Персональные данные в деятельности вашей фирмы

1.

Семинар
«Персональные данные»
Ведущий: Оробинский В.В.

2.

1. Что такое ПД.
Что такое, определили в 1995-ом году. 24-ФЗ "Об информации, информатизации и
защите информации" от 20.02.1995 действовал до 14.01.2003. Там, внезапно, впервые
появилось:
«информация о гражданах (персональные данные) - сведения о фактах, событиях и
обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;»
(ст. 2, абз. 8».
И обозначили подход: «Персональные данные не могут быть использованы в целях
причинения имущественного и морального вреда гражданам, затруднения реализации прав и
свобод граждан РФ». (ст. 11, п.2) – в современном законе этой формулировки нет;
«Юр. и физические лица, в соответствии со своими полномочиями владеющие
информацией о гражданах, получающие и использующие ее, несут ответственность в
соответствии с законодательством РФ за нарушение режима защиты, обработки и порядка
использования этой информации». (ст. 11, п. 3).
Ответственность появилась только в 2001г., 6 (шесть) лет спустя. В новом КоАП, ст. 13.11
Нарушение установленного законом порядка сбора, хранения, использования или
распространения информации о гражданах (персональных данных)». Почему так долго?
Потому что не было понимания, зачем…
ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных". «ПД - любая информация,
относящаяся к прямо или косвенно определенному или определяемому физическому
лицу (субъекту персональных данных); (ст. 3, п.1) – сильно расширили.
А цель: «обеспечение защиты прав и свобод человека и гражданина при обработке его
персональных данных, в том числе защиты прав на неприкосновенность частной жизни,
личную и семейную тайну».

3.

1.1. Развитие.
Что дальше? Дальше вышел ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных". «ПД
- любая информация, относящаяся к прямо или косвенно определенному или
определяемому физическому лицу (субъекту персональных данных); (ст. 3, п.1)
А цель: «обеспечение защиты прав и свобод человека и гражданина при обработке его
персональных данных, в том числе защиты прав на неприкосновенность частной жизни,
личную и семейную тайну».
Почему вышел? Потому что: Федеральный закон "О ратификации Конвенции Совета
Европы о защите физических лиц при автоматизированной обработке персональных данных"
от 19.12.2005 N 160-ФЗ.
Да, ратифицировали западную Конвенцию и под нее приняли ФЗ о ПД. Дань моде? Не
совсем. Просто начало потихоньку появляться понимание, что такое ПД, какие возможности
дает, и зачем охранять.
Важно: «В соответствии с пунктом 1 статьи 3 Закона о персональных данных под
персональными данными понимается "любая информация, относящаяся к прямо или
косвенно определенному или определяемому физическому лицу (субъекту персональных
данных)".
Таким образом, абонентский номер или адрес электронной почты могут быть признаны
персональными данными в случае, когда такая информация относится к прямо или косвенно
определенному или определяемому физическому лицу.
Например, абонентский номер, принадлежащий юридическому лицу, не может
рассматриваться в качестве персональных данных». (Письмо Минкомсвязи России от
07.07.2017 N П11-15054-ОГ "О разъяснении норм федерального законодательства"

4.

1.2. В чем ценность и зачем охранять.
Тут как в корпоративном праве. Мало кто понимает, зачем нужны юр лица… И еще
меньше понимают, зачем охранять ПД.
Говорят, ПД – современное золото. Но для кого?!
Коммерсы – аналитика больших данных
НКО – поиск доноров.
Мошенники – тут все понятно. Упадок традиционной преступности и взлет нетрадиц.
Спец. службы – новые горизонты шпионажа и спец. операций
Для юриста – строчка в резюме и разовый заработок.
Для обычного человека?
Обычный человек - чужой кредит, фирма, «обеление» имущества, в т.ч. отмывание.
Если не знаете законодательство о ПД, в своих целях редко удается применить без
последствий, пример - Постановление Четвертого кассационного суда общей юрисдикции от
25.03.2022 N 16-2485/2022), как юрист ТСЖ базу клиентов набивал – а набили в итоге его);,
минимум два дела.
Богач - крупный кидок, шантаж.
Властитель – то же, что у богача + шпионаж/вербовка.
Государство везде не поспевает… Поэтому перекладывает ответственность и охрану на
нас. Мы – стражи золотой породы, которую могут промыть и употребить в прибыль и ЗЛО
другие…

5.

2. Мат. часть.
законы:
1. ФЗ № 152 от 27.07.2006 «О персональных данных» («Закон о ПД»)
2. КоАП – основная ответственность там.
3. Трудовой Кодекс – гл. 14, особенности обработки ПД работников.
осн. подзаконные акты:
1. «Положение об особенностях обработки ПД, осуществляемой без использования
средств автоматизации», утв. Постановление Правительства РФ от 15.09.2008 N 687.
2. «Требования к защите ПД при их обработке в информационных системах ПД», утв.
постановлением Правительства РФ от 01 ноября 2012 г. N 1119.
3. «Состав и содержание организационных и технических мер по обеспечению
безопасности ПД при их обработке в информационных системах ПД», утв. приказом ФСТЭК
России от 18 февраля 2013 г. N 21.
4. «Перечень иностранных государств, обеспечивающих адекватную защиту прав
субъектов ПД», утв. приказом Роскомнадзора от 05.08.2022 N128. – ТРАНС_П
5. «Правила принятия решения уполномоченным органом по защите прав субъектов ПД о
запрещении или об ограничении трансграничной передачи ПД в целях защиты
нравственности, здоровья, прав и законных интересов граждан» (Постановление
Правительства РФ от 16.01.2023 N 24) - ТРАНС_П
6. «Требования к оценке вреда, который может быть причинен субъектам ПД в случае
нарушения ФЗ "о ПД», утверждены Приказо Роскомнадзора от 27.10.2022 N 178
7. «Порядок и условия взаимодействия федеральной службы по надзору в сфере связи,
информационных технологий и массовых коммуникаций с операторами в рамках ведения
реестра учета инцидентов в области ПД». (Приказ Роскомнадзора от 14.11.2022 N 187) + еще
Приказ ФСБ России № 77 от 13.02.2023)
8. «Требования к подтверждению уничтожения персональных данных», утв. Приказ

6.

3. Основные принципы работы с ПД. (ст. 5 закона о ПД)
1. Законность и справедливость обработки. Законность:
1). оператор должен соблюдать закон и не обрабатывать персональные данные в незаконных
целях.
2). Нельзя обрабатывать ПД просто так. Обязательно должно быть ОСНОВАНИЕ. Требование
закона, согласие, договор и т.д.
Справедливость: «Справедливость обработки означает необходимость принятия во внимание
интересов субъектов персональных данных и их разумных ожиданий, не злоупотребляя
предоставленными оператору возможностями. Если законность основания предполагает
соблюдение буквы закона, то справедливость - его духа». (Савельев А.И, комментарии к закону о
ПД. В судебной практике пока тишина).
2. Принцип конкретной цели: «Обработка ПД должна ограничиваться достижением
конкретных, заранее определенных и законных целей. Не допускается обработка ПД,
несовместимая с целями сбора ПД». (ст. 5, п.2)
Пример: фраза в согласии «оператор вправе использовать ваши ПД для улучшения качества
сервиса» - нарушение, т.к. нет конкретной цели обработки, цель слишком размыты.
Еще пример: «В ходе проведения проверки обращения установлено, что Ч., начиная с 2006
года начал создавать базу электронных адресов собственников жилых помещений, находящихся в
управлении <данные изъяты>". В период с 2016 по 2020 ФИО3 представлял интересы <данные
изъяты>" по доверенности, с 28 апреля 2020 года отношения по представлению интересов
товарищества с Ч. были прекращены… Деяния Ч. квалифицированы мировым судьей по части 1
статьи 13.11 КоАП РФ».
Постановление Четвертого кассационного суда общей юрисдикции от 25.03.2022 N 162485/2022) - тогда штраф был 2000 руб. с 30.05.2025 будет от десяти тысяч до пятнадцати тысяч
рублей;

7.

3. Объем ПД = цели обработки ПД. В законе это ст. 5, п. 4 и 5: «Обработке подлежат
только ПД, которые отвечают целям их обработки. Содержание и объем обрабатываемых ПД
должны соответствовать заявленным целям обработки. Обрабатываемые ПД не должны
быть избыточными по отношению к заявленным целям их обработки».
В переводе на русский: получаем согласие на ПД и обрабатываем ПД в объеме,
минимально необходимым для достижения цели (целей).
К примеру, если нам нужно согласие клиента на рассылку правовых новостей, рекламы
юр. услуг, достаточно ФИО и адреса эл. почты – паспортные данные, СНИЛС, дату рождения
требовать не нужно. Незаконно и чревато штрафом.
И отсюда вытекает следующий принцип:
4. Минимум обрабатываемых документов с ПД. В идеале, обрабатывать ПД без
документов, но с реквизитами документов. Первое известное громкое дело Роскомнадзор vs
ЗАО "Банк Русский Стандарт:
«суд апелляционной инстанции правильно применил указанные нормы права и признал
необоснованным вывод суда первой инстанции о том, что хранение в личных делах
сотрудников банка копий паспортов и военных билетов, содержащих персональные данные
работников, банк осуществляет во исполнение требований действующего законодательства
по обеспечению актуализации сведений кадрового и воинского учетов.
При этом суд апелляционной инстанции правильно указал, что хранение и дальнейшее
использование копий паспортов и военных билетов, полученных от сотрудников банка при
трудоустройстве, не только не обеспечивает точность и актуальность персональных данных,
а напротив, может привести к использованию недостоверных сведений. Используя в качестве
источников информации такие копии документов, банк не учитывает реальное состояние
документов (и сведений в них), что свидетельствует о признаках нарушения статьи 5 Закона
N 152-ФЗ. (Постановление ФАС Северо-Кавказского округа от 21.04.2014 по делу N А5313327/2013)

8.

Продолжили: «требование обществом с потребителей паспортных данных и копий
паспортов при осуществлении перерасчета за потребляемые услуги является избыточным,
недопустимым, влечет нарушение прав граждан на обработку персональных данных в
соответствии с законом». (Постановление Арбитражного суда Уральского округа от
31.03.2022 N Ф09-1630/22 по делу N А60-24551/2021).
5. ТДА. Точность. Достаточность. Аккуратность. «При обработке персональных
данных должны быть обеспечены точность персональных данных, их достаточность, а в
необходимых случаях и актуальность по отношению к целям обработки персональных
данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по
удалению или уточнению неполных или неточных данных». (ст. 5, п. 6)
На практики сие значит: Оператор не обязан самостоятельно обновлять ПД, но по
обращению гражданина – обязан. Не обновит, Адм. ответственности не будет, но возможен
иск от гражданина – носителя ПД:
30 000 «моралки» за телефонные звонки - Апелляционное определение СанктПетербургского городского суда от 18.09.2018 N 33-19439/2018 по делу N 2-2071/2018
5 000 с Почты РФ за неустраненную ошибку в ПД названии почтового ящика Определением Шестого кассационного суда общей юрисдикции от 14.02.2023 N 883739/2023.

