Работодатель автоматически становится оператором, когда получает данные и начинает с ними что-то делать. И даже не важно в этой вопросе, получил ли он согласие.Сообщение от id324774334
Работодатель автоматически становится оператором, когда получает данные и начинает с ними что-то делать. И даже не важно в этой вопросе, получил ли он согласие.
Я имела ввиду, становится ли он оператором, который должен быть зарегистрирован в РКН. В свете выше появившейся информации.
Одного ИП я зарегистрировала-а вдруг зря и у него проблемы возникнут (в смысле начнут проверять, да не дай бог, не только документально, а еще и в офис придут).
Я верю в честность президента,
И в неподкупность постовых,в заботу банка о клиентах,
В кикимор верю, в домовых...
А почему нет? Ну только если вы всё на бумаге делаете. Печатная машинка есть?
Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
7) включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Серьезно полагаете, что Роскомнадзор располагает такими трудовыми ресурсами?
Очень надеюсь, что нет.
Я верю в честность президента,
И в неподкупность постовых,в заботу банка о клиентах,
В кикимор верю, в домовых...
Добрый день уважаемому сообществу. Имею вопрос по данной теме. Думаю многим он возможно покажется глупым, поэтому заранее извиняюсь если кого-то триггерну этим вопросом. Итак, дано: оффлайн-магазин на одном из рынков Москвы, зарегистрированный на ИП. К этому ИП я не имею никакого отношения и его проблемы меня в общем-то не волнуют. Но по давней дружбе веду группу в вотсапе клиентов этого магазина. В этой группе около 400 человек, я единственный админ группы. Пишу 1-2 раза в неделю об акциях, поступлениях товара и прочее. Попадают люди в эту группу так - продавец предлагает покупателю вступить, если тот хочет, то продавец записывает на бумажке номер телефона и передает мне. А я уже добавляю контакт. Никаких других персональных данных у меня нет. Ни имени, ни возраста , ни упаси Господь паспортных данных. Мне как физ лицу, ведущему такую группу в мессенджере надо подавать какое-то уведомление? Еще раз прошу прощения если кому-то покажется мой вопрос неуместным. Но буду рад любому ответу.
И отчётность в фонды и ФНС заполняете от руки на типографских бланках.
2007max1, не знаю, как бы это могло быть истолковано с точки зрения не то что закона, а органов, его толкующих (пардон за тавтологию и каламбур), но вы в данном случае работаете от лица ИП, так что по логике (обычной, бытовой, которая нередко расходится с извилистой логикой контролирующих органов) это его головная боль.
Как и неоформленные трудовые отношения между вами и ИП, потому как действующее законодательство не предусматривает безвозмездную помощь в предпринимательской деятельности "по старой дружбе" или родству - хотя многим ИП помогают члены семьи, но понятие "семейный бизнес" так же в России законодательно не существует. Так и бухгалтер "по старой дружбе" или как родственнику может помогать считать налоги и сдавать отчёты.
Деньги на ветер.
2007max1, я бы пока не заморачивалась этим вопросом. Т.к. нет (скажем так) юридически оформленных отношений. Кто с кем и где общается с передачей какой-либо информации, не сфера контроля Роскомнадзора (вот другие органы? вполне возможно). Это как любая группа детсада, школы, двора и т.п. Допустим, даже если я (физик) передам свои данные (в полном и подробном объеме), другому физическому лицу на бумаге, устно или в любом мессенджере, это не значит, что надо сдаваться в Роскомнадзор. Успехов!
Сохранила черновик. Как теперь его найти?
Нигде нет инфы. При заходе в форму дает новую.
в истории браузера поищите, а на будущее при сохранении черновика там выдается ссылка, эту ссылку надо сохранить. и далее заходить по ней
Написано же выше - https://forum.klerk.ru/showthread.ph...1#post55221949
...Ой,как интересно всё!!! А что,если ИП не умеет с ПК работать,а данные в сбис на пк племянника передает. Так что ж,теперь и племянник будет оператором? Эдак мы замусорим весь роскомнадзор.... У меня много ИП-ков есть,которые с пк не дружат.
