Comments 18
Расскажите, пожалуйста, как правильно обрабатывать персональные данные, которые опубликованы на кладбищенских памятниках? Является ли кладбище оператором персональных данных, который накапливает и хранит их?
Сначала подумал тролите. Простите. Вопрос действительно интересный.
ФИО и даты на памятниках — это персональные данные умершего; их обработка и публикация офлайн (на самом памятнике) допустима, т.к. основывается на договоре с родственниками и на обязанностях по захоронению.
Кладбище почти всегда является оператором ПДн — как минимум по данным живых лиц (заказчики, «ответственные за захоронение», сотрудники).
Ключевые нормы
152-ФЗ, ст. 9 (ред. 24.06.2025): в случае смерти субъекта согласие дают наследники.
152-ФЗ, ст. 3: определение оператора и «обработки».
ГК РФ, ст. 152.1: использование изображения гражданина после смерти — с согласия семьи (есть оговорки).
8-ФЗ «О погребении…» и муниципальные порядки: книги регистрации захоронений (состав сведений и хранение).
Значит, кладбище не должно собирать согласия, потому что по договору публикует ПД, нанесённые на памятниках.
А то был случай, когда один краевед выписал даты рождения и смерти с памятника, а потом родственники покойного засудили его на использование ПД.
В случае краеведа это возможно уже онлайн-публикация/агрегация таких данных (каталоги могил, «виртуальные кладбища») — уже обработка и распространение ПДн, где потребуется законное основание: чаще всего согласие наследников (ч. 7 ст. 9 152-ФЗ), либо иная законная цель (журналистика/история/архив, исполнение закона и т. п.). И краеведу надо было заручиться согласием, либо даказать в суде законную цель.
Здравствуйте, подскажите как быть в такой ситуации: есть сервис, регистрация на котором осуществляется по email (никаких данных больше не нужно). Сервис позволяет хранит в своём аккаунте произвольные фотографии и заметки. Некоторые пользователи сохраняют у себя фотографии своих и чужих паспортов, а в заметках пишут другие личные данные. Фотографии и заметки доступны только пользователю, который загрузил фото или создал заметку.
Собственно, вопроса два:
Один только email является ПД? Нужно ли просить согласие на обработку если кроме email я ничего не храню
Как быть с контентом, который загрузили пользователи? У меня сервис совсем не для хранения паспортов, но, тем не менее, ко мне можно прийти и загрузить что угодно
Спасибо!
Роскомнадзор прямо разъясняет: адрес e-mail — это ПД (позиция ведомства 2025 г.). Правовое основание обработки при регистрации — исполнение договора (оферта, пользовательское соглашение), ст. 6 ч. 1 п. 5 152-ФЗ. Согласие как основание не требуется. Еще в вашем случае может помочь судебная практика https://rapsinews.ru/publications/20230810/309122335.html?utm_source=chatgpt.com
Сам по себе e-mail в конкретном споре не признали ПД. Это исключение, завязанное на факты: по одному e-mail там нельзя было определить лицо.
Важно: в вашем случае уведомление в Роскомнадзор подаётся.
Что делать с контентом, который грузят пользователи... как владелец платформы вы всё равно оператор ПД по отношению к данным, которые обрабатываются в вашей ИСПДн (вы обеспечиваете хранение, доступ, защиту). Даже если файлы видит только сам пользователь, у оператора остаются обязанности по безопасности, локализации и т.д.
В реальности регулятор смотрит на то, как вы определили цели/правовые основания, что сделали, чтобы минимизировать обработку и не допустить распространения.
В целях и политике так и описывайте: «обеспечение хранения файлов/заметок, доступ — только пользователю; оператор содержимое не использует и не распространяет».
Желательно Пропишите запрет на загрузку ПД третьих лиц без правового основания и публичных «сканов» документов. Ну и техническую защиту от утечки постройте согласно требований 152-ФЗ - В случае инцидента РКН будет смотреть более лояльно.
Один только email является ПД?
Вышестоящее по отношению к РКН Минцифры в свое время вилами по воде разъясняло, что является, но позиция высших судов ЕМНИП однозначная - нет.
Касательно сайта и галочки под согласием на обработку ПДн:
На сайте есть корректная форма согласия на обработку ПДн.
Посетитель сайта заполняет эту форму, ставит галочку согласен, нажимает кнопку подписать и отправить.