9.

6. ПД нельзя хранить вечно.
Вытекает из ст. 5, п.7: «Хранение ПД должно осуществляться в форме, позволяющей определить
субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения персональных
данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или
поручителем по которому является субъект персональных данных.
Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки
или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено
федеральным законом». +
«В случае достижения цели обработки ПД оператор обязан прекратить обработку ПД или обеспечить
ее прекращение (если обработка ПД осуществляется другим лицом, действующим по поручению
оператора) и уничтожить ПД или обеспечить их уничтожение (если обработка ПД осуществляется другим
лицом, действующим по поручению оператора) в срок, не превышающий 30 тридцати дней с даты
достижения цели обработки ПД, если иное не предусмотрено договором, стороной которого,
выгодоприобретателем или поручителем по которому является субъект персональных данных» (ст. 21, п.
4).
Сколько хранить? По закону о ПД, принцип конкретной цели – цель достигнута или утрачена,
хранение прекращаем – если иное не установлено законом.
К примеру: «Первичные учетные документы, регистры бухгалтерского учета, бухгалтерская
(финансовая) отчетность, аудиторские заключения о ней подлежат хранению экономическим субъектом в
течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного
дела, но не менее пяти лет после отчетного года». (ФЗ от 06.12.2011 N 402-ФЗ "О бухгалтерском учете",
ст. 29, п.1).
Также может помочь Приказ Росархива от 20.12.2019 N 236 "Об утверждении Перечня типовых
управленческих архивных документов, образующихся в процессе деятельности государственных органов,
органов местного самоуправления и организаций, с указанием сроков их хранения« (Зарегистрировано в
Минюсте России 06.02.2020 N 57449)
Есть коллизия: «Действие настоящего ФЗ не распространяется на отношения, возникающие при: …2)
организации хранения, комплектования, учета и использования содержащих персональные данные
документов Архивного фонда РФ и других архивных документов в соответствии с законодательством
об архивном деле в РФ»; (Закон по ПД, ст. 1, п. 2) Однако очень многие руководствуются Приказом 236.

10.

Вполне может получиться, что по Закону о ПД пора прекратить обработку и уничтожить
ПД, а по законодательству об архивном деле (Приказ Росархива 236) вам еще хранить и
хранить…
Практики мало, противоречивая. Интересно дело РКН vs «Суп Медия»:
«Пунктом 5 предписания указано на нарушение обществом требований части 4 статьи
21 Закона о ПД, поскольку при проведении проверки выявлены факты обработки ПД
уволенных работников свыше установленных законодательством (5 лет) сроков именно в
ИСПДн (инф. система 1С), использующихся ООО "Суп Медиа", а не в архивах
организаций, осуществляющих архивное хранение документов на основании
законодательства РФ об архивном деле.
Принимая во внимание, что заявителем обработка ПД уволенных работников
осуществляется после достижения цели их обработки и по истечении сроков,
установленных законодательством Российской Федерации, суды сделали правомерный
вывод нарушении требований части 4 статьи 21 Закона о ПД».
(Постановление Арбитражного суда Московского округа от 15.01.2018 N Ф05-18981/2017
по делу N А40-81171/17-149-793).
Откуда суд взял срок 5 лет – загадка.
Аналогия с ФЗ от 06.12.2011 N 402-ФЗ "О бухгалтерском учете", ст. 29, п.1)?
Быть может, но в решении о том ни слова…
И есть противоположная позиция, более поздняя…
Того же суда!

11.

Противоположная позиция, дело ПАО "Аэрофлот-Российские Авиалинии" vs РКН:
«…из буквального толкования ч. 4 ст. 21 Закона о ПД следует, что в случае если оператор вправе
осуществлять обработку ПД без согласия субъекта ПД по основаниям, предусмотренным указанным ФЗ
или иными ФЗ, обработка ПД может осуществляться оператором после достижения цели обработки ПД.
Случаи обработки ПД без согласия субъекта ПД предусмотрены подп. 2 - 11 ч. 1 ст. 6 Закона о ПД. При
этом согласно п. 2 ч. 2 ст. 6 Закона о ПД к указанным случаям относится обработка ПД, если она
необходима для достижения целей, предусмотренных международным договором РФ или законом, для
осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и
обязанностей…
Приказом Росархива от 20.12.2019 N 236 утвержден Перечень типовых управленческих архивных
документов, образующихся в процессе деятельности государственных органов, органов местного
самоуправления и организаций, с указанием сроков их хранения (далее - Перечень).
Согласно п. 4 раздела II Перечня также установлены сроки хранения персональных данных уволенных
работников, содержащихся в учетных документах, значительно превышающие пятилетний срок (до 50/75
лет). …
В силу п. 4.2 Инструкции сроки хранения документов не зависят от вида носителя и ограничения
доступа к ним. В соответствии с п. 4.3 Инструкции сроки временного хранения документов (1 год, 3
года, 5 лет, 6 лет, 10 лет, 15 лет, 45 лет, 50 лет и 75 лет), установленные Перечнем, должны
соблюдаться всеми организациями независимо от их организационно-правовых форм и форм
собственности.
После истечения сроков временного хранения документы подлежат уничтожению. Уничтожение
документов до истечения сроков их временного хранения запрещается.
Таким образом, хранение документов, в том числе архивное хранение, может осуществляться не
только в бумажном, но и в электронном виде. При этом ПД уволенных работников, содержащиеся в
документах, подлежащих архивному хранению, должны сохраняться в течение нормативно
установленных сроков хранения документов и сведений.
Кроме того, суд учитывает, что, как указывает заявитель, он с помощью данных кадровой системы
ПАО "Аэрофлот" обрабатывает запросы от органов Пенсионного фонда РФ при назначении пенсий
работникам Общества, в том числе бывшим работникам. Периоды, которые затрагивают запросы
органов Пенсионного фонда РФ, могут быть любыми, в том числе свыше 5 лет с момента увольнения.
Работники могут быть как действующие, так и давно уволенные». (Постановление Девятого арбитражного
апелляционного суда от 09.02.2022 N 09АП-87227/2021 по делу N А40-163911/2021, устояло в кассации)

12.

Соотношение ПД и законодательства об архивном деле.
Приказ Росархива 236. П. 11. Договоры, соглашения, контракты, документы (акты,
протоколы разногласий) к ним Не указанные в отдельных статьях Перечня. Хранить 5 лет
ЭПК (т.е. 5 лет после истечения срока действия договора; после прекращения обязательств
по договору).
«Срок хранения с отметкой "ЭПК" означает, что указанные документы после истечения
установленного срока их хранения могут быть отобраны на постоянное хранение. ЭПК Экспертно-проверочная комиссия».
И где искать эту ЭПК… «ЭК создается в территориальных органах государственных
органов, а также в организациях». А как ИП? Приказ Росархива от 31.07.2023 N
77,Зарегистрировано в Минюсте России 06.09.2023 N 75119). На практике – НИКТО.
П. 301. «Договоры гражданско-правового характера о выполнении работ, оказании услуг
физическими лицами, акты сдачи-приемки выполненных работ, оказанных услуг - 50/75 лет»
(законченные делопроизводством до 1 января 2003 года, хранятся 75 лет; законченные
делопроизводством после 1 января 2003 года, хранятся 50 лет.
П. 435. «Трудовые договоры, служебные контракты, соглашения об их изменении,
расторжении 50/75 лет ЭПК»
Статья 13.20. КоАП: «Нарушение правил хранения, комплектования, учета или
использования архивных документов, за исключением случаев, предусмотренных статьей
13.25 настоящего Кодекса, -влечет предупреждение или наложение административного
штрафа
на граждан в размере от одной тысячи до трех тысяч рублей;
на должностных лиц - от трех тысяч до пяти тысяч рублей;
на юридических лиц - от пяти тысяч до десяти тысяч рублей.»
За нарушение приказа 236 сроки хранения документов пока еще никого не привлекли…

13.

7. Запрет на объединение баз. «Не допускается объединение баз данных, содержащих
персональные данные, обработка которых осуществляется в целях, несовместимых между
собой». (ст. 5, п.3) Цель – не допустить создание единой БД.
8. Конфиденциальность ПД. Ради чего, собственно и нужно все законодательство о ПД.
Раньше был более мягкий режим: «Обеспечения конфиденциальности персональных
данных не требуется: 1) в случае обезличивания ПД и 2) в отношении общедоступных ПД». С
2011-го года прикрыли:
«Операторы и иные лица, получившие доступ к персональным данным, обязаны не
раскрывать третьим лицам и не распространять персональные данные без согласия
субъекта персональных данных, если иное не предусмотрено федеральным законом». (ст. 7
Закона).
И теперь для всех ПД должен быть режим конфиденциальности.

14.

4. Категории ПД.
Что такое ПД, мы помним. «ПД - любая информация, относящаяся к
прямо или косвенно определенному или определяемому физическому
лицу (субъекту персональных данных); (ст. 3, п.1)
Теперь о категориях (видах) ПД. В Законе о ПД явно не
систематизировано, но можно вывести из Постановления Постановление
Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к
защите персональных данных при их обработке в информационных
системах ПД"
ПД
Общедоступные
(условно)
1). ФИО
2). Адрес деятельности
3). контакты
4). сведения о профессии
5) иное. –откр. перечень.
(УСЛОВНО!!!) (визитка)
По уму, согласие по форме
Приказ РКН от 24.02.2021 N 18
(ст. 10.1.)
«характеризуют физиолог.
и биолог. особенности
человека + на основании коих
можно установить личность»
(ст. 11)
Биометрия
Специальные
1). Расовая принадлежность
2). Национальная принадлежность.
3). Полит. взгляды
4). Религиозные убеждения.
5). Философские убеждения.
6). Состояние здоровья.
7). Интимная жизнь.
8.) Судимость.
(ст. 10 Закона, закрытый перечень)
Иные
Методом
исключения,
что не попало
в другие
категории, к примеру,
размер дохода

15.

4.1. Зачем делить ПД на категории?
Разный уровень защиты, особенно в ИСПДн (информационные системы персональных
данных), попросту – в компах и программах.
И разная ответственность. К примеру, «Обработка ПД в случаях, не предусмотренных
законодательством РФ в области ПД» - 13.11 КоАП, п.1, на «юрика» 60 000 – 100 000 руб. А
за незаконную обработку биометрических ПД штраф 500 000 – 1 000 000 руб. (особая статья
13.11.3. КоАП)
И эта разница УВЕЛИЧИВАЕТСЯ. С 30.05.2025 будет так, ст. 13.11 КоАП:
«16. Действия (бездействие) оператора, повлекшие неправомерную передачу
(предоставление, распространение, доступ) информации, включающей специальную
категорию персональных данных, влекут наложение административного штрафа на граждан в размере от трехсот тысяч
до четырехсот тысяч рублей; на должностных лиц - от одного миллиона до одного миллиона
трехсот тысяч рублей; на юридических лиц - от десяти миллионов до пятнадцати
миллионов рублей.
17. Действия (бездействие) оператора, повлекшие неправомерную передачу
(предоставление, распространение, доступ) информации, включающей биометрические
персональные данные, за исключением случаев, предусмотренных статьей 13.11.3
настоящего Кодекса, влекут наложение административного штрафа на граждан в размере от четырехсот
тысяч до пятисот тысяч рублей; на должностных лиц - от одного миллиона трехсот тысяч до
одного миллиона пятисот тысяч рублей; на юридических лиц - от пятнадцати миллионов
до двадцати миллионов рублей.»

