федерального закона „Об адвокатской деятельности и адвокатуре в Российской Федерации“ от 31.05.2002 N 63-ФЗ, ст.ст. 6-8 Кодекса профессиональной этики адвоката адвокат оказывает юридическую помощь лично. В силу ст. 967 ГК РФ поверенный оказывает услуги лично.
— при оказании юридической помощи адвокат также несёт личную ответственность.
Потому полагаю, что:
Личный и доверительный характер отношений адвоката и доверителя исключает данные отношения из действия Федерального закона „О персональных данных“ от 27.07.2006 N 152-ФЗ, поскольку, даже если адвокат и осуществляет какую-либо обработку персональных данных доверителя, он делает это, исходя из личной необходимости оказания юридической помощи. Следует также участь, что при этом на адвоката также распространяется обязанность об сохранению адвокатской тайны, эта обязанность определена ст.8 Федерального закона „Об адвокатской деятельности и адвокатуре в Российской Федерации“ от 31.05.2002 N 63-ФЗ и ст.6 Кодекса профессиональной этики адвоката, что предопределяет соблюдение условия «если при этом не нарушаются права субъектов персональных данных».
Уважаемый Владислав Александрович, да, безусловно, адвокаты вообще не должны признаваться «операторами», НО мой скромный опыт показывает, что первым делом РКН попробует сформировать практику (создать прецеденты) на самых «непродвинутых» и «непрошаренных» коллегах, на которые потом будут ориентироваться все остальные суды, и переломить такую порочную практику будет очень сложно (smoke)
Уважаемый Иван Николаевич, вполне допускаю, что придётся ещё и до Конституционного Суда РФ дойти, т.к. тут явно есть риск нарушения принципа правовой определённости в виде возникновения избыточного правового регулирования (вот тут есть выжимки об этом).
Вероятно есть иной путь: Направить запросы в уполномоченные органы и депутатам. Может быть даже коллективные.
Направить запросы в уполномоченные органы и депутатам. Уважаемый Владислав Александрович, вообще-то этим, на мой взгляд, давным-давно должны были озаботиться специально уполномоченные люди, коих у нас предостаточно, и если они этими вопросами не занимались, то мне совершенно понятно как они и дальше будут реагировать на эту «удивительную» ситуацию, поэтому проще и эффективнее нам самим позаботиться об этом самостоятельно.
Вы не хотите взять на себя подготовку и направление таких запросов? ;)
Уважаемый Иван Николаевич, сейчас я загружен другим Вашим поручением, которое Вы дали на конференции, по вопросу усиления актуализации нашего сайта (если помните). Проблему эту, кажется, я решил, но нужно для Вас её ещё описать. Плюс проблем с соглашениями (тоже если помните). И заняться этим смогу не ранее следующей недели, т.к. тут суды отложились и дали кучу поручений — они в приоритете, естественно.
Уважаемый Владислав Александрович, личные нужды, к сожалению, не равно личному оказанию услуг. Я так и не поняла, нужно ли адвокатам сообщать что-либо в РКН, когда сообщаешь в Палату сведения о том, что у тебя заключено соглашение на защиту, в других случаях. Когда ты направляешь адвокатский запрос, то сообщаешь адресату запроса персональные данные доверителя (пусть не в тексте запроса, так в тексте ордера, когда указываешь, кого защищаешь… ). Ведь это всё подпадает под понятие «использование ПД», «распространение ПД» Все это крайне спорно, безобразно написано (я — о НПА), так, чтобы при желании кого угодно можно было привлечь к ответственности…
Уважаемая Оксана Геннадьевна, сам понимаю, что породил курьёзное толкование. Оно курьёзное хотя бы потому, что тогда адвокат становится субъектом, который подлежит защите по законодательству о защите прав потребителей.
Но, давайте представим, что мы выдвигаем этот аргумент в суде, и нам суд говорит: «Нет, вы путаете, „личные и семейные нужды“ — это потребление для своих собственных целей, а не для целей работы адвоката!».
В ответ можно сказать: «Прекрасно! Это правда! Я адвокат, я выступаю в суде, а при обращении граждан делаю всё для защиты их прав. Однако, тогда мою деятельность следует признать не личной, а публичной. Это означает, что в силу п.2, п.3 и п.3.1. ч.1 ст.6 Федеральный закон от 27 июля 2006 г. N 152-ФЗ „О персональных данных“ я не должен подпадать под какое-либо декларирование, регистрацию и т.п., ведь суды этого не делают.»
