Comments 80
Мы по умолчанию становимся операторами просто оказывая услуги своим клиентам и так или иначе обрабатывая персональные данные клиентов.
Совсем с дуба рухнули?
С подключением. Даже ИП с парой тройкой работников, оффлайн магазином, без сайта, сбора данных клиентов, должен подавать уведомление по логике РКН. По идее даже ИП без работников должен подавать уведомление, ведь он обрабатывает свои перс. данные. Т.е. буквально все в РФ.
Вот только те, против кого и направлены новые штрафы, выйдут сухими из воды, ведь у них есть куча юристов и фирм прокладок, так что крайних не найти. А ненужную работу повесили на ту часть бизнеса, персональные данные с которых никому не нужны в виду их незначительности.
В последние годы бешенный принтер что то совсем разошёлся. Куча кривых, несвязанных и необоснованных отчётностей, растёт просто валом, вместе со штрафами.
ИП без работников. Подавал.
Я тоже - отсылал по почте. Но сегодня на Клерке проскочила новость что часто не регистрируют уведомления. И действительно, проверил по ИНН, нет меня в списках.
Просто заполнить форму уведомления на самом сайте?
Перед этим немного подготовиться в части документов...
В этом конечно проблема - там желательно хорошо вникнуть и создать некий минимальный комплект документов, типа политики, положения, регламентов...
Хотя на одного человека, на самого себя... Звучит шизофренично. Но скорее всего будут проходить по категории неуловимого Джо - пока не нужен - пофигу, найдется повод - причину штрафануть всегда можно нагрести.
И вас с подключением. Вы как предприниматель работаете с контрагентами и клиентами. Для заключения договоров с ними вам нужны их данные. Даже если это простой грузчик, которому нужно выписать пропуск на 5 мин и вы его больше никогда не увидите - будет так или иначе вами обработан и на его данных будет выписан пропуск.
И да, помимо того что вы регистрируетесь в РКН как оператор данных, вы также указываете как вы эти данные будете хранить и/или уничтожать.
Во всем этом есть логика. Т.к. данные могут быть похищены хакерами и в дальнейшем этому грузчику, которому вы выписали пропуск за 5 минут, могут прилепить кредит на 100 лямов или ещё какую-то мошенническую схему. А с регистрацией в РКН смогут определить что данные были слиты, к примеру, у вас. И параллельно под подозрение попадут те, кто не регался в ркн.
Это все часть суверенного интернета, где нет анонимов и все известны.
P.S. это все относится к обработке данных электронным путем. Для бумажных носителей регистрироваться не нужно.
Закон касается только сбора данных физ лиц. А их данные я не собираю, т.к. нет необходимости в этом. Контрагенты это все поголовно юр лица. Грузчики тоже мимо, т.к. магазины без пропускного режима доступны.
По сути все перс. это мои и пары продавцов. И те хранит и обрабатывает онлайн бухгалтерия.
Единственная точка утечки, только у них, т.к. доступ к личному кабинету по аппаратному токену, который всегда дома.
Вы подписываете договор с фирмой, но подписант физ лицо. Значит перс. данные присутствуют в любом договоре.
А какие именно ПДн там будут?
ФИО. И ИНН для ИП. С учётом того что эти данные и так уже давным давно слиты по многу раз, ценности преступникам они никакой не несут. Собственно их и сливать то не надо, у любой организации, эти данные и так публично указаны на сайте, в почте/накладной/чеке. И видит их вся цепочка посредников и левых случайных лиц.
Так значит, эти данные уже и не персональные?
ФИО и ИНН есть в ЕГРИП в открытом доступе если что.
Таблички на надгробиях тоже в открытом доступе, но у Роскомнадзора оказалось иное мнение (автор не указал, удалось ли ему отбиться в апелляции, в первой инстанции проиграл).
А вы в комментарии к этому посту заходили? Там автор мягко говоря много чего не договорил и фото могил это уже так в догонку. Вот ещё одна его статья и там тоже комментарии почитайте. Автор этих постов очень странный и мутный тип.
Кто Вам сказал, что на бумаге - не в счёт?