16.

4.2. Спец. категории
Судимость. В некоторых источниках говорят, что нужна предельная конкретика – дата
приговора, наименование суда, и т.д. Ничего подобного. И незначительного упоминания
может хватить. Пример:
«Д., находясь по адресу: <адрес>, ДД.ММ.ГГГГ в 16 часов 06 минут разместил
комментарий (на форуме), адресованный ФИО7, следующего содержания: "Николай, не буду
спорить, Вы, отбыв наказание по 228 УК РФ (незаконный оборот наркотиков), гораздо лучше
меня разбираетесь, что является преступлением, а что нет. Надеюсь, что Вы встали на путь
исправления и больше в те места не попадете", содержащий персональные данные ФИО4, а
именно сведения о судимости, при этом, согласие субъекта персональных данных - ФИО4 на
обработку его персональных данных о судимости Д. не получено».
(Постановление Второго кассационного суда общей юрисдикции от 05.08.2020 N 164852/2020) Этого хватило для адм. ответственности по 13.11 КоАП, п.1, штраф 1000 руб.
Мало, но для юр. лица было бы 60-100.
Биометрические ПД. Ст. 11 Закона о ПД, п.1: «Сведения, которые характеризуют
физиологические и биологические особенности человека,
(1) на основании которых можно установить его личность (биометрические
персональные данные) и
(2) которые используются оператором для установления личности субъекта ПД,
могут обрабатываться только при наличии согласия в письменной форме
субъекта ПД,» есть исключения, установлены п. 2:
«осуществлением правосудия и исполнением судебных актов, в связи с проведением
обязательной
государственной
дактилоскопической
регистрации,
обязательной
государственной геномной регистрации, а также в случаях, предусмотренных
законодательством Российской Федерации об обороне…» и т.д.

17.

4.3. Биометрия и фотография.
Как видно из ст. 11, п. 2 биом. ПД – это дактилоскопия (ваши отпечатки пальцев), рост, вес,
запись голоса (но не возраст), радужка глаза. Как в фантастике – приложил глаз к сканеру,
открылась дверь. Это – автоматическая обработка биометрических данных. Или оплата улыбкой –
то же самое, система распознавания лиц.
Если используете такую систему, внимательно изучайте ФЗ от 29.12.2022 N 572-ФЗ "Об
осуществлении идентификации и (или) аутентификации физических лиц с использованием
биометрических ПД».
Основная головная боль практиков: фотография, это биометрические данные или
обычные ПД? Типовой отдел кадров и личные дела сотрудников с фото… Минцифры говорит: «Не
относятся к биометрическим ПД:
1. данные, полученные при сканировании паспорта оператором ПД для подтверждения
осуществления определенных действий конкретным лицом (например, заключение договора на
оказание услуг, в том числе банковских, медицинских и т.п.), т.е. без проведения процедур
идентификации (установления личности);
2. данные, полученные при осуществлении ксерокопирования документа, удостоверяющего
личность;
3. фотографическое изображение, содержащееся в личном деле работника;
4. подпись лица, наличие которой в различных договорных отношениях является
обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в
рамках почерковедческой экспертизы;
5. рентгеновские или флюорографические снимки, характеризующие физиологические и
биологические особенности человека и находящиеся в истории болезни (медицинской карте)
пациента (не имеет значения, бумажной или электронной), поскольку они не используются
оператором (медицинским учреждением) для установления личности пациента;
6. материалы видеосъемки в публичных местах и на охраняемой территории».
<Письмо> Минкомсвязи России от 28.08.2020 N ЛБ-С-074-24059 "О методических
рекомендациях (вместе с "Методическими рекомендациями для общеобразовательных
организаций по вопросам обработки персональных данных")» - однако это не НПА.

18.

«Заявляя об отсутствии нарушения указанной нормы права, предприниматель ссылается
на наличие у него предусмотренного частью 1 статьи 11 Закона о персональных данных согласия
субъектов персональных данных, выданное в письменной форме законными представителями
несовершеннолетних.
…Судами первой и апелляционной инстанций установлено, что представленные
предпринимателем Аксененко В.Е. согласия законных представителей несовершеннолетних на
обработку персональных данных не отвечают вышеназванным требованиям (отсутствуют
согласие на обработку биометрических персональных данных ребенка, в том числе
посредством использования его фотографии; не указаны наименование или фамилия, имя,
отчество и адрес лица, осуществляющего обработку персональных данных по поручению
оператора, если обработка будет поручена такому лицу, перечень действий с персональными
данными, на совершение которых дается согласие, общее описание используемых оператором
способов обработки персональных данных». (Постановление Арбитражного суда ЗападноСибирского округа от 10.10.2023 N Ф04-4141/2023 по делу N А27-10550/2022)
Используете фото для идентификации даже без автообработки = биометрия. Пример:
«в соответствии с Положением о порядке посещения плавательного бассейна для
различных категорий населения в рамках Государственной программы Мурманской области
"Развитие физической культуры и спорта" на 2014 - 2020 годы, утвержденного председателем
Комитета по физической культуре и спорту Мурманской области 26.04.2016, посетителями
предоставлялись Предприятию фотографии, которые размещались заявителем на документе
"Пропуск" для последующего использования в целях установления их личности. Указанные
действия Предприятия (сбор, оформление (размещение), использование фотографий)
подпадают под понятие обработки персональных данных с позиции части 3 статьи 3 Закона N
152-ФЗ.
Между тем, согласия указанных лиц на обработку их биометрических ПД
(фотографий) в нарушении требования части 1 статьи 11 Закона N 152-ФЗ Предприятием не
получено». (Постановление Арбитражного суда Северо-Западного округа от 21.11.2017 N Ф0711732/2017 по делу N А42-342/2017) также см. Постановление Седьмого кассационного суда
общей юрисдикции от 24.07.2020 N 16-2185/2020

19.

«Фотография - изображение человека в электронном виде или отпечаток изображения
человека, который содержит физиологические и биологические особенности человека, в
целях идентификации человека.
Следовательно,
фотография,
которая
позволяет
идентифицировать
изображенного человека, содержит биометрические персональные данные. Обработка
таких данных допустима только при наличии его письменного согласия, и их
представление не может быть обязательным, за исключением случаев, предусмотренных ч. 2
ст. 11 Закона N 152-ФЗ. (так же и в Определение Четвертого кассационного суда общей
юрисдикции от 12.09.2024 N 88-27709/2024 (УИД 61RS0005-01-2023-005885-69)
….При передаче персональных данных работника работодатель должен соблюдать
требования ст. 88 ТК РФ, в частности не сообщать персональные данные работника в
коммерческих целях без его письменного согласия.
Таким образом, размещение фотографии работника в сети Интернет является
распространением
биометрических
персональных
данных
работника
неопределенному кругу лиц.
В ходе судебного разбирательства ПАО "ГМК "Норильский Никель" не оспаривал, что
фотосессия, в которой принимала участие истец в период трудоустройства в АО "Кольская
ГМК", входящем в группу компаний "Норильский никель", осуществлялась по заказу и за счет
ПАО "ГМК "Норильский Никель" в коммерческих целях, непосредственно с данным
ответчиком истец в трудовых отношениях не состояла, при оформлении согласия на
обработку персональных данных работодателем, конкретного согласия в установленной
форме на обработку (распространение) ее биометрических, в рассматриваемом случае
фотоизображения, в коммерческих целях группой компаний "Норильский никель", в
том числе непосредственно ПАО "ГМК "Норильский Никель", не давала». Определение
Второго кассационного суда общей юрисдикции от 04.07.2023 по делу N 88-13675/2023 (УИД
77RS0021-02-2021-020239-06) – просила 800 000 «моралки», получил 80 000 – тоже хорошо.

20.

4.4. Пятая категория.
Итак, у нас получилось 4 категории ПД. Но есть и 5-ая. Обезличенные ПД. В законе
упомянута в ст. 3, п. 9: «обезличивание ПД - действия, в результате которых становится
невозможным без использования дополнительной информации определить принадлежность
персональных данных конкретному субъекту ПД».
Т.е. это ПД без привязки к конкретному человеку. Но эту привязку можно сделать, если есть
какая-та доп. информация. Вот почему закон охраняет обезличенные ПД также, как и не
обезличенные.
И РКН говорит: «Обезличивание ПД должно обеспечивать не только защиту от
несанкционированного использования, но и возможность их обработки. Для этого обезличенные
данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых
персональных данных». (Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований
и методов по обезличиванию персональных данных", п. 3).
Теперь вспоминаем принцип «ПД нельзя хранить вечно». Обрабатываемые ПД подлежат
уничтожению либо обезличиванию по достижении целей обработки. Безопаснее уничтожить. Но,
если вам уж очень нужно для каких-то целей, можно и обезличить.
Выгода обезличивания: с ПД все еще можно работать, но при утечке – не утекут сведения о
конкретном человеке, и он не предъявит вам иск. Методов обезличивания минимум 4, согласно
приказу РКН №996, "Об утверждении требований и методов по обезличиванию ПД», (п. 11).
Наиболее популярны первые два: «метод введения идентификаторов (замена части
сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника)
соответствия идентификаторов исходным данным);
метод изменения состава или семантики (изменение состава или семантики персональных
данных путем замены результатами статистической обработки, обобщения или удаления части
сведений);» Попросту говоря:
1. Кодировка. Было «Иванов Иван Иванович занес нам 10 000 руб. за бракоразвод в 2011г.,
потрачено 50 часов времени». Обезличили, стало: «Клиент №1 …» - и далее по тексту. А в сейфе –
таблица, где «Клиент №1 = Иванов Иван Иванович»
2. Выборочное стирание/сокращение – как в решениях СОЮ.

21.

4.5. Законность обезличивания.
Слышал от коллег, будто РКН отстаивал позицию – обезличивать могут только гос.
органы. Уже нет. Принят Федеральный закон от 08.08.2024 N 233-ФЗ "О внесении изменений
в ФЗ «Закон о ПД», поэтому с 01.09.25г. в Закон о ПД добавят ст. 13.1., там, п.3:
«Оператор после получения требования, указанного в части 2 настоящей статьи,
обязан обезличить обрабатываемые им ПД в соответствии с требованиями к обезличиванию
персональных данных, методами обезличивания персональных данных и порядком
обезличивания персональных данных, которые устанавливаются Правительством
Российской Федерации по согласованию с федеральным органом исполнительной власти,
уполномоченным в области обеспечения безопасности (далее - требования к
обезличиванию).
Выполнение оператором требований к обезличиванию должно исключить наличие в
ПД, полученных в результате обезличивания, информации, доступ к которой ограничен
федеральными законами».
Да, создают общую БД обезличенных ПД, но нас интересует другое: обезличивать ПД
будет можно полностью на законных основаниях. Думаю, можно уже сейчас, т.к.
ответственности за обезличивание нет.