Аналогично было рассмотрено дело в отношении органов ФССП по обеспечению порядка в судах — Апелляционное определение ВС РФ Дело №АПЛ23-169 от 8 июня 2023 года. Полагаю, что с адвокатами также.
Уважаемая Оксана Геннадьевна, в разделе Новости проекта – важные изменения функционала портала… Иван Николаевич Морохин обосновал правовую позицию об отсутствии обязанности предоставления Уведомления оператора перс данных у адвокатов. Я с ним солидарна и добавила свои выводы в обращении к нему. Я не умею делать ссылки на сайте, извините за неудобства, но если интересно, то найдите в ленте мое обращение к Николаю Ивановичу. Там, в том числе, об отличии между распространением и предоставлением перс данных
Уважаемый Иван Николаевич, благодарю за внимание к публикации. Вы правы, хотелось бы спросить депутатов — как рука не дрогнула голосовать за драконовские штрафы. Они ведь налагаются на граждан РФ, которые своим трудом обеспечивают, в том числе, безбедное существование депутатов (мое мнение).
Все действия действительно заключаются в поиске стрелочников, среди тех, кто обременен множеством задач и ответственностей.
На днях прочла о том, что группа лиц купила у должностного лица оператора связи базу данных клиентов и перепродала ее кому-то, кто получил возможность использования в незаконных целях. Но это осознанные действия, имеющие материальный интерес и уголовно наказуемые. На этом поле хотелось бы видеть успехи гос контролеров.
Уважаемый Иван Николаевич, присоединяюсь к Вашим выводам о том, что адвокаты не обязаны предоставлять Уведомление в Роскомнадзор. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека (п.1 Положения 687). Проводим следующий анализ.
↓ Читать полностью ↓
1) Категория субъектов перс данных: Доверитель (поручитель).
Цель обработки: ЗАКЛЮЧЕНИЕ договора (соглашения). Состав персональных данных: ФИО, номер телефона, Эл почта; паспортные данные, адрес, ИНН. Действия (операции): Сбор, запись, использование, уточнение, уничтожение.
Правовое основание, допускающее обработку данных: П.5 ч.1 ст. 6 закона о перс данных.2) Категория субъектов перс данных: Доверитель (поручитель). Цель обработки: ИСПОЛНЕНИЕ договора (соглашения).
В договоре получить Согласие доверителя на передачу перс данных.
Состав персональных данных: ФИО, номер телефона, Эл почта; паспортные данные, адрес, ИНН.Действия (операции): Передача (предоставление определенному кругу лиц).
Правовое основание, допускающее обработку данных: П.5 ч.1 ст. 6 закона о перс данных.Статья 3. Основные понятия, используемые в законе о перс данных
3) обработка персональных данных — передача (распространение, предоставление, доступ);
5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Вывод из анализа. Адвокат осуществляет использование, уточнение, уничтожение, передачу (предоставление определенному кругу лиц) персональных данных доверителя (субъекта персональных данных).
Адвокат не осуществляет распространение (раскрытие неопределенному кругу лиц) персональных данных доверителя (субъекта персональных данных).
Использование, уточнение, уничтожение осуществляются при непосредственном участии человека (на бумажном материальном носителе).
Следовательно, адвокат осуществляет функции оператора без необходимости уведомлять Роскомнадзор.
Уважаемая Ольга Юрьевна, благодарю Вас за полезный материал. Тема с защитой персональных данных, к сожалению, с каждым годом становится все актуальней... :x
Уважаемая Елена Анатольевна, благодарю за внимание к статье
Уважаемая Ольга Юрьевна, спасибо за раскладку по снижению рисков.
Мы всё чаще и чаще сталкиваемся с законодательством о ПД. На практике проявляются две тенденции:
— усиливаются репрессии в области ПД, при том, что законодательство в области охраны ПД не имеет чётких границ (практически любого можно подвести под понятие «оператор», например, у всех в смартфоне есть список контактов);
— при ссылках по делам в судах на нарушения этого законодательства возникает недоумение и суд подобные заявления просто игнорирует (а как же законность!? — а никак).
Мне представляется, что все непонятки проистекают от формулировки целей этого законодательства, достаточно внимательно прочесть ст.2 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ, как сразу возникает множество вопросов.
Уважаемый Владислав Александрович, благодарю за интерес к публикации.На самом деле целью этого закона является выполнение обязанности государства по защите прав и свобод, установленных в ст. 23, 24 Конституции РФ (КРФ).
В силу части 1статья 23 КРФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
В силу части 1 статьи 24 КРФ сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается.
