Работодатель автоматически становится оператором, когда получает данные и начинает с ними что-то делать. И даже не важно в этой вопросе, получил ли он согласие.Цитата:
Сообщение от id324774334
Вид для печати
Работодатель автоматически становится оператором, когда получает данные и начинает с ними что-то делать. И даже не важно в этой вопросе, получил ли он согласие.Цитата:
Сообщение от id324774334
Я имела ввиду, становится ли он оператором, который должен быть зарегистрирован в РКН. В свете выше появившейся информации.Цитата:
Сообщение от Январь
Одного ИП я зарегистрировала-а вдруг зря и у него проблемы возникнут (в смысле начнут проверять, да не дай бог, не только документально, а еще и в офис придут).
А почему нет? Ну только если вы всё на бумаге делаете. Печатная машинка есть? ;)Цитата:
Сообщение от Fraxine
Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
7) включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Серьезно полагаете, что Роскомнадзор располагает такими трудовыми ресурсами?Цитата:
Сообщение от Fraxine
Очень надеюсь, что нет :).Цитата:
Сообщение от Январь
Добрый день уважаемому сообществу. Имею вопрос по данной теме. Думаю многим он возможно покажется глупым, поэтому заранее извиняюсь если кого-то триггерну этим вопросом. Итак, дано: оффлайн-магазин на одном из рынков Москвы, зарегистрированный на ИП. К этому ИП я не имею никакого отношения и его проблемы меня в общем-то не волнуют. Но по давней дружбе веду группу в вотсапе клиентов этого магазина. В этой группе около 400 человек, я единственный админ группы. Пишу 1-2 раза в неделю об акциях, поступлениях товара и прочее. Попадают люди в эту группу так - продавец предлагает покупателю вступить, если тот хочет, то продавец записывает на бумажке номер телефона и передает мне. А я уже добавляю контакт. Никаких других персональных данных у меня нет. Ни имени, ни возраста , ни упаси Господь паспортных данных. Мне как физ лицу, ведущему такую группу в мессенджере надо подавать какое-то уведомление? Еще раз прошу прощения если кому-то покажется мой вопрос неуместным. Но буду рад любому ответу.
И отчётность в фонды и ФНС заполняете от руки на типографских бланках.Цитата:
Сообщение от Январь
2007max1, не знаю, как бы это могло быть истолковано с точки зрения не то что закона, а органов, его толкующих (пардон за тавтологию и каламбур), но вы в данном случае работаете от лица ИП, так что по логике (обычной, бытовой, которая нередко расходится с извилистой логикой контролирующих органов) это его головная боль.
Как и неоформленные трудовые отношения между вами и ИП, потому как действующее законодательство не предусматривает безвозмездную помощь в предпринимательской деятельности "по старой дружбе" или родству - хотя многим ИП помогают члены семьи, но понятие "семейный бизнес" так же в России законодательно не существует. Так и бухгалтер "по старой дружбе" или как родственнику может помогать считать налоги и сдавать отчёты.
Деньги на ветер.Цитата:
Сообщение от id1952180
2007max1, я бы пока не заморачивалась этим вопросом. Т.к. нет (скажем так) юридически оформленных отношений. Кто с кем и где общается с передачей какой-либо информации, не сфера контроля Роскомнадзора (вот другие органы? вполне возможно). Это как любая группа детсада, школы, двора и т.п. Допустим, даже если я (физик) передам свои данные (в полном и подробном объеме), другому физическому лицу на бумаге, устно или в любом мессенджере, это не значит, что надо сдаваться в Роскомнадзор. Успехов!
Сохранила черновик. Как теперь его найти?
Нигде нет инфы. При заходе в форму дает новую.
в истории браузера поищите, а на будущее при сохранении черновика там выдается ссылка, эту ссылку надо сохранить. и далее заходить по нейЦитата:
Сообщение от piv-piv
Написано же выше - https://forum.klerk.ru/showthread.ph...1#post55221949Цитата:
Сообщение от piv-piv
...Ой,как интересно всё!!! А что,если ИП не умеет с ПК работать,а данные в сбис на пк племянника передает. Так что ж,теперь и племянник будет оператором? Эдак мы замусорим весь роскомнадзор...:D. У меня много ИП-ков есть,которые с пк не дружат.Цитата:
Сообщение от Январь
Ну,и короче : из всего здесь прочитанного,я склоняюсь к тому,что просто ИП-кам ,работающим с операторами СБИС и т.п.,не надо регистрироваться.В противном случае,то- каждый коснувшись ПК и введя туда фио и снилс некоего человека-уже оператор!И должен отвечать за то,что написал. Получается что-то неправдоподобное.И с кем не поговоришь,ответ один:"А это чё такое? Ну ,проверят,тогда будем думать". А ,и то взять: а почему Роскомнадзор не присылает каждому напоминалку,рассылку и т.п.? Ведь основная масса (сколько не интересовалась) ничего об это и не слыхивали -ни руководители,ни предприниматели. Так что же всё-таки -это такое?