22.

5. Обработка ПД, понятие
«обработка ПД - любое действие (операция) или совокупность действий (операций),
совершаемых с использованием средств автоматизации или без использования таких
средств с персональными данными, включая сбор, запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование, удаление,
уничтожение ПД;» (ст. 3, п. 3) (отрытый перечень)
Сбор – получение ПД от субъекта ПД (от человека)
Предоставление – передача ПД опред. лицу или кругу лиц. (ст. 3, п.6)
Распространение – раскрытие ПД неопределенному кругу лиц. (ст. 3, п.5)
Трансграничная передача – передача ПД на территорию иностранного государства
органу власти иностранного государства, иностранному физическому лицу или иностранному
юр. лицу. (ст. 3, п. 11)
Блокирование – временное прекращение обработки ПД, как правило, в ИС
(информационных системах). (ст. 3, п.6)
Удаление (уничтожение) – уничтожение самих ПД (в ИС) или уничтожение носителя
вместе с ПД (к примеру, сожгли договор с самозанятым)

23.

5.1. Обработка ПД. Оператор.
Кто обрабатывает ПД? Оператор. А кто оператор? Оператор ПД «оператор – гос. орган,
муницип. орган, юр. или физ лицо, самостоятельно или совместно с другими лицами организующие
и (или) осуществляющие обработку ПД, а также определяющие цели обработки персональных
данных, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД» (ст. 3, п. 2)
Суды идут еще дальше: «оператором признается лицо, осуществляющее либо
намеревающееся производить обработку персональных данных, и ФЗ N 152-ФЗ не связывает
признание лица оператором с фактом его включения (регистрации) в реестр операторов,
осуществляющих обработку ПД.
Поэтому правовое значение для квалификации деятельности лица в качестве деятельности
оператора имеет факт осуществления этим лицом видов деятельности, при которых оно может
обрабатывать персональные данные, а равно иметь намерение осуществлять такие виды
деятельности». (Постановления ФАС ДВО от 28.05.2020 N Ф03-1734/2020 по делу N А51-8681/2019,
от 15.06.2020 N Ф03-1751/2020 по делу N А51-8682/2019).
Туда же и РКН: «Обязанности оператора установлены гл. 4 ФЗ о ПД, которые операторы
исполняют независимо от включения в реестр операторов, осуществляющих обработку
персональных данных, который ведет Роскомнадзор». (<Информация> Роскомнадзора «Ответы на
вопросы в сфере защиты прав субъектов персональных данных»)
«Если вы получаете, храните, используете или совершаете иные действия с персональными
данными граждан, это признается их обработкой, а вы – оператором». (РКН, ответы на вопросы за
2022г). Отсюда:
Сотовый есть? А если найду?); Формально – оператор каждый… Близко к маразму,
наверное… Тогда не-оператор бабка с базара без телефона… Тогда с 30.05.2025г. каждого можно
привлекать по 13.11 КоАП, п. 10, обработка без включения в реестр – от 5 до 10 руб. на физика –
гражданин, вас нет в реестре операторов… Так, что ли?!
Нет. Спасает ст. 22 закона, п. 2, п.п.8): «Оператор вправе осуществлять без уведомления
уполномоченного органа по защите прав субъектов ПД обработку ПД:… если оператор
осуществляет деятельность по обработке персональных данных исключительно без использования
средств автоматизации;» Что за софт у вас в телефоне?);

24.

5.2. Обработка ПД, виды (способы)
1. Не-автоматизированная (руками – вспоминаем картотеку, архив дел и т.д., а также –
на компе, но без автоматизации) «Положение об особенностях обработки ПД,
осуществляемой без использования средств автоматизации», утв. Постановление
Правительства РФ от 15.09.2008 N 687. – хорошо, не надо уведомлять РКН и становиться в
реестр.
2. Автоматизированная обработка персональных данных - обработка персональных
данных с помощью средств вычислительной техники;
3. Смешанная – помесь авто и ручной. В законе нет, придумали в РКН.
Важно, т.к. разные способы – разные требования – разный пакет документов – и разная
ответственность.

25.

5.3. Неавтоматизированная обработка.
Основной документ - «Положение об особенностях обработки ПД, осуществляемой без
использования средств автоматизации», утв. Постановление Правительства РФ от
15.09.2008 N 687. Понятие:
«Обработка ПД, содержащихся в информационной системе ПД либо извлеченных из
такой системы (далее - персональные данные), считается осуществленной без
использования средств автоматизации (неавтоматизированной),
если такие действия с ПД, как использование, уточнение, распространение,
уничтожение ПД в отношении каждого из субъектов ПД, осуществляются при
непосредственном участии человека». (п.1)
Это обработка ПД на материальных носителях (чаще всего – старая добрая бумага,
компьютерные файлы на флешке/диске, крайне редко – что-то другое, к примеру, аудио-файл
с диктофона). Общий подход к обработке почему-то оказался в последнем пункте
постановления (п. 15):
«При
хранении
материальных
носителей
должны
соблюдаться
условия,
обеспечивающие сохранность ПД и исключающие несанкционированный к ним доступ.
Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также
перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором».
Чего от нас хотят, в частности:
1. Определить места хранения ПД. (запираемые помещения, шкафы, ящики и т.д.)
2. Разные цели обработки ПД – разные места хранения.
3. Определить перечень ответственных за безопасность ПД («обработчики» и имеющие
доступ к ПД в эти места). (каждый за свою «грядку»)
4. Лица (работники) должны знать, что они обрабатывают ПД.
5. Документ (носитель) с ПД должен быть отделен от документов без ПД (п. 4)
6. Нельзя размещать на одном носителе ПД «цели обработки которых заведомо не
совместимы» (п. 5) 7. Одна категория ПД – один носитель. (п. 5) + 8. Сведения об
уничтожении (обезличивании) ПД / носителей ПД.

26.

5.3. Неавтоматизированная обработка. Отличия от авто.
Положение написано под бумажные носители, но важно понимать:
«… обработка ПД, содержащихся в информационной системе ПД либо извлеченных из такой
системы,
считается
осуществленной
без
использования
средств
автоматизации
(неавтоматизированной), если такие действия с ПД, как использование, уточнение,
распространение, уничтожение ПД в отношении каждого из субъектов ПД, осуществляются при
непосредственном участии человека.
В п. 2 Положения N 687 прямо указано, что обработка персональных данных не может быть
признана осуществляемой с использованием средств автоматизации только на том основании, что
персональные данные содержатся в информационной системе персональных данных либо были
извлечены из нее.
Таким образом, обработка ПД (сбор ПД) с использованием сайта в сети "Интернет" не
приравнивается к использованию средств автоматизации, а по смыслу приведенных положений
применение вычислительной техники при обработке персональных не относится к использованию
средств автоматизации, если такая обработка осуществляется непосредственно человеком.
Если информация вносится, изменяется, передается и уничтожается персонально по
каждому
субъекту
персональных
данных
вручную,
обработка
считается
неавтоматизированной,
в то время как если используемые оператором программы могут самостоятельно
переформатировать данные, выбирать их по установленным параметрам, передавать
внешним пользователям без необходимости просмотра и проверки персональных данных
по каждому субъекту в отдельности, то такая обработка является автоматизированной.
Решающую роль при определении использования средств автоматизации имеет не то,
каким образом, персональные данные получены, а то каким образом осуществляется их
обработка.
…каких-либо доказательств, подтверждающих, что товариществом используется программа,
осуществляющая обработку персональных данных в автоматизированном режиме без участия
человека, материалы дела не содержат». (Постановление Девятого арбитражного апелляционного
суда от 19.11.2024 N 09АП-55619/2024 по делу N А40-12676/2024 – прекрасно разграничили!)

27.

5.3. Неавтоматизированная обработка., ответственность.
КоАП, ст. 13.11., п. 6. Невыполнение оператором при обработке ПД без использования
средств автоматизации обязанности по соблюдению условий, обеспечивающих в
соответствии с законодательством Российской Федерации в области ПД сохранность ПД при
хранении
материальных
носителей
персональных
данных
и
исключающих
несанкционированный к ним доступ,
если это повлекло неправомерный или случайный доступ к ПД, их уничтожение,
изменение, блокирование, копирование, предоставление, распространение либо иные
неправомерные действия в отношении ПД, при отсутствии признаков уголовно наказуемого
деяния влечет наложение административного штрафа на граждан в размере от одной тысячи
пятисот до четырех тысяч рублей; на должностных лиц - от восьми тысяч до двадцати тысяч
рублей; на индивидуальных предпринимателей - от двадцати тысяч до сорока тысяч рублей;
на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.
На практике – всюду предписания об устранении нарушений.
Но было и три дела со штрафами.
Самое раннее, дело ОАО "Первое коллекторское бюро":
«Нарушения пункта 3 статьи 3, части 7 статьи 5, части 4 статьи 21 Закона о ПД
выразились в том, что анкеты заемщиков (должников), содержащие ПД, и использование
которых завершено, в установленном порядке не уничтожены.
Хранение ранее использованных в работе анкет с персональными данными в
помещении структурного подразделения Общества осуществляется в картонных
коробках в шкафу без запирающего устройства, что не обеспечивает ограничение
доступа к данным третьих лиц. Акты об уничтожении ранее использованных
персональных данных не представлены». (Постановление Псковского областного суда от
14.07.2016 N 4А-103/2016, штраф 5 000 на юрика, сейчас будет от 50 000)

28.

5.3. Неавтоматизированная обработка., ответственность.
Второе: «Постановлением мирового судьи судебного участка N 4 Березниковского
судебного района Пермского края от 25.04.2018 ООО "БВК" признано виновным в
совершении
административного
правонарушения,
ответственность
за
которое
предусмотрена ч. 6 ст. 13.11 КоАП РФ, ему назначено наказание в виде административного
штрафа в размере 25 000 руб. (л.д. 52-53).
Из материалов дела об административном правонарушении следует, что ООО "БВК",
являясь оператором, обрабатывающим персональные данные граждан, в нарушение ч. 1 ст.
19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в офисе по
адресу: <...>,
допустило использование документов с персональными данными граждан в
качестве черновиков, тем самым не выполнило обязанности по соблюдению условий,
обеспечивающих в соответствии с законодательством РФ в области персональных данных
сохранность данных при хранении материальных носителей персональных данных и
исключающих несанкционированный к ним доступ, что повлекло случайный доступ к
персональным данным». (Постановление Пермского краевого суда от 30.08.2018 по делу N
44а-1189/2018).
Печать на черновиках – распространенная практика, вы там поосторожней.