Ну,и короче : из всего здесь прочитанного,я склоняюсь к тому,что просто ИП-кам ,работающим с операторами СБИС и т.п.,не надо регистрироваться.В противном случае,то- каждый коснувшись ПК и введя туда фио и снилс некоего человека-уже оператор!И должен отвечать за то,что написал. Получается что-то неправдоподобное.И с кем не поговоришь,ответ один:"А это чё такое? Ну ,проверят,тогда будем думать". А ,и то взять: а почему Роскомнадзор не присылает каждому напоминалку,рассылку и т.п.? Ведь основная масса (сколько не интересовалась) ничего об это и не слыхивали -ни руководители,ни предприниматели. Так что же всё-таки -это такое?
Последний раз редактировалось Таня GH2; 20.05.2025 в 18:37.
Не надо писать ерунды. Оператор тот, кто собирает данные.
Ну почему же не присылает? Очень даже присылает. У меня вот двое таких ИП есть, которым прислали. Но основной массе, да, не присылают. Причтны плпадания в "выборку" РКН я не знаю. Хотя...один такой ИП торгует на МП, а у другого есть сайт. Но есть и другие интернет-продавцы и владельцы сайтов, которым не присылали ничего, но они точно в РКН не зарегистрированы. Я "засьавляю" ИП скмих решать будут они регистрироваться или нет.
Я верю в честность президента,
И в неподкупность постовых,в заботу банка о клиентах,
В кикимор верю, в домовых...
Потому что штраф именно за неподачу уведомления будет введен только с 30 мая 2025
Последний раз редактировалось Январь; 20.05.2025 в 22:25.
а.. поясню.
Тут юристы объясняют так:
Тот, ИП, который взял в руки паспорт и снилс работника, и дошел с ними до своего компьютера, открыл сайт СБИС /Контур и еже с ними, а затем ввел данные в форму ввода и нажал кнопку сохранить, а затем вернул паспорт и снилс работнику, и забыл про них навсегда - он несомненно Оператор ПД!
Но есть главный нюанс - он тот оператор, который не осуществляет автоматизированную обработку ПД.
В данном примере, он ПД даже на бумаге у себя не хранит.
Не могут данные с его компьютера утечь - их там попросту нет!
Данные о паспорте и снилс хранятся уже не на его компьютере, а у СБИС.
Речь идет о делегировании.
Не осталось у ИП этих данных, нечего ИП больше ни хранить, ни обрабатывать.
Чтобы этому ИП посмотреть номер снилс, ему вначале нужно постучаться в СБИС и попросить ему эти данные показать, а если СБИС откажется, то он этот снилс никогда и не увидит больше.
Да, этот ИП тыкал пальцами в компьютер, и именно так данные и попали на сервера СБИС, но как утверждает Правительство, (в своем Постановлении от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"), данный ИП является Оператором, который осуществил обработку персональных данных, без использования средств автоматизации (неавтоматизированную).
А раз так, то он теперь не обязан подавать уведомление в РКН.
Вот тут какая мысль юридическая.
Забыл ответить на этот вопрос.
Как я понял, есть два главных отличия:
1) у ИП со СБИС/Контур и данные и программа их обработки хранятся в СБИС/Контур (у ИП на компьютере нет ни программы ни данных)
у ИП с 1С и данные и программа их обработки хранятся на компьютере ИП (установлена программа и закачана в комп база 1С)
2) В оферте СБИС/Контур должно быть сказано, что они принимают от Оператора ПД его персональные данные, как третье лицо, и далее становятся Оператором этих данных (они, а не этот ИП оператор, теперь хранят, обрабатывают, защищают, удаляют и т.д. эти данные, они теперь за них отвечают).
В оферте 1С будет сказано, что 1С предоставил ИП только программный продукт, который нельзя копировать, модифицировать, и вообще использовать как-то неправильно. Не отвечают 1С за те данные, которые ИП внесет в установленную 1С на свой компьютер, не охраняют их, так как 1С не принимали никаких данных от ИП для обработки, а наоборот, это ИП принял от них их программу 1С, чтобы самому в ней свои данные обрабатывать.