Не надо писать ерунды. Оператор тот, кто собирает данные.Цитата:
Сообщение от Таня GH2
Ну почему же не присылает? Очень даже присылает. У меня вот двое таких ИП есть, которым прислали. Но основной массе, да, не присылают. Причтны плпадания в "выборку" РКН я не знаю. Хотя...один такой ИП торгует на МП, а у другого есть сайт. Но есть и другие интернет-продавцы и владельцы сайтов, которым не присылали ничего, но они точно в РКН не зарегистрированы. Я "засьавляю" ИП скмих решать будут они регистрироваться или нет.
Потому что штраф именно за неподачу уведомления будет введен только с 30 мая 2025 ;)Цитата:
Сообщение от Таня GH2
а.. поясню.Цитата:
Сообщение от Январь
Тут юристы объясняют так:
Тот, ИП, который взял в руки паспорт и снилс работника, и дошел с ними до своего компьютера, открыл сайт СБИС /Контур и еже с ними, а затем ввел данные в форму ввода и нажал кнопку сохранить, а затем вернул паспорт и снилс работнику, и забыл про них навсегда - он несомненно Оператор ПД!
Но есть главный нюанс - он тот оператор, который не осуществляет автоматизированную обработку ПД.
В данном примере, он ПД даже на бумаге у себя не хранит.
Не могут данные с его компьютера утечь - их там попросту нет!
Данные о паспорте и снилс хранятся уже не на его компьютере, а у СБИС.
Речь идет о делегировании.
Не осталось у ИП этих данных, нечего ИП больше ни хранить, ни обрабатывать.
Чтобы этому ИП посмотреть номер снилс, ему вначале нужно постучаться в СБИС и попросить ему эти данные показать, а если СБИС откажется, то он этот снилс никогда и не увидит больше.
Да, этот ИП тыкал пальцами в компьютер, и именно так данные и попали на сервера СБИС, но как утверждает Правительство, (в своем Постановлении от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"), данный ИП является Оператором, который осуществил обработку персональных данных, без использования средств автоматизации (неавтоматизированную).
А раз так, то он теперь не обязан подавать уведомление в РКН.
Вот тут какая мысль юридическая.
Забыл ответить на этот вопрос.Цитата:
Сообщение от Январь
Как я понял, есть два главных отличия:
1) у ИП со СБИС/Контур и данные и программа их обработки хранятся в СБИС/Контур (у ИП на компьютере нет ни программы ни данных)
у ИП с 1С и данные и программа их обработки хранятся на компьютере ИП (установлена программа и закачана в комп база 1С)
2) В оферте СБИС/Контур должно быть сказано, что они принимают от Оператора ПД его персональные данные, как третье лицо, и далее становятся Оператором этих данных (они, а не этот ИП оператор, теперь хранят, обрабатывают, защищают, удаляют и т.д. эти данные, они теперь за них отвечают).
В оферте 1С будет сказано, что 1С предоставил ИП только программный продукт, который нельзя копировать, модифицировать, и вообще использовать как-то неправильно. Не отвечают 1С за те данные, которые ИП внесет в установленную 1С на свой компьютер, не охраняют их, так как 1С не принимали никаких данных от ИП для обработки, а наоборот, это ИП принял от них их программу 1С, чтобы самому в ней свои данные обрабатывать.
Вот так я понял то, что до меня донесли.
Облачная 1с?Цитата:
Сообщение от id1952180
Обработка ПД по поручению? Да, бывает, только при этом с каждого субъекта ПД надо согласие собирать.Цитата:
Сообщение от id1952180
И совершенно не понятный момент: этот ИП данные в СБИС с какой целью ввел? Что-то мне подсказывает, что именно для того, чтобы с помощью ПО СБИС работать с этими данными (=заниматься обработкой с использованием средств автоматизации)
И весьма сомнительнаяЦитата:
Сообщение от id1952180
Как я понимаю, насколько я разобрался в вопросе, у вас самая незавидная ситуация:Цитата:
Сообщение от 2007max1
Уведомление должны подать ВСЕ операторы персональных данных, то есть те лица [физические лица, индивидуальные предприниматели, юридические лица, гос. органы], которые каким-либо образом взаимодействуют с персональными данными физических лиц. Исключение (неавтоматизированная обработка).