В Законе написано "на материальных носителях". Бумага вполне себе материальна. Никаких исключений для бумажных документов нет. Если есть, процитируйте со ссылкой на статью Закона или другой юридически значимый документ.
Так и представляю себе самозанятого дворника подавшего уведомление в роскомнадзор о том, что он теперь оператор персональных данных, ведь у него аж два договора с двумя ДУК-ами, а в договоре есть ФИО управляющих, а это персональные данные. Более того, дворнику иногда переадресуют жалобы от жильцов на плохо убранную территорию, там тоже могут встретиться ФИО, да ещё с номером квартиры...
А следующий запрос от роскомнадзора будет о серийных номерах сертифицированных средств, на которых происходит обработка персональных данных. И попробуйте не ответить. Правильно, так их, эти дворники обнаглели уже, весь интернет завален утёкшими персональными данными, надо что-то делать с этим!
Дворник должен организовать хранение персональных данных: - прописать должностные инструкции, внедрить меры физической защиты, завести журналы доступа, поставить видеонаблюдение вокруг места, где он намерен хранить персональные данные, и т.д., и т.п.
Как вообще об этом можно говорить серьёзно, даже если речь идёт не о дворниках? Ведь парикмахеры-то уж точно должны всё это делать. Театр абсурда.
Это ещё что. Несколько лет назад ввели реестр семян и теперь каждая пачка семян должна быть там зарегистрирована. У меня(мелкое ИП с парой офлайн магазинов) порядка двадцати пяти тысяч позиций в базе. Каждую пачку я должен проверить и уничтожить(процедура та ещё бюрократия), если её там нет. Каждая пачка в магазинах и при закупе. Типичная закупка семян это не меньше нескольких сотен пачек раз в день. Проверка только вручную, автоматизации нет.
Пока что присылают только предупреждения, но и штрафы не за горами.
Даже сам текст предостережения, сюр какой то.
На логичный вопрос органу, зачем вы терроризируете розничный бизнес, ведь он семена не из воздуха берёт и возможностей для проверок не имеет, последовал типичный ответ: Закон есть, выполнять!.
Не менее удивляют наш кошелек и коды маркировки ЧЗ на бутылке воды 0,5л. Что они там делают, кроме удорожания конечного продукта?
До меня маркировка пока не дошла, но тоже аукнется. Сейчас куча семян продаётся по цене меньше двадцати рублей, покупают их самая не богатая прослойка населения. И естественно с приходом маркировки, семена ещё удорожатся, а то производители/фасовщики и вовсе откажутся от семян в дешёвой упаковке из за мороки.
ЧЗ - это повышаемость собираемости налогов и пошлин. К качеству продукции отношения не имеет.
Именно это и делают именно для этого и вводится весь бред. Под каждый такой бред нужно что? Создать целую инфраструктуру и конечно эту инфраструктуру нужно содержать те а цены растут...
Хотя это логично. Банальное использование режима самозанятости для сдачи квартиры в аренду. Заключаем договор, а там... опаньки, ПД. Которые арендодатель хранит и обрабатывает.
И более того, арендатор тоже получает на руки второй экземпляр договора - в котором есть персональные данные арендодателя. 8-/ Которые он тоже хранит и обрабатывает. Упс...
С этим проще: договор пишем от руки, тогда нет критерия обработки с использованием технических средств. Подавать уведомление не требуется.
Правда не помню, какие параметры вводятся в ИФНС при создании чека на ФЛ у самозанятого.
На сегодня "формально" любое физическое лицо становиться ОПД, к тому же осуществляя трансграничную их передачу, только по факту наличия и использование смартфона. Вот это действительно "театр абсурда".