Вот так я понял то, что до меня донесли.
Облачная 1с?
Обработка ПД по поручению? Да, бывает, только при этом с каждого субъекта ПД надо согласие собирать.
И совершенно не понятный момент: этот ИП данные в СБИС с какой целью ввел? Что-то мне подсказывает, что именно для того, чтобы с помощью ПО СБИС работать с этими данными (=заниматься обработкой с использованием средств автоматизации)
И весьма сомнительная
Как я понимаю, насколько я разобрался в вопросе, у вас самая незавидная ситуация:
Уведомление должны подать ВСЕ операторы персональных данных, то есть те лица [физические лица, индивидуальные предприниматели, юридические лица, гос. органы], которые каким-либо образом взаимодействуют с персональными данными физических лиц. Исключение (неавтоматизированная обработка).
Таким образом, вы точно оператор ПД тех лиц, чьи телефоны добавили в группу, предварительно установив на свой телефон программу, причем иностранную, в которой вы храните данные, да еще и осуществляете их трансграничную передачу (через сервера находящиеся за пределами РФ). Если вдруг данные этой группы утекут в сеть, вас могут очень сильно оштрафовать, как впрочем и за то, что вы не стали подавать уведомление в РКН
Совершенно согласен!!!
Большинство наших контрагентов еще не появились в реестре РКН
А кого из людей, близких к бизнесу, я не спрашиваю лично, так только пугаю или озадачиваю - говорят ничёсе, погуглим тоже...
Учитывая то, что Закон действует давно, а люди до сих пор удивляются, это все очень и очень странно
Если в оферте облачной 1С написано, что они как третье лицо принимают ПД, чтобы дальше самостоятельно их обрабатывать, тогда Облачная 1С = СБИСу / Контуру.
Тут важно одновременное выполнение двух условий.
Не просто предоставили свое облако для хранения информации, а еще и заявили, что принимают от Пользователя-Оператора его ПД для того, чтобы самим за него их обрабатывать.
По логике вещей, по понятиям, вы правы.
Но с юридической точки зрения ситуация другая.
Контур, например, пишет в оферте, что он Абонент Оператор передает, а Контур Оператор принимает его ПД для их обработки и перечисляет там все цели (очень много целей пишет).
Т.е. там прямо прописана мысль, что это не облачная программа, в которой Абонент-Оператор будет обрабатывать свои ПД, а что это Сервис, который далее сам будет обрабатывать ПД полученные от Абонента-Оператора.
И по факту, так и происходит. Я прошу Контур создать отчет - он говорит - "ок", и создает отчет автоматически, и говорит "выполнено". Я говорю контуру - отправьте отчет в ФНС, он говорит - "ок" и отправляет, и снова говорит "выполнено".
Моя задача - это сообщать в Контур, также как однажды снилс в него ввел, данные о первичных документах (через форму интерфейса), и давать общие команды нажимая на кнопки (закройте апрель, оформите отпуск... и тд.) а далее они обязуются выполнить команды в автоматическом режиме сами.
(я их не рекламирую, не хвалю, они не идеальные, я про суть их продукта)
Ну вот если пример из жизни найти:
Если мне надо выкопать яму на участке, то я могу эту услугу заказать у компании, по договору ( приедет рабочий с лопатой и выкопает яму). Тогда, по понятиям, можно сказать, что я, на своем участке, выкопал яму, а де юре - яму на участке мне копала сторонняя компания, а по факту - так вообще копал землекоп.
Соглашусь!
Если бы я не сомневался, то я бы тут не обменивался идеями, в сообществе.
Юристам тоже пока не знают, какие будут споры в Судах и какие решения будут чаще всего выносить Судьи (какая Судебная практика в итоге сложится).
Вероятнее всего, РКН вначале будет штрафовать, а потом людям придется обжаловать штрафы в Суде.