Таким образом, вы точно оператор ПД тех лиц, чьи телефоны добавили в группу, предварительно установив на свой телефон программу, причем иностранную, в которой вы храните данные, да еще и осуществляете их трансграничную передачу (через сервера находящиеся за пределами РФ). Если вдруг данные этой группы утекут в сеть, вас могут очень сильно оштрафовать, как впрочем и за то, что вы не стали подавать уведомление в РКН
Совершенно согласен!!!Цитата:
Сообщение от Таня GH2
Большинство наших контрагентов еще не появились в реестре РКН
А кого из людей, близких к бизнесу, я не спрашиваю лично, так только пугаю или озадачиваю - говорят ничёсе, погуглим тоже...
Учитывая то, что Закон действует давно, а люди до сих пор удивляются, это все очень и очень странно
Если в оферте облачной 1С написано, что они как третье лицо принимают ПД, чтобы дальше самостоятельно их обрабатывать, тогда Облачная 1С = СБИСу / Контуру.Цитата:
Сообщение от Январь
Тут важно одновременное выполнение двух условий.
Не просто предоставили свое облако для хранения информации, а еще и заявили, что принимают от Пользователя-Оператора его ПД для того, чтобы самим за него их обрабатывать.
По логике вещей, по понятиям, вы правы.Цитата:
Сообщение от Январь
Но с юридической точки зрения ситуация другая.
Контур, например, пишет в оферте, что он Абонент Оператор передает, а Контур Оператор принимает его ПД для их обработки и перечисляет там все цели (очень много целей пишет).
Т.е. там прямо прописана мысль, что это не облачная программа, в которой Абонент-Оператор будет обрабатывать свои ПД, а что это Сервис, который далее сам будет обрабатывать ПД полученные от Абонента-Оператора.
И по факту, так и происходит. Я прошу Контур создать отчет - он говорит - "ок", и создает отчет автоматически, и говорит "выполнено". Я говорю контуру - отправьте отчет в ФНС, он говорит - "ок" и отправляет, и снова говорит "выполнено".
Моя задача - это сообщать в Контур, также как однажды снилс в него ввел, данные о первичных документах (через форму интерфейса), и давать общие команды нажимая на кнопки (закройте апрель, оформите отпуск... и тд.) а далее они обязуются выполнить команды в автоматическом режиме сами.
(я их не рекламирую, не хвалю, они не идеальные, я про суть их продукта)
Ну вот если пример из жизни найти:
Если мне надо выкопать яму на участке, то я могу эту услугу заказать у компании, по договору ( приедет рабочий с лопатой и выкопает яму). Тогда, по понятиям, можно сказать, что я, на своем участке, выкопал яму, а де юре - яму на участке мне копала сторонняя компания, а по факту - так вообще копал землекоп.
Соглашусь!Цитата:
Сообщение от Январь
Если бы я не сомневался, то я бы тут не обменивался идеями, в сообществе.
Юристам тоже пока не знают, какие будут споры в Судах и какие решения будут чаще всего выносить Судьи (какая Судебная практика в итоге сложится).
Вероятнее всего, РКН вначале будет штрафовать, а потом людям придется обжаловать штрафы в Суде.
И тут есть два очевидных пути:
1) Это утвердится в своей позиции, что делегирование ПД работников в сервисы а ля СБИС / Контур избавляют работодателя от необходимости регистрироваться в реестре РКН;
Удалить с сайтов все куки и формы сбора данных (например выставить просто сайт-визитку с телефоном и адресом почты организации, чтобы люди знали куда звонить /писать);
Утвердится в позиции, что заявка поступившая на телефон или адрес почты не содержит персональных данных контрагентов
(ведь рабочий телефон компании и рабочий адрес эл.почты компании - это не персональные данные физических лиц, они не принадлежат работникам и их не идентифицируют);
Утвердится в позиции, что контактные данные поставщиков - это также не персональные данные физических лиц;
Утвердится - это собрать жесткую позицию подкрепленную Законами, Постановлениями, Решениями ВС, склеить их мнениями и разъяснениями юристов,
и быть готовым отстоять свою позицию в Суде. И если все же пришлют штраф, то пойти, и доказать, что у компания осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации, Единожды, и далее спокойно сосредоточится на бизнесе.