А если платежи проходят в телеграм бота, где вся информация о человеке это его числовой идентификатор? Там никакого договора, только публичная оферта
Интересно, а можно как-то, в принципе этого избежать. Например, не записывать фио клиентов, а выдавать им случайный идентификатор, пусть запоминают, а потом предъявляют его? Идентификатор случайный, т.е. связи с перс данными не имеет, но уникальный, т.е к нему можно привязать бизнес-процессы. Чтобы избежать фальсификации, сделать идентификатор длинным, чтобы перебором нельзя было найти соседний в числовом ряду. Выдавать клиенту талон с длинным номером, который будет подтверждать только что это тот же самый клиент, что, например внес предоплату? Ясно, что неудобно, но теоретически, это возможно или нет - избежать хранения любых персональных данных в каком либо виде. Такое своеобразное общество анонимных клиентов обслуживаемых анонимными бизнесменами, где запрещено раскрывать свои персональные данные.
в документе вводившем всё это "безумие", есть четко вытекающие действие что делать. Обращайтесь к специально обученным людям, они решат ваши проблемы с ОПД, вы только не отвлекайтесь от процесса зарабатывания денежный средств.
мысль хорошая, но по закону РКН (https://normativ.kontur.ru/document?moduleId=1&documentId=476043#h222) есть только 3 случая, когда можно не уведомлять. Полагаю, для идентификаторов сработает принцип - всё, что явно не разрешено - то запрещено.
вот если всё писать только на бумаге и расчёты вести как-то мимо банков (там системы с данными), тогда должно проканать.
но из внешнего мира выпилиться группой анонимов будет сложно...
Скрытые доп налоги, как всегда)
Надо мутить Параллельное Государство, со своей финансовой системой, независимой от этой упыриной.
А вообще давно пора бы понять, что какими бы покладистыми мы ни были, с живых с нас не слезут, и будут затягивать петлю всё туже. Если разумно подходить, выбор тут простой - или мы их, или они - нас.
... или валить с наивной надеждой, что там будут душить меньше...
И попытки уже возникают. Очевидно, что все завязано на финансах, по этому в bastion пытаются решить эту проблему через введения свой крипты и распределенной платформы бартерон.
До им ещё долго гайки крутить можно будет, прежде чем люди на самом деле начнут это использовать как замену обычным денежным отношениям.
Впрочем, создатели уверены, что до этого недалеко.
Те, кто "мы", после того как "их", значить, того, сами станут "они" и снова будут "нас"
ИП еще и по определению производитель мусора, даже если разработкой софта занимается. Договор с мусороуборочной должен быть, за отсутсвие могу штраф вписать. Ип всегда и всем должен :) Или отчет обязательный по типу сколько воробьев в течении дня в среднем за окном пролетает или просто денег :)
Единственное, что удивляет в этой истории, почему РКН так щепетильно ограничился только юрлицами, ИП и самозанятыми? А как же физики? У каждого из нас записная книжка в телефоне - кладезь персональных данных и до сих пор не под контролем. Считаю это огромным упущением, над которым РКН следует тщательно поработать, причем обязывать регистрироваться при рождении, а после смерти сдавать накопленные персональные данные в архив под угрозой запрета захоронения.
Не подсказывайте!
Еще и с трансграничной передачей данных, если записная книжка с облаком гугля или яббла синхронизируется. А если там фото есть, то это плюсом и биометрия 😳
А как же физики?
Если следовать массовым юридическим трактовкам, то можно сделать однозначный вывод, что и физики со смартфонами подпадают под эти требования. Причем с трансграничной передачей.
Всему свое время. Есть же ОС Аврора, иначе будет штраф за неправильную обработку пд.
По частному телефону ладно, там исключение есть
Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 28.02.2025) "О персональных данных"
Статья 1. Сфера действия настоящего Федерального закона
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
А если телефон корпоративный, выдается сотруднику в пользование и там стоит симка организации? И используется для коммерческих целей?
Есть мысль направить официальный запрос по этому поводу.
Мне кажется, юристы сильно перегибают палку в своих трактовках. доводя всё до абсурда. Например, вышеупомянутые телефонные книги в смартфонах по таким трактовкам однозначно подпадают под обработку ПД с трансграничной передачей.
Я решил не суетиться. У меня ИП, но работаю я только с несколькими юрлицами и ИП, с физиками не работаю. Скажете, что у меня в договорах ФИО руководителей? Отвечу: во-первых, эти договора на бумаге, а во-вторых, ФИО гендиров юрлиц и ИПэшников - это официально открытая информация.