Информационная система (бекенд) сайта в автоматическом режиме записывает в лог-файл весь текст согласия и дополняет их данными сессии пользователя: время, ip адрес, данные браузера пользователя. Архивирует этот документ.
Бекенд отправляет электронное письмо с подтверждением данных формы на указанный в форме адрес.
Пользователь подтверждает, наживая ссылку в письме.
Бекенд записывает в лог-файл факт этого подтверждения. Добавляет в архив к согласию.
Если не подтвердил, то, по истечению какого-то времени, ранее сформированный файл архива с согласием удаляется, запись об этом помещается в нестираемый лог файл системы, который служит журналом операций с ПДн.Сайт выдаёт форму договора на предоставление услуг, подставляя данные из согласия, заполненного на предыдущем шаге. Пользователь дополняет данные в форме договора, ставит галочку согласен и нажимает кнопку подписать и отправить.
Информационная система (бекенд) сайта в автоматическом режиме записывает в лог-файл весь текст договора и дополняет их данными сессии пользователя: время, ip адрес, данные браузера пользователя. Архивирует этот документ и добавляет в архив с согласием.
Можете спать спокойно, до момента:
----------
Проходит время, пользователь забыл о том этом договоре и услуге.
Ему приходит письмо на электронную почту, например о том, что "у вас есть договор а у нас есть новые плюшки - приходите".
Пользователь пересылает это письмо в РКН и говорит - спам - накажите!
РКН идентифицирует владельца сайта, идентифицирует оператора ПДн и испрашивает документы, подтверждающие законность обработки ПДн пользователя.
Вы собираете все файлы, пишите как вы их получили - смотри инструкцию сверху, и отправляете в РКН.
Дальше два варианта:
РКН отстал от вас, пользователю написал, что данные проверены и сайт (оператор ПДн) доказал правомерность обработки, посоветует воспользоваться законным правом отозвать согласие у оператора.
РКН говорит, что предоставленные данные не доказывают подпись пользователя под согласием об обработке ПДн, так как нет данных однозначно идентифицирующих пользователя.
Комбинированный вариант - что-то признали, что-то нет, но всё равно на вас некие действия, бездействие по которым светит штрафом.
------
А как правильно заниматься арбитражем, что бы им не заниматься?
Воспользоваться механизмом подписи всех юридически значимых документов через api ГосУслуг
Воспользоваться системой хранения юридически значимых документов через api ГосАрхива на основе блокчейна.
При возникновении споров обращаться а ГосАрхив, который имеет автоматизированную систему подтверждения запросов.
Молчание или бездействие не признаются согласием
<…>
Такое «пассивное» согласие закон теперь однозначно исключает.
Как Вы сами заметили, закон его исключал и ранее, видимо, не так однозначно?
А еще запрещено принуждать потребителя предоставлять лишние персональные данные
Еще с 2022 года. Очень-очень строго запрещено, только очень-очень не работает от слова совсем. Но теперь-то да, каааак заработает!
Дело в том, что, с момента выхода закона, у кого-то есть законные права на действия (штрафы). А так как у каждой проблемы есть Имя Фамилия и Отчество, то есть не нулевой шанс попасть под жернова системы исполнения наказаний.
То, что нет механизма законно штрафовать всех за всё - это просто недоработка, которую исправят рано или поздно.
В европе и сша за скачанных с торента фильм приходят штрафы - механизм автоматический.
Подскажите пожалуйста. Может быть глупый вопрос. Если согласие на обработку ПД заполняет например опекун, соответственно указывая свои ПД, то и его согласие на обработку его ПД надо получать вместе с согласием ребёнка?
Отдельное согласие опекуна/родителя на обработку его собственных ПД обычно не требуется, если вы используете его данные только для оформления согласия за ребёнка, проверки полномочий и хранения доказательства законности обработки ПД ребёнка. Это покрывается:
требованиями ст. 9 152-ФЗ: оператор обязан проверить полномочия представителя и, при письменной форме, указывать его реквизиты в тексте согласия;
правовым основанием «законный интерес оператора» для фиксации и хранения доказательств законности (ст. 6 ч. 1 п. 7), плюс обязанность оператора иметь доказательства получения согласия (ст. 9 ч. 3).