29.

5.3. Неавтоматизированная обработка. Практика.
Третье. «Как усматривается из материалов дела, основанием для привлечения АМО
"Суоярвский район" к административной ответственности послужили следующие
обстоятельства. В ходе рассмотрения обращения (...). по вопросам, связанным с
проведением 23 июня 2017 года конкурса на замещение должности главы администрации
муниципального образования "Суоярвский район" и назначением на указанную должность
(...). прокуратурой Суоярвского района было установлено, что комиссией по рассмотрению
заявок кандидатов на должность главы администрации района были признаны допущенными
до собеседования и вынесены для утверждения в Совет депутатов муниципального
образования "Суоярвский район" кандидатуры (...). и (...)В. В указанных случаях имелся
полный пакет документов, в том числе характеристики (отзывы) с последнего места работы
кандидатов.
В свою очередь, в ходе проверки, проведенной прокуратурой Суоярвского района 01
декабря 2017 года, было установлено, что в личном деле муниципального служащего
(...)В., а также в конкурсной документации вышеуказанная характеристика (отзыв)
отсутствует, ее фактическое местонахождение прокуратурой района не установлено.
По результатам данной проверки заместитель прокурора Суоярвского района вынес
постановление
о
возбуждении
дела
об
административном
правонарушении,
предусмотренном ч. 6 ст. 13.11 КоАП РФ, от 18 декабря 2017 года в отношении
администрации муниципального образования "Суоярвский район".
Административное наказание в виде административного штрафа в размере 25 000
рублей назначено в пределах санкции ч. 6 ст. 13.11 КоАП РФ». (Постановление Верховного
суда Республики Карелия от 18.10.2018 N 4А-308/2018)
То же самое может быть и при исчезновении любого документа с ПД.

30.

5.4. Автообработка.
Мат. часть: ст. 19 Закона о ПД + «Требования к защите ПД при их обработке в
информационных системах ПД», утв. постановлением Правительства РФ от 01 ноября 2012 г.
N 1119., а также:
«Состав и содержание организационных и технических мер по обеспечению
безопасности ПД при их обработке в информационных системах ПД», утв. приказом ФСТЭК
России от 18 февраля 2013 г. N 21.
В целом, режим тот же, как и по ручной обработке – назначьте ответственных,
определите помещения и т.д. Однако есть и доп. специфика:
1). Оценка угроз безопасностей + выработать меры защиты (ст. 19, п. 2, п.п.1)
2). Более полный учет носителей (ноутбуки, флешки, диски, сервер). (ст. 19, п. 2, п.п.5)
3). Вести учет действий пользователей в системе. (ст. 19, п. 2, п.п.8)
4). Ограничивать права доступа для разных категорий пользователей. (ст. 19, п. 2, п.п.8)
5). Безопасность при передачи по сети (в т.ч. Интернет).
ЕЩЕ РАЗ, ОПРЕДЕЛИТЕСЬ: ЕСТЬ ЛИ У ВАС АВТООБРАБОТКА?! ТОЧНО?
Сложнее всего с п. 1). Здесь нужно садиться и разрабатывать документ «Модель угроз
безопасности ПД при их обработке в информационной системе ПД». В помощь:
А) "Методический документ. Методика оценки угроз безопасности информации",
утвержденный ФСТЭК России 5 февраля 2021 г.;
Б) "Базовая модель угроз безопасности персональных данных при их обработке в
информационных системах персональных данных", утвержденная ФСТЭК России 15
февраля 2008 г. (нет документа – предписание; почему-то за наруш. требований по
автообработке нет штрафа).
Бонус: https://admvol.ru/upload/iblock/9fd/il7c4qg0togb3fxbqeh7hv21iyi6aefi.pdf
Скачай и переработай под себя); Лучше заранее, чем за одну ночь все писать под
угрозой штрафа за неисполнение предписания.

31.

5.4. Автообработка.
Вы можете столкнуться с позицией РКН: Приказ Росархива от 20.12.2019 N 236 к
автообработке не применим, поэтому сроки из приказа не применимы, и ПД после
достижения цели должны быть уничтожены.
Вспоминаем дело ПАО "Аэрофлот-Российские Авиалинии" vs РКН, Постановление
Девятого арбитражного апелляционного суда от 09.02.2022 N 09АП-87227/2021 по делу N
А40-163911/202 «… хранение документов, в том числе архивное хранение, может
осуществляться не только в бумажном, но и в электронном виде».
Но и 10 лет назад был прецедент:
«…в настоящее время не обязательно, чтобы первичные документы были
именно в бумажном варианте, поскольку им на смену приходит электронная
документация и главное, что бы цифровой вариант первичной документации
соответствовал определенным форматам.
Хранение первичных документов, документов бухгалтерского и налогового учета
может осуществляться в электронном виде, если иное не предусмотрено
нормативными правовыми актами Российской Федерации». (Постановление ФАС
Московского округа от 29.10.2012 по делу N А40-13390/12-89-62)

32.

5.5. Смешанная.
Смешанная обработка ПД. В законе такого нет. Скорей всего, придумали в РКН, т.к.. при
подаче уведомления об обработке ПД можно указать смешанную обработку. И на практике
понимают так:
«В ходе проверки было установлено, что МУКП "Петушки" осуществляет смешанную
(автоматизированную и без использования средств автоматизации) обработку
персональных данных».
(Апелляционное определение Владимирского областного суда от 20.01.2015 по делу N
33-139/2015, Постановление Четвертого арбитражного апелляционного суда от 17.01.2011 по
делу N А19-25289/2009, Постановление ФАС Восточно-Сибирского округа от 05.04.2011 по
делу N А19-25289/09, самое свежее - Постановление Девятнадцатого арбитражного
апелляционного суда от 05.02.2019 по делу N А08-3948/2018).
Если установят смешанную, значит вы должны соблюдать требования и по ручной, и по
автоматической. Вот вам предписание, устраняйте – принимайте недостающие документы.

33.

6. Основания обработки ПД. Не только согласие, как все привыкли.
Для обработки ПД нужно основание, хотя бы одно.
1. Согласие. Наиболее распространенное. К примеру, обработка ПД работников. Бывает
нескольких видов (подробнее в след. ьеме)
2. Договор как законное основание:
А). «обработка ПД необходима для исполнения договора, стороной которого либо
выгодоприобретателем или поручителем по которому является субъект ПД,
Б) также для заключения договора по инициативе субъекта ПД или договора, по которому
субъект ПД будет являться выгодоприобретателем или поручителем». (ст. 6, п. 1, п.п. 5). – опасно,
т.к. если договор не будет заключен = вы обрабатывали ПД без согласия; применимо и по
работникам, и по ИП-шникам, и по самозанятым) (ст. 6, п. 1, п.п. 5)
Неудачно сформулирована статья 6 Закона о ПД., п.1. «Обработка ПД должна
осуществляться с соблюдением принципов и правил, предусмотренных настоящим ФЗ. Обработка
ПД допускается в следующих случаях:» - пропущены слова БЕЗ СОГЛАСИЯ.
3. Иное законное основание:
1). «обработка ПД необходима для достижения целей, предусмотренных международным
договором
РФ
или
законом,
для
осуществления
и
выполнения
возложенных
законодательством РФ на оператора функций, полномочий и обязанностей;» (ст. 6, п. 1, п.п.
2). Пример – исп. требование банка по ФЗ-115.
2). «обработка ПД необходима для исполнения судебного акта, акта другого органа или
должностного лица, подлежащих исполнению в соответствии с законодательством РФ об
исполнительном производстве (далее - исполнение судебного акта) (ст. 6, п. 1, п.п. 3.1.)
3). «обработка ПД, подлежащих опубликованию или обязательному раскрытию в
соответствии с федеральным законом». (ст. 6, п. 1, п.п. 11) – вот почему на указание ПД директора
в договоре отдельное согласие не нужно, а на представителя по доверенности, иного исполнителя

34.

6. Основания обработки ПД. Не только согласие…
4. Законный интерес оператора.
1). «обработка ПД необходима для осуществления прав и законных интересов оператора или
третьих лиц, в том числе в случаях, предусмотренных ФЗ "О защите прав и законных интересов
физических лиц при осуществлении деятельности по возврату просроченной задолженности…",
2). либо для достижения общественно значимых целей при условии, что при этом не нарушаются
права и свободы субъекта ПД» (ст. 6, п. 1, п.п. 7)
В литературе можно встретить мнение «Данное основание имеет субсидиарный характер по
отношению к иным основаниям для обработки ПД без согласия оператора и не должно использоваться для
обхода условий и ограничений, установленных в них» (Савельев А.И.)
На практике это скорее меч, чем щит… Наиболее распространено в «корпоративке»: «…согласно
разъяснениям, содержащимся в пункте 15 информационного письма Президиума ВАС РФ от 18.01.2011 N
144, в силу пункта 2 статьи 6 ФЗ от "О персональных данных" (в прежней редакции)
не требуется согласия физ. лиц, вступивших в правоотношения с обществом, на предоставление
участнику хозяйственного общества документов, содержащих ПД таких физических лиц (фамилию, имя,
отчество и место жительства физического лица, иную информацию, необходимую для обращения в суд в
соответствии с требованиями процессуального законодательства, сведения о размере вознаграждения
физического лица и т.д.),
если эта информация необходима участнику для целей защиты своих прав и законных интересов,
например оспаривания сделки, заключенной с этим лицом, либо обращения в суд с иском к члену совета
директоров (наблюдательного совета) общества, ЕИО общества, временному ЕИО общества, члену
коллегиального исполнительного органа общества (правления, дирекции), равно как и к управляющему о
возмещении причиненных обществу убытков.
Указанное положение в общем виде закреплено в пункте 7 части 1 статьи 6 ФЗ "О персональных
данных" в новой редакции, согласно которому обработка ПД может осуществляться без согласия субъекта
ПД, если она необходима для осуществления прав и законных интересов оператора или третьих лиц при
условии, что в этом случае не нарушаются права и свободы субъекта ПД.
Арбитражный суд, оценив обстоятельства дела и представленные в дело доказательства, пришел к
верному выводу о том, что в результате невыполнения АО "Питание" требования Мардановой М.Ш. о
предоставлении ей запрашиваемых документов было нарушено право истца, как акционера общества, на
получение информации его деятельности.» (Постановление Первого арбитражного апелляционного суда
от 08.06.2018 N 01АП-3661/2018 по делу N А11-15611/2017)

35.