Но при установлении размеров штрафов в области перс данных законодатели не учли конституционный принцип, установленный ч. 3 статьи 17: осуществление прав и свобод человека и гражданина не должно нарушать права и свободы других лиц. А здесь нарушение права на собственность. Тем более, что это деяния, подлежащие ответственности за административные правонарушения, ранее они имели определение — проступок, а теперь размеры штрафов за проступок получили размер несопоставимый деянию.
Уважаемая Ольга Юрьевна, по мне так странное правовое регулирование.
Нет, я, конечно, понимаю, что данные о людях воруют из разных баз и потом используют в целях получения кредитов, совершения сделок, распространения девиантной информации и т.п. негодных поступков от имени лица, чьи данные украли. И несомненно надо с этим что-то делать.
Но представьте себе, что в некоей стране имеются воры, которые воруют из карманов, квартир, складов и вообще откуда угодно. Причём среди этих людей есть те, кто стал профессионалом в своём деле, даже стали привлекать и обучать молодёжь, действовать организованно.
Чтоб поставить этому конец правительство такой страны стало требовать от всех собственников принимать инструкции и положения по сохранению собственности, назначать уполномоченных лиц, следящих за соблюдением этих инструкций и положений. Всё это надо обязательно публиковать, все эти инструкции и положения по сохранению собственности должны соответствовать очень строгому и запутанному законодательству. При этом создали правительственный орган, который следит за собственниками и штрафует их, если инструкции и положения не соблюдаются, не принимаются, если собственники не уведомляют что и как они хранят и какой собственностью оперируют. Куча частных и бюджетных средств уходит на это...
А что же воры?
А воры продолжают воровать! — Их-то никак не трогают.
Уважаемые коллеги, неплохо было бы чтобы кто-нибудь из уже заполнивших и отправивших уведомление в Роскомнадзор, опубликовал заполненный вариант Уведомления, утвержденного Приказом Роскомнадзора № 180. Вот это была бы помощь нам всем!
Уважаемый Анатолий Сергеевич, у нас в коллегии заполняли отправляли уведомление на сайте Роскомнадзора. Оно вот тут находится. У нас подавала коллегия, потому выбирали «обеспечение ведения бухгалтерского учёта», т.к. коллегия адвокатской деятельностью не занимается.
Уведомлять ли адвокатам в коллегии отдельно — честно скажу, не знаю, но считаю, что этого не нужно.
Уважаемый Владислав Александрович, нет там заполненных текстов, но спасибо за ссылку на место загрузки/отправки Уведомления. Я считаю, что коллегия должна подавать уведомление с тремя целями — 1) обработка данных в связи с наличием трудовых отношений (стажеры, помощники), 2) «обеспечение ведения бухгалтерского учёта", и 3) обработка данных с целью регистрации соглашений адвокатов с доверителями (п.15 ст.22). поскольку при регистрации соглашения происходит некая манипуляция с персональными данными.
Адвокаты тоже считаю должны подавать уведомления, поскольку направляют полученные данные своих доверителей в суд, органы, хранят их, поскольку они содержаться в документах, передаваемых им доверителями для ведения дел.
Уважаемый Анатолий Сергеевич, по соглашениям посмотрите разъяснения — Письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 23 сентября 2022 г. № 08-85970 «О рассмотрении обращения».
Иван Николаевич Морохин вот тут высказал свою позицию на основе анализа разъяснений Роскомнадзора.
Кроме того:
— если нет автоматизированного хранения и обработки данных (всё делается «вручную»), то эти действия не подпадают под законодательство о ПД;
— в Законе «О ПД» указано, что в целях обеспечения правосудия обработка ПД под данный Закон не подпадает;
— и ещё есть интересная мысль от меня.
Уважаемая Ольга Юрьевна, ещё раз упомянуть о драконовских штрафах, безусловно, полезно.
Думаю, что самое оптимальное узнать являются ли адвокаты и свободнопрактикующие юристы операторами персональных данных это направить вопрос экспертам СПС «Гарант» и СПС «Консультант плюс» (хотя и не во всём с ними возможно согласиться). А уже из данных ответов и исходить.
Уважаемый Олег Юрьевич, благодарю за внимание к публикации. Задать вопрос можно непосредственно на сайте Роскомнадзора. Раздел «Подать обращения». rkn.gov.ru
Уважаемая Ольга Юрьевна, правильно ли мы понимаем, что НКО, в т.ч. адвокатские бюро и коллегии адвокатов частично выведены из-под этих нововведений? Для адвокатов главное, чтобы с сайтами проблем не было?