И тут есть два очевидных пути:
1) Это утвердится в своей позиции, что делегирование ПД работников в сервисы а ля СБИС / Контур избавляют работодателя от необходимости регистрироваться в реестре РКН;
Удалить с сайтов все куки и формы сбора данных (например выставить просто сайт-визитку с телефоном и адресом почты организации, чтобы люди знали куда звонить /писать);
Утвердится в позиции, что заявка поступившая на телефон или адрес почты не содержит персональных данных контрагентов
(ведь рабочий телефон компании и рабочий адрес эл.почты компании - это не персональные данные физических лиц, они не принадлежат работникам и их не идентифицируют);
Утвердится в позиции, что контактные данные поставщиков - это также не персональные данные физических лиц;
Утвердится - это собрать жесткую позицию подкрепленную Законами, Постановлениями, Решениями ВС, склеить их мнениями и разъяснениями юристов,
и быть готовым отстоять свою позицию в Суде. И если все же пришлют штраф, то пойти, и доказать, что у компания осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации, Единожды, и далее спокойно сосредоточится на бизнесе.
2) Это заморочиться (именно заморочиться, а не скопировать бездумно чье-то уведомление), и прямо вдумчиво составить уведомление, параллельно создавая все необходимые внутренние документы, и все что необходимо для того, чтобы когда инспектор РКН придет проверить, а судя по информации в статьях интернет они проверяют тех, кто внесен в реестр, не получить новые предписания и штрафы за то, что что-то не так организовано и т.д. И быть и далее готовыми к тому, что будут регулярно проверять, в первую очередь тех, кто у них в списке, кого они знают, а также, что как и ФНС, они будут регулярно менять свои стандарты, отчеты, требования, и придется расширить штат людьми, которые будут этим всем заниматься.
В этом смысле первый путь, если он реален, и проходим, дает больше свободных ресурсов в будущем.
id1952180, а что мешает подать сведения в Роскомнадзор?
почитайте баталии https://www.klerk.ru/buh/news/647986/#comment__1376033
https://www.klerk.ru/blogs/e-office2...mment__1375274
Последний раз редактировалось Татьяна-Васильевна; 21.05.2025 в 08:10.
И запрещать контрагентам передавать ФИО исполнителя? Не работать с ИП и физлицами?
Нет у них столько ресурсов, чтобы детально регулярно проверять. А вот зацепить любое лицо, зарегистрированное в ЕГРЮЛ или ЕГРНИП, но не подавшее уведомление - легко.
+1
А по прекрасным формулировкам закона даже если нет обработки автоматизированным способом, это совершенно не значит, что всю иную ересь не надо делать (политики, согласия, и т.д. и т.п.)
Добрый день! Дату начала обработки перс.данных ставим, образование фирмы?
+++
... поскольку вышеизложенное в свете вышеуказанного влечет нижеследующее по отношению к поименованному...
Это очень сомнительное утверждение. Да, данные хранятся в СБИСе, но собирает их не СБИС. Ему ваши данные нафиг не нужны. И если вы их не внесете, то и обрабатывать их он не будет. Да, и обрабатывает их не он, не только он точнее. Обрабатываете их вы, да - нажимая кнопки и формируя отчеты. Но СБИС не сам это делает, а вы нажимая кнопки, заставляете его это делать. То есть вы обрабатываете данные с помощью программы. А это и есть автоматизированная обработка.
Тут скорее будет солидарная ответственность. Вы отвечаете как оператор (оператор тот, кто собирает данные для своих нужд), а СБИС отвечает со своей стороны, как обработчик данных. И не важно, что там в офертах написано от слова совсем - смотреть будут по факту.
А неавтоматизированная обработка это, например, если вы вахтер и записываете посетителей и их паспорта в журнал. Хотя таким данным "приделать ноги" на мой взгляд намного проще.
Вот вам похожий пример - если вам надо срубить дерево на своем участке, можете сделать это сами, нанять организацию или мигранта. И совершенно не важно кто де факто или де юре это сделал - оштрафуют за незаконную вырубку владельца участка, то есть вас.
В п.1 687 постановления написано:
1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
В действительности всё не так, как на самом деле (с)
Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)