6. Основания обработки ПД. Не только согласие…
Встречается и в недвижимости. Банк за долги отжал жилой дом и земельный участок.
Написал запрос в УФМС – «предоставьте сведения о зарегистрированных лицах». Получил
отказ – это ПД, не можем.
«На основании статьи 209 ГК собственнику принадлежат права владения, пользования
и распоряжения своим имуществом. Собственник вправе по своему усмотрению совершать в
отношении принадлежащего ему имущества любые действия, не противоречащие закону и
иным правовым актам…
В силу статьи 209 ГК следует, что собственник недвижимости (банк) вправе в любом
случае знать и получать информацию о лицах, имеющих регистрацию в этом объекте
недвижимости независимо от возражений этих лиц, что в свою очередь означает, что орган
регистрационного учета не вправе препятствовать собственнику в получении такой
информации. В данном случае ограничительные положения Закона N 152-ФЗ не
применяются.
Суд апелляционной инстанции правомерно установил, что в данном случае
информация необходима собственнику объекта недвижимости - банку для ведения
досудебного урегулирования вопросов о добровольном освобождении объекта
недвижимости и снятия зарегистрированных лиц с учета.
Воспрепятствование банку в получении запрашиваемой информации нарушает права
банка как собственника объекта недвижимости».
(Постановление Арбитражного суда
Северо-Кавказского округа от 08.09.2015 N Ф08-6355/2015 по делу N А63-12601/2014)
Т.е. это основание скорее позволяет получить ПД, чем сохранить…

36.

6. Основания обработки ПД. Не только согласие…
5. Защита жизни/здоровья. «обработка ПД необходима для защиты жизни, здоровья
или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта
персональных данных невозможно;» (ст. 6, п. 1, п.п. 6).
Практики нет, но примеры из жизни:
1). Вызов скорой – сообщить данные пострадавшего врачу.
2). Объявление о пропаже человека – распространение ПД пропавшего
неопределенному кругу лиц, но закон разрешает, т.к. для благой цели.
6. Наука/литература/творчество. «обработка персональных данных необходима для
осуществления профессиональной деятельности журналиста и (или) законной деятельности
средства массовой информации либо научной, литературной или иной творческой
деятельности при условии, что при этом не нарушаются права и законные интересы
субъекта персональных данных; (ст. 6, п. 1, п.п. 8).
Ага, а потом приняли ст. 10.1. «Особенности обработки персональных данных,
разрешенных субъектом персональных данных для распространения» (введена ФЗ от
30.12.2020 N 519-ФЗ):
«Согласие на обработку персональных данных, разрешенных субъектом персональных
данных для распространения, оформляется отдельно от иных согласий субъекта
персональных данных на обработку его персональных данных».
И встал вопрос о соотношении.

37.

6. Основания обработки ПД. Не только согласие…
«Из системного толкования части 1 статьи 6 ФЗ "О персональных данных" следует, что
к случаям, не требующим согласия субъекта персональных данных на их обработку, среди
прочих относятся случаи,
когда такая информация необходима для достижения общественно значимых целей
либо для осуществления профессиональной деятельности журналиста, законной
деятельности средства массовой информации,
научной, литературной или иной творческой деятельности, если при этом не
нарушаются права, свободы и законные интересы субъекта персональных данных (пункты 7
и 8), и случаи обработки персональных данных, подлежащих опубликованию или
обязательному раскрытию в соответствии с федеральным законом (пункт 11).
Указанные исключения - а обработка персональных данных в форме их
распространения в сети Интернет может расцениваться как один из случаев
распространения информации о частной жизни лица - должны толковаться в свете
предписаний пункта 1 статьи 152.2 ГК Российской Федерации,
согласно которому не является нарушением правила о недопустимости сбора,
хранения, распространения и использования такой информации без согласия лица
совершение указанных действий в государственных, общественных или иных публичных
интересах, а также в случаях, если информация о частной жизни гражданина ранее
стала общедоступной либо была раскрыта им самим или по его воле».
(Постановление Конституционного Суда РФ от 25.05.2021 N 22-П)
На практике лучшее основание – согласие.

38.

7. Что у вас должно быть, необходимый минимум документов
1. Приказы о назначении ответственных за ПД (для юр. лица… а для ИП?!).
ст. 18.1, ст. 22.1 Закона, п.1. + П. 13, 15 Постановление Правительства РФ от 15.09.2008
N 687. (нет – предписание, см. Постановление Двадцатого арбитражного
апелляционного суда от 09.10.2020 N 20АП-4917/2020 по делу N А23-1680/2020)
2. Положение (иной документ, политика и т.д.) об обработке ПД (ст. 18.1, п. 1,
п.п.2) В политике должно быть: «для каждой цели обработки ПД категории и перечень
обрабатываемых ПД, категории субъектов, ПД которых обрабатываются, способы,
сроки их обработки и хранения, порядок уничтожения персональных данных при
достижении целей их обработки или при наступлении иных законных оснований»
(нет или не обеспечили доступ – штраф по ст. 13.11 КоАП, п. 3)
3. Приказ (иной документ) «о применении правовых, организационных и
технических мер по обеспечению безопасности ПД». (ст. 18.1, п. 1, п.п.3)
(в теории, предписание)
4. Правила внутреннего контроля соответствия обработки ПД закону. (ст.
18.1, п. 1, п.п.4), «осуществление внутреннего контроля и (или) аудита соответствия
обработки ПД настоящему ФЗ и принятым в соответствии с ним нормативным
правовым актам, требованиям к защите персональных данных, политике оператора в
отношении обработки персональных данных, локальным актам оператора;»
(предписание - Постановление Арбитражного суда Московского округа от
15.01.2018 N Ф05-18981/2017 по делу N А40-81171/17-149-793)

39.

7. Что у вас должно быть, продолжение
5. Правила оценки вреда, который может быть причинен субъектам ПД, и
соотношения указанного вреда и принимаемых мер. (ст. 18.1, п. 1, п.п.5), «локальных
актов, устанавливающих процедуры, направленные на предотвращение и выявление
нарушений законодательства РФ, устранение последствий таких нарушений».
(в теории, предписание)
5.1. Акт оценки вреда. п. 4 Требований, утвержденных Приказом Роскомнадзора от
27.10.2022 N 178 (в теории, предписание)
6. Журнал или иной документ, подтверждающий «ознакомление работников
оператора,
непосредственно
осуществляющих
обработку
ПД,
с
положениями
законодательства о ПД, в том числе требованиями к защите ПД, документами,
определяющими политику оператора в отношении обработки ПД, ЛНА по вопросам
обработки ПД, и (или) обучение указанных работников». (в теории, предписание)
7. Документ об учете машинных носителей ПД. (ст. 19, п.2, п.п. 5).
(в теории, предписание)
8. Согласия на обработку ПД работников. (штраф по ст. 13.11 КоАП, п. 1; реже – по
5.27 КоАП).
9. Согласие на передачу ПД работника контрагенту, если работник упомянут в
договоре с контрагентом. (в теории, штраф по тем же статьям КоАП).
-------------10. Модель угроз безопасности ПД при их обработке в информационной системе
ПД. Только для авто-обработки ПД. (ст. 19, п.2, п.п. 1).
(в теории, предписание)
11. Уведомление о включении в реестр. Только для авто-обработки ПД. Для ручной
уведомлять не надо - ст. 22, п.2, п. 8) (с 30.05.2025 – штраф по ст. 13.11 КоАП, п. 10)

40.

8. Что должно быть, подробнее.
1. Приказы. Каждый отвечает за свой огород. Миф о директоре и сниженной
ответственности.
2. Политика. Какая должны быть, еще раз, подробно: «В политике должно быть: «для
каждой цели обработки ПД категории и перечень обрабатываемых ПД, категории субъектов,
ПД которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения
персональных данных при достижении целей их обработки или при наступлении иных
законных оснований»
В К+ шесть положений и одна политика, если ничего лучше не придумаете – берите и
пользуйтесь, штрафа за отсутствие точно не будет. Там, кратко:
«1) осуществление своей деятельности в соответствии с уставом ООО "Верона", в том
числе заключение и исполнение договоров с контрагентами;
2) исполнение трудового законодательства в рамках трудовых и иных непосредственно
связанных с ним отношений, в т.ч: содействие работникам в трудоустройстве, получении
образования и продвижении по службе, привлечение и отбор кандидатов на работу у
Оператора, обеспечение личной безопасности работников, контроль количества и качества
выполняемой работы, обеспечение сохранности имущества, ведение кадрового и бухучета,
заполнение и передача в уполномоченные органы требуемых форм отчетности, организация
постановки на индивидуальный (персонифицированный) учет работников в системах
обязательного пенсионного страхования и обязательного социального страхования;
РАСПИШИТЕ ПО ПУНКТАМ, НЕ ВАЛИТЕ ВСЕ ДО КУЧИ.
3) осуществление пропускного режима».

41.

8. Что должно быть, подробнее. Приказ о мерах.
3. Приказ (иной документ) «о применении правовых, организационных и
технических мер по обеспечению безопасности ПД». В К+ нет. Может быть предельно
коротким, главное, чтобы он был. Это документ о том, что сделано – а не о том, что вы
планируете сделать (частая ошибка). В самом простом - но рабочем - виде выглядит так:
«В ООО «Авалон» приняты следующие правовые, организационные и технические
меры по обеспечению безопасности ПД:
1. Правовые меры: принята политика, заведен журнал об учете машинных носителей
ПД и т.д. – перечисляете все, что у вас есть из документов по охране ПД. + разработаны
согласия на обработку ПД.
2. Организационные меры:
1). Обработка ПД происходит только в каб. №2 (бухгалтерия) и в к каб. №3 (айти-отдел)
2). Назначены ответственные (главбух и сисадмин)
3). Сотрудники, обрабатывающие ПД письменно предупреждены об ответственности, в
т.ч. об увольнении по ТК, ст. 81, п. 6, п.п. в) «разглашения охраняемой законом тайны
(государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с
исполнением им трудовых обязанностей, в т.ч. разглашение ПД другого работника»
3. Технические меры:
1). Обработка ПД происходит только в каб. №2 (бухгалтерия) и в к каб. №3 (айти-отдел)
2). Папки с ПД в запирающихся шкафах, занавески на окнах, сигнализация.
3). Комп с ПД отключен от интернета, что исключает взлом через сеть.
4). Флешка с ПД в сейфе.
5) и так далее…»

42.