Уважаемый Иван Васильевич, Согласно Примечания, в редакции закона, вступающей с 30 мая 2025 года, в частях 10 — 18 статьи 13.11 КоАП под юридическим лицом понимается оператор — юридическое лицо, не являющееся … некоммерческой организацией. То есть, НКО выведены из под ответственности. Но не отменяется ответственность в части 1-6 статьи 13.11 КоАП для юридических лиц.
Коллеги, очень умиляет ситуация, с точки зрения размера ответственности в наших делах сутяжных, например:
Когда мы даём доверителю свои паспортные данные, что бы он нотариально удостоверил доверенность, по логике он должен меня уведомить как он будет их хранить (в переносном сейфе), как будет давать нотариусу, как потом уничтожит, как докажет, что не сделал копию.
По сути доверитель не отвечает, даже если копию моего паспорта просто кинет на улице :)
А уж я получив эти бесценные сведения в виде паспортных данных доверителя, должен их трепетно хранить и лелеять, под угрозой принятия в отношении меня Роскомнадзором - Экстерминатуса :@
Мы доверяем, больше, чем доверяют нам (angel)
Уважаемая Ольга Юрьевна, низкий Вам поклон!
Прочитал публикацию, комменты, пообщался с коллегами, схватился за голову, и впору кричать карауууул... :x
Более нечего писать, хотя мог бы.
Просто кое-кто нашел способ хорошо срубить на нас (cash)
Уважаемый Андрей Валерьевич, благодарю за интерес к публикации
Уважаемая Ольга Юрьевна, адвокаты к ИП относятся или физ лицам? И если у нас не предпринимательская деятельность, то не должны уведомлять?
Уважаемая Наталья Михайловна, АП РО уже сделало рассылку писем по коллегиям, кабинетам и т.д. о том, что адвокат является оператором ПД, а также на электронку образцы уведомлений, как их заполнять и т.п.
Уважаемая Наталья Михайловна, Ирина Викторовна правомерно утверждает, что адвокаты являются операторами персональных данных. Просто в законе о перс данных есть условие о том, что не все операторы подают Уведомление в РКН. В ленте выше я в обращении к Морохину Ивану Николаевичу предложила определенный анализ персональных данных. Если будет желание прочтите, там я попыталась прояснить вопрос о том, чем и как адвокаты оперируют
Уважаемая Наталья Михайловна, я полагаю это зависит от того, пользуется ли адвокат автоматической обработкой перс. данных, или нет. Например, у некоторых адвокатов есть свои сайты с формами обратной связи для потенциальных доверителей. Если они заполняют такую форму и отсылают вам свои данные (имя, телефон, e-mail), то можно говорить о том, что идет автоматизированная обработка перс. данных, а значит, надо регистрироваться.
Коллеги, тут ещё мне один знакомый коллега напомнил про Постановление Верховного Суда РФ от 05.08.2011 №20-АД11-3
Уважаемый Владислав Александрович, В Постановлении ВС РФ ссылка на норму которую отменили: «пункт 2 части 2 статьи 22 указанного Федерального закона определяет, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом».
Но я пришла к такому же выводу на основе действующего на сегодняшний закона о перс данных.
Мне было бы интересно узнать Ваше мнение об этом. Извините, я ссылки делать не умею, поэтому прошу на ленте посмотреть мое обращение к Ивану Николаевичу Морохину о солидарности с ним и проведенном анализе. И сообщить, что Вы об этом думаете
Уважаемая Ольга Юрьевна, думаю, Вы имели ввиду вот этот пост (ссылка делается просто: находите пост, на который желаете сослаться и вверху находите значок #, тыкаете на него правой кнопкой мыши и жмёте «копировать ссылку», потом в своём посте выделяете слово, жмёте на значок цепочки и, в появившемся окне тыкаете снова правой кнопкой мыши и жмёте «вставить»).
Теперь о том что я думаю: :@ :@ :@ :@ :@ (devil) (headbang) и т.д., и т.п.
Избыточное правовое регулирование, когда поверх адвокатской тайны пытаются навесить «оператора» вызывает у меня стойкое желание опять нарушить закон о запрете курения в стенах Государственной Думы… Запрет на запрете сидит и запретом погоняет! Где-то писал уже, что КС РФ квалифицирует подобное как нарушение принципа правовой определённости.
Помнится также, что Россия обязалась соблюдать пакты ООН, в том числе документ, который называется «О роли юристов», и этот документ не допускает препятствия в осуществлении профессиональной деятельности.