Я самозанятый, ремонтирую велосипеды. Приезжает ребенок, спустило колесо. Прокол. Рядовая частая ситуация. Т.к. в работе уже есть велосипеды, говорю оставляй, как будет готово, ПЕРЕЗВОНЮ. Записываю на бумажку номер телефона, имя, марку велосипеда, что нужно сделать.
Я получается всё всё нарушаю?
Нужно отправить ребенка за родителями, оформить кучу вышеназванных доп.документов? И только потом заклеить камеру?
Только для обратной связи о выполнении заказа, очень надеюсь, что это излишне.
Если сочтёте уместным ответить, дать рекомендацию, как избежать этой душнятины в моем случае, буду благодарен.
Нет, вы ничего «всё-всё» не нарушаете:) Имя и телефон для обратного звонка — это персональные данные, но их обработка законна без согласия, потому что вы принимаете обычный заказ на ремонт — это исполнение договора. Советую сделать нормальный бланк приема заказа, который будет фактически являться договором.
Ребёнок может сам оформить такой заказ. Это «мелкая бытовая сделка», разрешённая ГК РФ для малолетних (6–14 лет). Отдельно «гнать за родителями» ради согласий не требуется, если берёте только минимальные данные для связи и выполнения работы. https://www.consultant.ru/document/cons_doc_LAW_5142/cc856395792cdd3ebdb55d49f5f2f9b8d6cabced/?utm_source=chatgpt.com
Согласие понадобится только если вы захотите отправлять рекламные сообщения/SMS и т. п.
Если не используете автоматизированные средства обработки ПДн, а фиксируете все в бумажном виде, то и уведомление в РКН не надо подавать.
Храните бланк до выдачи велосипеда + короткий буфер (скажем, 30 дней на гарантийный контакт), затем уничтожайте. Это соответствует принципам «минимально и не дольше нужного». Бланки храните в закрытом ящике/папке, доступ — только вам. Это исполнение требований ст. 19 152-ФЗ о мерах защиты для бумажных носителей.
Сделайте уведомление для клиента на стенде. Если нет сайта, достаточно информировать на месте (табличка у стойки).
Вот пример текста для таблички:
Как мы используем ваши данные
Оператор: Иванов И.И. (самозанятый), телефон: +7 …
Цель: оформить и выполнить заказ на ремонт велосипеда, связаться по готовности.
Состав данных: имя, телефон, марка/модель и суть работ.
Правовое основание: исполнение договора (ст. 6 ч. 1 п. 5 Закона № 152-ФЗ).
Срок хранения: до завершения работ и расчётов + 30 дней, затем уничтожение.
Передача третьим лицам: нет, кроме случаев, предусмотренных законом.
По вопросам персональных данных: +7 …, ivanov@…
Родителей зовем только если:
1. хотите собрать лишние данные
2. планируете необязательные цели
Одновременно введен запрет «смешивать» разные согласия в одном тексте.
Не раз уже натыкаюсь на такую информацию в интернете и не понимаю откуда это берется и что значит "смешивать"? Понятно, что я не могу согласие на обработку и согласие на распространение брать одновременно, но что делать в случае если данные передаются 3ему лицу?
Условно, мы имеем сайт и в форме обратной связи берем согласие на обработку, но надо понимать, что в рамках этого процесса данные передаются условному рег.ру, так как там хостится сайт, подрядчику по маркетингу и в облачную crm. Соответсвенно, чтобы уведомить пользователя об этом я прописываю в политику третьих лиц и в согласии когда его беру, ссылаюсь что данные могут быть поручены(переданы) третьим лицам в соответствии с политикой. Так делают упомянутые выше регру, банки все так делают поголовно. Получается они нарушают требования и так делать нельзя, ведь получается смешиваются разные типы согласий на обработку и передачу третьим лицам?
Поручение обработки подрядчику (хостинг-провайдер, облачная CRM, подрядчик-маркетолог, действующий в ваших целях и по вашему заданию) — это ограниченный круг лиц. Здесь работает ст. 6 ч. 3: договор поручения с обязательными условиями (перечень данных, операций, цели, меры защиты, конфиденциальность, уведомления об инцидентах и пр.). Согласие субъекта отдельно не требуется, если у вас уже есть правовое основание обработки (например, договор с пользователем).
Согласие на обработку ПДн: где обязательно, где нет и как всё оформить правильно