8. Что должно быть, подробнее. ПВК по ПД.
4. Правила внутреннего контроля соответствия обработки ПД закону. В К+ нет.
Утверждаем приказом директора, назначаем ответственного за исполнение – или один из
ответственных за ПД, или несколько, или сам директор.
«1. Правила внутреннего контроля соответствия обработки ПД в ООО «Авалон», далее –
«Общество» требованиям к защите ПД, установленным ФЗ от 27.07.2006 N 152-ФЗ "О
персональных данных», ТК, иным нормативным актам, далее – «Правила», приняты для выявления
и предотвращений нарушений законодательства РФ о ПД, также определяют основания и виды
внутреннего контроля соответствия обработки ПД требованиям к защите ПД.
2. Общество проводит два вида внутреннего контроля. Плановый и внеплановый.
3. Плановый – раз в три года. Дата начала – на усмотрение ответственного лица (ОЛ главбух, сисадмин и т.д.). О начале планового контроля ОЛ уведомляет Директора и СБ любым
доступным способом. Плановый контроль должен быть завершен в течении 2 (двух) недель со дня
начала. Итоги контроля ОЛ оформляет согласно п. 8 Правил.
4. Внеплановый (ВВК), если: 1). изменилось законодательство о ПД; 2). есть основания
подозревать угрозу утечки ПД: 3). Планируется введение новых процессов, предполагающих
обработку ПД: 4). планируется установка нового программного обеспечения (НПО), если это НПО
связанно с обработкой ПД (в данном случае контроль может быть проведен только в части НПО)
5. ОЛ немедленно уведомляет директора и СБ о наличии оснований для проведения
внепланового внутреннего контроля (ВВК) любым доступным способом.
6. ОЛ обязано провести ВВК в течении 3 (трех) рабочих дней со дня появления основания
для проведения, если Директор не установил иной срок.
7. Срок проведения ВВК – три рабочих дня. ОЛ вправе увеличить срок еще на три рабочих
дня, если за первые три дня контроль провести невозможно. Дальнейшее продление срока - с
санкции Директора.
8. По итогам ВВК ОЛ составляет справку и в течение одного рабочего дня направляет справку
Директор и СБ».
(за основу взял Приказ ФССП России от 17.09.2020 N 672 (ред. от 22.08.2022) "Об обработке
персональных данных в органах принудительного исполнения РФ", приложение 9. и там справка, а не
акт; и срок планового контроля раз в три года – и он есть в К+)

43.

8. Что должно быть, подробнее. Порядок (иной документ) оценки вреда.
Закон говорит «оценка вреда в соответствии с требованиями, установленными
уполномоченным органом по защите прав субъектов ПД, который может быть причинен
субъектам ПД в случае нарушения настоящего ФЗ, соотношение указанного вреда и
принимаемых оператором мер, направленных на обеспечение выполнения обязанностей,
предусмотренных настоящим Федеральным законом;» (18.1., п.5).
Требования = Приказ Роскомнадзора от 27.10.2022 N 178 "Об утверждении Требований
к оценке вреда, который может быть причинен субъектам персональных данных в случае
нарушения Федерального закона "О персональных данных» (Зарегистрировано в Минюсте
России 28.11.2022 N 71166)
Там, п.2: «Оператор для целей оценки вреда определяет одну из степеней вреда,
который может быть причинен субъекту персональных данных в случае нарушения Закона о
ПД:
1). высокая – обработка спец. категорий ПД, биометрия, РД несовершеннолетних,
поручение обработки ПД иностранному лицу;
2). средняя - обработка ПД в дополнительных целях, отличных от первоначальной
цели сбора, продвижения товаров, работ, услуг на рынке путем осуществления прямых
контактов с потенциальным потребителем с использованием баз ПД, владельцем которых
является иной оператор; и т.д.
3). низкая - ведения общедоступных источников ПД, сформированных в соответствии
со статьей 8 Закона о ПД (справочники, адресные книги), назначения в качестве
ответственного за обработку ПД лица, не являющегося штатным сотрудником оператора».
+ требование составить акта оценки вреда

44.

8. Что должно быть. Порядок оценки вреда. Пример.
Берегите бумагу. Не переписывайте приказ 178 полностью, как обычно делают. А
некоторые еще и пол Закона о ПД);
«Порядок оценки вреда ООО «Авалон», далее – «Оператор»,
вреда, который может быть причинен субъекту ПД.
1. Субъекту ПД может быть причинён вред в форме:
а) убытков – расходов, которые лицо, чье право нарушено, понесло или должно будет
понести для восстановления нарушенного права, утраты или повреждения его имущества
(реальный ущерб), а также неполученных доходов, которые это лицо получило бы при
обычных условиях гражданского оборота, если бы его право не было нарушено;
б) морального вреда – физических или нравственных страданий, причиняемых
действиями, нарушающими личные неимущественные права гражданина либо посягающими
на принадлежащие гражданину другие нематериальные блага, а также в других случаях,
предусмотренных законом.
Вред субъекту ПД может возникнуть результате неправомерного или случайного доступа
к
ПД,
уничтожения,
изменения,
блокирования,
копирования,
предоставления,
распространения персональных данных, а также от иных неправомерных действий в
отношении ПД.
2. Оператор оценивает степень вреда, который может быть причинен субъекту ПД,
происходит согласно приказа Роскомнадзора от 27.10.2022 № 178 «Об утверждении
Требований к оценке вреда, который может быть причинен субъектам персональных
данных…», далее – «Приказ 178», по трем степеням – низкая, средняя, высокая.
3. Общество обрабатывает ПД без средств автоматизации и без использования сети
Интернет. Обработка ПД происходит для исполнения ГПХ договоров с партнерами, трудовых
договоров с работниками, соблюдения закона, в т.ч. сдачи отчетности в налоговую и прочие
органы. Критерии высокой степени вреда из Приказа 178 отсутствуют.

45.

8. Что должно быть. Порядок оценки вреда. Пример, окончание
4. Поскольку Приказ 178 не позволят отнести обработку ПД без средств автоматизации и
без использования сети Интернет к низкой степени опасности, и в то же время, всегда есть
риск случайной «обработки ПД в дополнительных целях, отличных от первоначальной цели
сбора»,
Оператор для целей оценки вреда определяет степень вреда, который может быть
причинен субъекту ПД в случае нарушения законодательства как СРЕДНЮЮ. О чем
составлен прилагаемый акт.
5. Если в будущем у Оператора появятся новые процессы – к примеру, Оператор создаст
сайт в сети Интернет для сбора ПД - Оператор пересмотрит степень возможного вреда, и
возможно, изменит степень риска. О чем будет составлен акт.
6. О появлении в Обществе новых процессов Ответственный обязан немедленно
уведомить Директора.
7. Степень вреда также может быть изменена в случае изменения законодательства о
критериях оценки вреда. Об изменениях юрист обязан немедленно уведомить Директора и
Ответственного.
8. Контроль за исполнением Порядка оставляю за собой.
С порядком ознакомлены:
…………………..сисадмин (Ответственный за ПД)
…………………..юрист
приложение: Акт оценки вреда

46.

8. Что должно быть, подробнее. Акт оценки вреда.
Приказ 178: « 3. Результаты оценки вреда оформляются актом оценки вреда.
4. Акт оценки вреда должен содержать:
а) наименование или фамилию, имя, отчество (при наличии) и адрес оператора;
б) дату издания акта оценки вреда;
в) дату проведения оценки вреда;
г) фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку
вреда, а также их (его) подпись;
д) степень вреда, которая может быть причинена субъекту персональных данных, в соответствии с
подпунктами 2.1 - 2.3 пункта 2 настоящих Требований».
.
Внимание на п. г). Не обязательно создавать комиссию.
Можно просто собраться втроем. Или вдвоем – к примеру, директор и сисадмин.
«Акт оценки вреда.
03 марта 2025 г., мы нижеподписавшиеся, провели оценку вреда, который может быть причинен
субъектам ПД в случае нарушения ФЗ от 27.07.2006 N 152-ФЗ "О персональных данных" - ООО «Авалон»
(ИНН 12345678, далее - Общество).
В ходе оценки установлено. Общество обрабатывает ПД без средств автоматизации и без
использования сети Интернет. Обработка ПД происходит для исполнения ГПХ договоров с партнерами,
трудовых договоров с работниками, соблюдения закона, в т.ч. сдачи отчетности в налоговую и прочие
органы. Критерии высокой степени вреда из Приказа 178 отсутствуют.
Поскольку Приказ Роскомнадзора от 27.10.2022 № 178 не позволят отнести обработку ПД без средств
автоматизации и без использования сети Интернет к низкой степени опасности, и в то же время, всегда
есть риск случайной «обработки ПД в дополнительных целях, отличных от первоначальной цели сбора»,
для цели оценки вреда, который может быть причинен субъекту ПД в случае нарушения законодательства,
определяем степень как СРЕДНЮЮ.
…………………..сисадмин (Ответственный за ПД)
…………………..юрист
…………………..директор
…………………..главбух (если отвечает за ПД в бухгалтерии)

47.

8. Что должно быть, подробнее. Журнал или иной документ.
6. Журнал или иной документ, подтверждающий «ознакомление работников оператора, непосредственно
осуществляющих обработку ПД, с положениями законодательства о ПД, в том числе требованиями к защите ПД,
документами, определяющими политику оператора в отношении обработки ПД, ЛНА по вопросам обработки ПД, и (или)
обучение указанных работников».
Типовой формы нет. Журнал – неудобно, заполнять вручную, прошлый век. Используйте лучше:
Лист ознакомления работника
с положениями законодательства о ПД, а также с документами
определяющими политику оператора ООО «Авалон» (ИНН 123456789)
в отношении обработки ПД
ФИО………………………
Должность…………………
Структурное подразделение …………… Настоящим подтверждаю, что ознакомился с:
1. ФЗ № 152 от 27.07.2006 «О персональных данных» («Закон о ПД»)
2. Трудовой Кодекс – гл. 14, особенности обработки ПД работников.
3. «Положение об особенностях обработки ПД, осуществляемой без использования средств автоматизации», утв.
Постановление Правительства РФ от 15.09.2008 N 687.
4. «Требования к защите ПД при их обработке в информационных системах ПД», утв. постановлением Правительства
РФ от 01 ноября 2012 г. N 1119. (для автообработки)
5. «Требования к оценке вреда, который может быть причинен субъектам ПД в случае нарушения ФЗ «о ПД»,
утверждены Приказо Роскомнадзора от 27.10.2022 N 178
6. «Требования к подтверждению уничтожения персональных данных», утв. Приказ Роскомнадзора от 28.10.2022 N 179.
7. Политика оператора ООО «Авалон» об обработке ПД.
8. Приказ о применении правовых, организационных и технических мер по обеспечению безопасности ПД в ООО
«Авалон»
9. Правила внутреннего контроля соответствия обработки ПД в ООО «Авалон»
10. Порядок оценки вреда ООО «Авалон», вреда, который может быть причинен субъекту ПД.
11. Положение об учете машинных носителей ПД ООО «Авалон»
Об ответственности за нарушения правил обработки ПД, в т.ч. о возможности увольнения по ТК, ст. 81, п.
6, п.п. в) предупрежден.
________________
___________________

48.

7. Документ об учете машинных носителей ПД. (ст. 19, п.2, п.п. 5).
И опять нет типовой формы…
ООО «Авалон» (фирменный бланк с ИНН и реквизитами)
05.05.2025г.
г. Ростов-на-Дону
Приказ №1-ПД
о места хранения ПД, обрабатываемых без использования средств автоматизации,
о местах хранения машинных носителей ПД
Определить следующие места хранения ПД:
1). Личные дела работников, ГПХ-договоры, иные документы по кадрам - кабинет
№3, бухгалтерия. Место хранения – запираемый шкаф. Ответственное лицо – главбух
Цифиркина А. В.
2). Электронные файлы документов, указанные в предыдущем пункте – хранятся в том
же кабинете, на машинном носителе – несъемный жесткий диск компьютер главбуха Lenovo
Eraser 310, инв. №1234567. Ответственное лицо – главбух Цифиркина А. В.
3). Резюме и прочие документы соискателей - кабинет №3, отдел кадров. Место
хранения – запираемый шкаф. Ответственное лицо – менеджер по кадрам Увольнялкина О.
Е.
4). Электронные файлы документов, указанные в предыдущем пункте - хранятся в том же
кабинете, на машинном носителе – несъемный жесткий диск ноутбука Hipper H20, после
окончания рабочего дня ноутбук заперт в сейфе «Бастион» (инв. № 78910). Ответственное
лицо – менеджер по кадрам Увольнялкина О. Е.»
И так далее… Всех ответственных знакомим с приказом под роспись.