В итоге моё мнение простое: мы часть системы отправления правосудия, потому ничего не должны, кроме как исполнять свои профессиональные обязанности.
Запрет на запрете сидит и запретом погоняет!Уважаемый Владислав Александрович, Вы совершенно правы — никакое «уведомление», «регламент» или «постановление», в принципе не могут предотвратить продажу на чёрном рынке баз данных, уворованных у банков, ОПСОСов и т.п. источников, в т.ч. и госконтор, но зато делают буквально каждого чем-то обязанным и в чём-то виноватым, т.е. реальной целью всех этих «регулировок» является создание видимости бурной деятельности и оправдание содержания за счёт налогоплательщиков целой армии контролёров (devil) :x (smoke)
Уважаемый Иван Николаевич, у нас в Тамбове региональный центр завален уведомлениями, люди в очереди стоят и там и на госуслугах. Жуть!
Уважаемый Иван Николаевич, ещё плюсую сотовые компании (менеджеры имеющие доступ к ПД трудоустраиваются и увольняются очень часто) и маркетплейсы… Кстати уже и использованием данных из маркетплейсов, совершаются новые виды мошенничеств… Эххх… Интересно, «они» действительно, не знают, как решить проблему незаконного использования ПД... :?
Уважаемый Владислав Александрович, большое Вам спасибо! И пост указали, тот на который я сослалась, и прекрасно объяснили правила формирования ссылки
Уважаемый Владислав Александрович, тогда получается, что ни адвокаты, ни свободнопрактикующие юристы уведомлять РКН не обязаны.
Уважаемый Олег Юрьевич, вероятно. С момента принятия этого акта ВС РФ прошло время и были изменения в законодательстве — надо сопоставлять и думать.
Вообще я уже либо в третий, либо в четвёртый раз эту круговерть наблюдаю. Вносят изменения в Закон «О персональных данных», всех начинают пугать, все начинают бегать. Потом, спустя полгода, начинают вываливаться разъяснения, что этого не надо было делать, что вот надо к людям помягше, а вот тут — в мыслях поширше...
Посмотрю, понаблюдаю за очередной беготнёй. Мне просто интересно как они будут, например, самозанятых ловить, или маклерских-риэлтеров, всяких кочующих посредников типа турагентов, магазины, сервисные центры и т.п. с их бонусными программами и сервисными картами…
Уважаемый Владислав Александрович, по самозанятым могут «скооперироваться» с налоговой… в приложении, фиксируются виды оказываемых услуг, и доходы от этой деятельности… дальше «подсказывать» как «вычислить» думаю будет лишним…
Уважаемые коллеги! Можно подготовить обращение в адрес контролирующего исполнение данного фед. закона органа (Роскомнадзор) с просьбой разъяснить — относятся ли адвокаты и юристы оказывающие услуги физ.лицам, операторами обработки персональных данных.
Уважаемый Сергей Николаевич, вангую:
— в ответе РКН укажет, что по его высочайшему мнению, ВСЕ юристы / адвокаты (и вообще все подряд) являются операторами ПД.
— этот ответ РКН станет ориентиром для всех остальных контролёров и судей.
— все попытки доказать обратное, будут упираться в этот самый ответ — «ну мы же вам уже давно всё разъяснили, и если вы не поняли, то сами виноваты».
Так что от такого запроса, вреда будет больше чем пользы (smoke)
Уважаемый Иван Николаевич, то есть работать дальше и считать, что это изменение и действие данного закона не касается нашего сообщества. Не согласен! Хорошо, представим, что они решили проверить исполнение нами законодательства или по жалобе кого-либо, в этом случае, если у них настрой все таки найти нарушение или посчитают, что нарушаем, то в этом случае попадаем однозначно по факту на штраф (немалый). Хотя можно это и оспорить. Но я все таки оптимистично настроен при таких обращениях. Я не раз практиковал такой подход к разрешению вопроса, при этом «перегиба» в разъяснении не встречал со стороны уполномоченного органа - лучше быть вооруженным, чем иметь риски или неопределенность. При этом появится возможность подумать и найти варианты для более комфортного исполнения законодательства. Для суда разъяснение уполномоченного органа не является руководством для принятия решения, а нормой права тем более. Конечно ваше право, но я бы поступил именно так!