Также имеются сайты, но ПД на них не собираются. В форме обратной связи нет полей ни телефонов, ни почтовых адресов, ни имени. Куки и ip? Сами по себе это не ПД. Даже вкупе с настоящими ПД - это не ПД, а способ обработки ПД. Например, я использую куку для сохранения выбранного посетителем размера штрифта, т.е. в куку я сохраняю например текст "20px" (размер шрифта 20 точек). Кто-то будет утверждать, что это ПД?
Скажете, что у меня в договорах ФИО руководителей? Отвечу: во-первых, эти договора на бумаге, а во-вторых, ФИО гендиров юрлиц и ИПэшников - это официально открытая информация.
Акты выполненных работ и Акты сверок тоже вручную заполняете и приезжаете подписывать?
Печатаю с компа, что мне высылают, и подписываю. Обработка недоказуема. Но главное, о чем в страшилках не говорят, ФИО руководителей юрлиц и ИПэшников - это открытая информация.
Договор не обязательно подписывает руководитель юрлица. Вполне нормальна ситуация подписывания по доверенности. А в этой доверенности уже все данные есть. Ну и в самом договоре как минимум будет ФИО + должность "не руководителя"
Договор не обязательно подписывает руководитель юрлица. Вполне нормальна ситуация подписывания по доверенности.
Ну, это откровенный перебор (хотя в моем случае подписи гендиров). Ведь и сохранение в смартфоне контактов коллег, начальства, семейного доктора, сантехника и кого угодно - это ведь тоже обычная нормальная ситуация. Но почему же вы не бежите подавать заявление об обработке ПД?
Ну, и еще вопросы:
Многие ли официально получили разрешение на остекление балкона? А на установку кондиционера? А на установку стальной двери в квартиру, открывающуюся наружу? А на установку тамбурной двери имеется решение собрания собственников дома? А в 90-х - начале 2000-х годов у вас был цветной принтер? Вы его регистрировали в органах? Вели учет каждого распечатанного листа? Предусмотрели для него отдельное помещение с журналом доступа?
В общем много еще поводов есть для страшилок...
Т.е. приходим к выводу, что многие требование абсурдны?
Т.е. приходим к выводу, что многие требование абсурдны?
Не требования. Трактовки. Мы обсуждаем трактовки юристов.
Требования тоже, т.к. настолько размыты, что можно прохожих на улице хватать.
И безопасности ПД этот закон ровным счётом никак не добавит, т.к. даже у крупных организаций утечки регулярны, а у мелочи просто нет денег на специалистов и требования будут выполнены только на бумаге.
На мой взгляд, это метода такая: выпустить закон под который подпадают почти все, а потом подзаконными актами определить выборочный порядок его применения.
Нет. Методика такая: делаем априори виноватыми и потенциальным нарушителями вообще всех, а при случае поимки по любой надуманной причине мы уже автоматически имеем пачку внушительных нарушений лет на пять колонии. Просто по факту существования человека.
И вот тут уже мы можем вести с жертвой диалог с позиции несокрушимой силы, требуя что нам нужно от него.
@nivorbud а есть пруфы, что можно безнаказанно обрабатывать открытую инфу?
а то например в статье 10.1 пункт 2 читаем: (https://www.consultant.ru/document/cons_doc_LAW_61801/591acc70f577873c1ee54765eda110b7a0271eaf/)
2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
Иная обработка - это и на бумаге, нет?
это открытая информация
А это вообще не имеет значения.
ФИО руководителей юрлиц и ИПэшников - это открытая информация.
А их подписи, которые они поставили на договоре?
Знакомые писали в РКН и спрашивали что если у них просто сайт котиками и собачками. Люди регистрируются на их сайте и пишут какие они миленьие. При регистрации указывают только свой email, вот этот email и есть персональные данные и вам тоже нужно подавать заявление в РКН что вы собираете данные в виде email и чтобы вас не штрафинули.
Уведомление в Роскомнадзор. Что делать?