2) Это заморочиться (именно заморочиться, а не скопировать бездумно чье-то уведомление), и прямо вдумчиво составить уведомление, параллельно создавая все необходимые внутренние документы, и все что необходимо для того, чтобы когда инспектор РКН придет проверить, а судя по информации в статьях интернет они проверяют тех, кто внесен в реестр, не получить новые предписания и штрафы за то, что что-то не так организовано и т.д. И быть и далее готовыми к тому, что будут регулярно проверять, в первую очередь тех, кто у них в списке, кого они знают, а также, что как и ФНС, они будут регулярно менять свои стандарты, отчеты, требования, и придется расширить штат людьми, которые будут этим всем заниматься.
В этом смысле первый путь, если он реален, и проходим, дает больше свободных ресурсов в будущем.
id1952180, а что мешает подать сведения в Роскомнадзор?
почитайте баталии https://www.klerk.ru/buh/news/647986/#comment__1376033
https://www.klerk.ru/blogs/e-office2...mment__1375274
И запрещать контрагентам передавать ФИО исполнителя? Не работать с ИП и физлицами?Цитата:
Сообщение от id1952180
Нет у них столько ресурсов, чтобы детально регулярно проверять. А вот зацепить любое лицо, зарегистрированное в ЕГРЮЛ или ЕГРНИП, но не подавшее уведомление - легко.Цитата:
Сообщение от id1952180
+1Цитата:
Сообщение от Татьяна-Васильевна
А по прекрасным формулировкам закона даже если нет обработки автоматизированным способом, это совершенно не значит, что всю иную ересь не надо делать (политики, согласия, и т.д. и т.п.)
Добрый день! Дату начала обработки перс.данных ставим, образование фирмы?
+++Цитата:
Сообщение от Январь
Это очень сомнительное утверждение. Да, данные хранятся в СБИСе, но собирает их не СБИС. Ему ваши данные нафиг не нужны. И если вы их не внесете, то и обрабатывать их он не будет. Да, и обрабатывает их не он, не только он точнее. Обрабатываете их вы, да - нажимая кнопки и формируя отчеты. Но СБИС не сам это делает, а вы нажимая кнопки, заставляете его это делать. То есть вы обрабатываете данные с помощью программы. А это и есть автоматизированная обработка.Цитата:
Сообщение от id1952180
Тут скорее будет солидарная ответственность. Вы отвечаете как оператор (оператор тот, кто собирает данные для своих нужд), а СБИС отвечает со своей стороны, как обработчик данных. И не важно, что там в офертах написано от слова совсем - смотреть будут по факту.
А неавтоматизированная обработка это, например, если вы вахтер и записываете посетителей и их паспорта в журнал. Хотя таким данным "приделать ноги" на мой взгляд намного проще.
Вот вам похожий пример - если вам надо срубить дерево на своем участке, можете сделать это сами, нанять организацию или мигранта. И совершенно не важно кто де факто или де юре это сделал - оштрафуют за незаконную вырубку владельца участка, то есть вас.Цитата:
Сообщение от id1952180
В п.1 687 постановления написано:Цитата:
Сообщение от AviaNavigator
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Работа любой программы осуществляется при непосредственном участии человека. Значит, автоматизированной обработки ПД не существует?
Кроме того, здесь речь про "использование, уточнение, распространение, уничтожение персональных данных", а есть еще сбор, запись, хранение. Ведь данные сначала были собраны, потом записаны, потом хранятся в системе ПД, и только потом используются.
Действительно, предположим, что работодатель в трудовой договор вносил данные вручную. Но потом-то он его должен хранить. И получается, что даже если всю отчетность он сдает на бумаге, причем вписывает вручную данные в пустой бланк, то хранение трудового договора уже заставляет его регистрироваться. Я бы с радостью не регистрировалась, если бы нашлась лазейка, но чтобы быть в ней твердо уверенной.
Цитата:
Сообщение от Татьяна-Васильевна
Мешают два момента:
- это количество времени и труда, которые нужно затратить на подготовку всех документов, на основании которых создается уведомление, и создание самого уведомления;
- это мысли о том, какие будут последствия попадания в реестр РКН.
Скопипастил очень точное видение одного человека:
Для того, чтобы корректно заполнить такое уведомление необходимо, как минимум:
провести аудит вашей деятельности, то есть ОТ и ДО понять, как в рамках вашей деятельности, проекта или компании происходит взаимодействие с персональными данными на всех этапах от сбора до уничтожения
исправить все те моменты, где взаимодействие с персональными данными происходит не так, как это нужно [например, отключить Google Analytics с вашего сайта / сменить сервис для рассылок на тот, что принадлежит российской организации / сделать правильные чек-боксы на сайте / иное]
разработать документы по персональным данным в соответствии с требованиями Закона, которые требуются именно вам [например, политика в отношении обработки персональных данных / согласие на обработку персональных данных / согласие на распространение персональных данных / иные]
организовать правильное согласие посетителей ваших интернет-ресурсов [например, сайтов или чат-ботов] с документами, чтобы они не просто висели на сайте, а закрывали ваши риски
и огромное количество иных моментов, которые важно учитывать всем операторам персональных данных.