Уважаемый Сергей Николаевич, не знаю о какой неопределенности идет речь… Нам АП РО уже прислало письмо о том, что адвокаты — операторы персональных данных, и рекомендации по заполнению уведомлений…
Уважаемая Ирина Викторовна, ну и отлично, значит этот вопрос снимается с повестки, работаем в соответствии с требования ФЗ №152.
Уважаемый Сергей Николаевич, я только ЗА вооруженность нашего сообщества, но понимаю, что скороспелые и недальновидные шаги могут дать и обратный результат, поэтому любые действия, направленные на защиту от произвола «контролёров», нужно продумывать и просчитывать на много шагов вперёд, чтобы результат был прогнозируемым и действительно полезным ;)
Уважаемый Иван Николаевич, все понятно. Это как из одних вариантов решения данного вопроса, но никак не единственно рациональный и для всех случаев вариант решения. Вообще я сам работаю с этим фед.законом более 20 лет и ситуации были разные. Иногда в спорных или других случаях приходилось и обращение к уполномоченному органу писать, чтобы иметь позицию для принятия решений и дальнейших действий. А так закон суровый и серьезный, лучше «перебдеть», чем нет. Но зато исполнили, соблюдаем и спим спокойно!
Уважаемый Сергей Николаевич, есть у меня один старинный клиент, который прям по жизни борец за правила и справедливость. Можно его попросить начать писать жалобы на моих процессуальных противников, а там посмотрим как они будут отбиваться… Вообще-то я думал, чтоб он на меня жалобу написал, но сейчас времени нет этим заниматься.
Уважаемый Сергей Николаевич, Роскомнадзор уже делал публикации, например, публикация «Адвокаты — операторы персональных данных», на своём официальном сайте, а именно:
↓ Читать полностью ↓
Мотивация рассылки писем адвокатам, как потенциальным операторам персональных данных состоит в следующем:
1) Адвокат осуществляет свою деятельность согласно ст. 1 Федерального закона от 31 мая 2002 года № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации».
2) С точки зрения налогового законодательства адвокаты – физические лица.
3) Перечень действий, предусмотренный ст. 3 п.п.3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и формирующих понятие обработки персональных данных, адвокаты осуществляют на основании ч.2 ст. 2 Федерального закона от 31 мая 2002 года № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации».
4) Закон не может определить цель обработки, поскольку цель достигается только субъектом посредством выбора того или иного действия. Федеральное законодательство регламентирует или же регулирует то или иное направление деятельности.
Цель обработки адвокаты определили, выбрав статус адвоката, а не нотариуса или судьи т.д., кроме того, цели обработки в ходе оказания услуг адвоката могут быть разными и, соответственно, при этом могут обрабатываться различные категории персональных данных. Например, цель — составление заявления от имени доверителя – предусматривает один набор категорий персональных данных. В то время как цель – запрос в медицинское учреждение или комиссию предусматривает ещё и специальные категории персональных данных.
Из всего сказанного следует, что адвокаты – операторы персональных данных. Остается только в индивидуальном порядке выявить подпадают они под обязанность подачи уведомления или нет. Для чего и осуществляется рассылка наших информационных писем.
Ответ на наши письма – запросы, естественно обязателен, о чем и дается разъяснение. Ответственность за непредставление ответа на информационное письмо-запрос Управления Роскомнадзора по Чеченской Республике адвокаты несут по статье 19.7 КоАП РФ, которая так же предусматривает наказание физических лиц. Отмечу, что классифицируется в этом случае нарушение ч. 4 ст. 20 Федерального закона от 27.07.2006 № 152ФЗ «О персональных данных», но никак не нарушение ч.2 ст.22 того же закона. Вопрос обязанности предоставления именно уведомления об обработке персональных данных в письме не ставится, поскольку контролирующий орган может это выявить только в ходе проверки. Но, в то же время, ответственность за отношение к своим обязанностям и достоверность сообщаемой информации о своих действиях, адвокаты несут в соответствии с КоАП РФ.
Из опыта общения с адвокатами, получившими наши информационные письма, к сожалению, напрашивается вывод: спорят все, однако никто не хочет просто прочесть Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных». Вместо этого адвокаты сломя голову ищут правоприменительную практику, которая не является эталоном.
Уважаемый Сергей Николаевич, а зачем нам разъяснения Роскомнадзора?! Ведь мы де факто, и де юро, — субъекты оказания юридической помощи на профессиональной основе… Тем более разъяснения Роскомнадзора, не имеют никакой юридической силы… И зачем Роскомнадзору
«брать не себя ответственность»сообщать адвокатам/юристам, что мы не операторы?!… Если тема «ПД» имеет такое важное значение?