Вы должны понимать, что внесение вас в реестр операторов персональных данных — это исполнений всего лишь одной из обязанностей оператора.
При этом подача уведомление = уведомление РКН о том, что вы существуете и работаете с персональными. То есть повышение вероятности проверок соблюдения вами требований Закона.
То есть просто подать уведомление недостаточно.
Они и так знают, что вы существуете из реестров налоговой, и имеют все основания предполагать, что вы работаете с ПД (все работают, по большому счету). И вот тут - неподача уведомления как раз и дает повод вас проверять в первую очередь.Цитата:
Сообщение от id1952180
А неподача не делает вас "неоператором" и не освобождает от все тех же обязанностей.Цитата:
Сообщение от id1952180
Уведомление называется о НАМЕРЕНИИ осуществлять обработку персональных данных
я так понимаю, что подав это уведомление, мы говорим, что возможно будем обрабатывать ПД.
никто нам в будущем (когда может кто-нибудь разберется в этом законе) не мешает сказать, что "а мы по сути не являемся оператором потому то и потому то" и подать в РКН уведомление о снятии с учета.
Вы меня поразили)) у нас (мы вдвоем заполняли) весь процесс занял минут 30-40, но нас постоянно отвлекали, да и рассуждали мы пространно. Поставить галочки в строчках???Цитата:
Сообщение от id1952180
Про остальное (хранение, обработка и передача персональных данных), которая всегда существовала и до момента подачи сведений в Роскомнадзор. Как-то было? Понятно, что при значимости данных событий следует потратить время, а может быть и деньги, чтобы сплясать танец с документами. Каждый принимает решение сам по поводу документов (кто-зачем и почему). У нас этим занимается юрист и кадровик, может быть привлечем сторонних специалистов (допустим купим шаблоны). Но говорить о том, что сидеть и не подаваться - глупо. P.S. это мне напоминает про подачу сведений в военкомат. Давно привыкла к пугалкам штрафами (особенно веселят многомиллионные). За всю мою долгую практику, такие штрафы не встречала. Как правило, ограничиваются предупреждением. Особенно мне понравилось (повеселила) в Вашем значимая фраза "провести аудит вашей деятельности, то есть ОТ и ДО"
+Цитата:
Сообщение от AviaNavigator
Вот где собака порылась. Из телеграмма РКН
Ответственность и лидерство: смогут ли законы и крупный бизнес гарантировать безопасность персональных данных?
Ответ искали 21 мая на сессии «Защита персональных данных – стимул или барьер для развития технологий» XIII Петербургского международного юридического форума.* *
«К сожалению, сегодня работают только стимулы – административная ответственность. Только после введения законов операторы начинают бережно относиться к персональным данным граждан. То же самое касается и утечек. После введения ответственности, вплоть до уголовной, к компаниям, занимающимся информационной безопасностью, очереди растянулись на месяцы», – рассказал Милош Вагнер, заместитель руководителя Роскомнадзора.*
Наблюдая за этой ситуацией, государство будет и дальше использовать наиболее эффективные механизмы понуждения к правильному правовому поведению.
«Проблемы с утечками персональных данных привели уже к общенациональному масштабу. И принятые законы – реакция на происходящее. Это вопрос национальной безопасности, национального суверенитета. Государство будет и дальше стремиться доступными способами защищать граждан и их приватность».* *
Есть ли альтернатива? Есть
⚡️ Создать класс крупных обработчиков персональных данных, которые гарантировали бы государству соблюдение всех строгих требований по безопасности, требований по бережному отношению к данным, к гражданам и к их праву на конфиденциальность частной жизни.
Такие компании могли бы предоставлять более мелким, в том числе индивидуальным предпринимателям, комплексный сервис по работе с данными и их защите. Это было бы ответственное поведение со стороны крупного бизнеса.
P.S. Нужно больше золота Милорд!(С)
Аааааа, ну с этого и надо было начинать
Интересно получается, сам РКН провоцирует на нарушение Закона о ПД. Отправить уведомление, как указано на сайте РКН, можно в электронном виде, т. е. с помощью автоматизированного заполнения уведомления. Поскольку в уведомлении нужно указать ПД ответственного лица, то их надо собрать, сохранить и передать в РКН. Так что первично: уведомление или работа с ПД? В этом случае логично считать, что сначала работа с ПД, затем уведомление. Это же неважно, сколько человек у вас в базе - один или сто.