49.

.
8. Что должно быть, подробнее. Согласия работника.
8. Согласия на обработку ПД работников. Обычно несколько, на разные цели.
Для ответственных за ПД – еще и обязательство о неразглашении ПД. Вот зачем:
«В случае оспаривания работником увольнения по подпункту "в" пункта 6 части первой
статьи 81 Кодекса работодатель обязан представить доказательства, свидетельствующие о
том, что сведения, которые работник разгласил, в соответствии с действующим
законодательством относятся к государственной, служебной, коммерческой или иной
охраняемой законом тайне, либо к персональным данным другого работника, эти сведения
стали известны работнику в связи с исполнением им трудовых обязанностей и он
обязывался не разглашать такие сведения». (Постановление Пленума Верховного Суда
РФ от 17.03.2004 N 2 (ред. от 24.11.2015) "О применении судами РФ ТК РФ«, п. 43)
9. Согласие на передачу ПД работника контрагенту, если работник упомянут в
договоре с контрагентом. Привет от ТК, ст. 88: «не сообщать ПД работника третьей
стороне без письменного согласия работника, за исключением случаев, когда это
необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других
случаях, предусмотренных настоящим Кодексом или иными ФЗ;» И отсюда головная боль,
т.к нужно не просто согласие, а письменное согласие, соответствующее Закону о ПД, ст.
9, п. 4. И в согласии должно быть как минимум:
1). ФИО, адрес субъекта, паспортные данные – можно поиграть с адресом
2). Наименование и адрес оператора – кому дает согласие. ОДИН ОПЕРАТОР.
3). Цель обработки ПД – ОДНА ЦЕЛЬ, но можно обобщать (налог, страхов, пропуск)
4). Перечень обрабатываемых ПД – помним об избыточности!
5). Перечень действий с ПД – пишем только нужное.
6). Общее описание способов обработки ПД – ручная, авто, смешанная
7). Срок действия согласия – можно задавать по-разному, к примеру, на срок действия
договора, до достижения цели обработки. 8). Подпись субъекта 9). Способ отзыва

50.

.
8. Что должно быть, подробнее. Виды согласий.
Прежде чем переходить к ответственности, важно понять виды согласий. Ст. 9., п.1
«Субъект ПД принимает решение о предоставлении его ПД и дает согласие на их обработку
свободно, своей волей и в своем интересе. Согласие на обработку ПД должно быть
конкретным, предметным, информированным, сознательным и однозначным – это
требования к согласию в ЛЮБОЙ форме.
Свободно. Вот тут сложно… Они: «не дал – не дадим». Мы: «дал – отозвал».
Конкретное. Явно выраженное, не молчком. Никаких «нам и нашим партнерам!»
Предметным. Кто, как, и сколько будет обрабатывать мои данные - и какие данные.
Информированное. «…предполагает, как минимум, письменное разъяснение
субъекту ПД значение понятия "обработка персональных данных". Ни договор
страхования, ни заявление о страховании, ни полисные условия не содержат никакого
разъяснения указанного понятия». (Постановление Арбитражного суда Северо-Западного
округа от 18.07.2016 N Ф07-5537/2016 по делу N А44-9647/2015) Зачем нам твои данные.
Попросту: ЦЕЛЬ зачем и для чего вы обрабатываете мое ПД.
Сознательное и однозначное – и так ясно.

51.

.
8. Что должно быть, подробнее. Виды согласий.
Далее, согласие на обработку ПД может быть дано субъектом ПД или его
представителем в любой позволяющей подтвердить факт его получения форме,
если иное не установлено федеральным законом.
В «любой форме», подтекст:
А). Оператор должен суметь подтвердить факт получения согласия.
Б). Согласие должно быть получено до начала обработки ПД.
Отсюда, виды:
1. Письменное (жесткое) – соотв. требованиям Закона о ПД, ст. 9, п. 4. Закон
требует такое согласие в пяти случаях:
1). Передача ПД работника 3-му лицу, если нет иных оснований для обработки (ст.
88 ТК, как мы помним)
2). Обработка специальных категорий ПД.
3). Обработка биометрических ПД.
4). Включение ПД в общедоступные источники (ст. 8 Закона о ПД)
5). согласие на принятие решений, затрагивающих права и законные интересы
человека, на основании исключительно авто обработки ПД (ст. 16). – пример,
автоплатеж

52.

.
8. Что должно быть, подробнее. Виды согласий.
2. Письменное (среднее) – распространение ПД в общий доступ по ст. 10.1 Приказ РКН
от 24.02.2021 N 18, отличается от жесткого, нет паспортных данных и адреса.
3. Письменное (мягкое) – не по требованиям ст. 9, п. 4. и ст. 10.1, но письменное
согласие. Или оговорка в договоре. К примеру, договор юрика и самозанятого, в котором есть
пункт:
«самозанятый дает согласие на передачу его ПД материнской компании юрика, иному
определенному лицу». (законное основание, исп. договора + согласие на передачу в
договоре).
Или пропуск без фото + согласие на обороте пропуска.
4. Электронное (галочка на сайте). Пример – регистрация в любом инет-магазине.
5. Устное. Под аудиозапись… Опасно, не упереться бы в биометрию.
Пища для ума:
дача согласия на обр. ПД = сделка?!
Если сделка, то может ли быть
дано конклюд. действиями?!

53.

9. Ответственность. КоАП, 13.11.
1. Обработка ПД
(А) в случаях, не предусмотренных законодательством РФ в области ПД, либо
(Б) обработка ПД, несовместимая с целями сбора ПД, за исключением случаев,
предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти
действия не содержат уголовно наказуемого деяния, - влечет наложение адм. штрафа
на граждан в размере от двух тысяч до шести тысяч рублей; станет 10 - 15 000.
на должностных лиц - от десяти тысяч до двадцати тысяч рублей; станет 50 – 100 000
на юридических лиц - от шестидесяти тысяч до ста тысяч рублей. станет 150 - 300
по (Б) понятно, (А) = обработка без оснований из ст. 6 Закона о ПД, когда нет ни
письменного согласия, ни просто согласия, ни иного основания, ничего вообще. Пример: «В
ходе проведения проверки установлено, что при заключении договоров хранения, составления и
подписания сохранных расписок ИП Р. согласия на обработку ПД от поклажедателей не получает».
Постановление Шестого кассационного суда общей юрисдикции от 27.10.2023 N 16-6051/2023 (УИД
56MS0103-01-2023-000660-79 – ничего не настораживает?!)
2. Обработка ПД
(А) без согласия в письменной форме субъекта ПД на обработку его ПД в случаях, когда
такое согласие должно быть получено в соответствии с законодательством Российской Федерации
в области ПД данных, за исключением случаев, предусмотренных статьей 17.13 настоящего
Кодекса, если эти действия не содержат уголовно наказуемого деяния, либо
(Б) обработка ПД с нарушением установленных законодательством РФ в области ПД
требований к составу сведений, включаемых в согласие в письменной форме субъекта ПД на
обработку его ПД, - влечет наложение административного штрафа
на граждан в размере от десяти тысяч до пятнадцати тысяч рублей;
на должностных лиц - от ста тысяч до трехсот тысяч рублей;
на юридических лиц - от трехсот тысяч до семисот тысяч рублей. Грустный пример Постановление Шестого кассационного суда общей юрисдикции от 27.12.2024 N 16-8021/2024 (УИД

54.

9. Ответственность. Зигзаги практики.
Почему те решения странные. В первом деле у ИП не было согласия, но было законное
обоснование для обработки – исполнение договора с субъектом ПД, «при заключении договоров
хранения, составления и подписания сохранных расписок».
Во втором деле, видимо, суд решил, что если ты берешь письменное согласие – то оно
обязательно соответствовать ст. 9 Закона… Вот почему-то… Поэтому практики сплошь и рядом
перестраховываются и требуют жесткое письменное согласие, даже если есть иные законные
основания для обработки.
Пример нормального дела п. 1. ст. 13.11: «Основанием для привлечения руководителя
Белгородского регионального отделения Общероссийской общественной организации "Союз
казаков" "Белгородский казачий округ" К. к адм. ответственности, предусмотренной вышеуказанной
нормой, явились выявленные 02 ноября 2022 года Управлением Роскомнадзора по Белгородской
области нарушения требований Федерального закона N 152-ФЗ,
выразившиеся в передаче организацией персональных данных К. (фамилии, имени и
отчества) неограниченному кругу лиц без правовых оснований для их обработки, произведенной
путем размещения на сайте Белгородского регионального отделения Общероссийской
общественной организации "Союз казаков" "Белгородский казачий округ»
(Постановление Первого кассационного суда общей юрисдикции от 06.07.2023 N 16-3371/2023,
штраф на руководителя (должн. лицо) 10 000)
Еще пример: «в адрес Управления Роскомнадзора по Южному федеральному округу
поступило обращение ФИО3, в котором она указала о размещении генеральным директором ООО
"Вариант" в открытом доступе на территории нежилого помещения по адресу: 350000,
<адрес>/<адрес>, <адрес>, листовки, содержащие персональные данные ФИО3 (фамилия, имя,
отчество), однако последняя не давала своего согласия на обработку персональных данных,
разглашение третьим лицам» - Постановление Четвертого кассационного суда общей юрисдикции
от 27.12.2023 N 16-7119/2023 (УИД 23MS0059-01-2023-001592-52) штраф 60 000 на ООО.

55.

9. Ответственность.
Пример нормального дела по ст. 13.11, п.2, обработка (передача) без письменного
согласия:
«Результатом обращения Г. в медицинский центр явилось оформление справки
(врачебное профессионально-консультативное заключение) N. 23.06.2023 г. Г. из
медицинского центра поступил звонок, из содержания которого ей стало известно, что
медицинская справка N, содержащая ее персональные данные, в том числе, специальные,
была передана сотрудником медицинского центра неизвестному ей третьему лицу.
Сотрудником медицинского центра было предложено Г. связаться с лицом, у которого
находилась ее справка. Впоследствии данным лицом (П.) справка была передана Г.
Письменное согласие Г. на передачу медицинского документа посредством третьего
лица дано не было». (Постановление Второго кассационного суда общей юрисдикции от
25.12.2024 по делу N 16-5588/2024, штраф 30 000 на юрика)
Обработка без согласия: «В ходе проверки установлен факт хранения с ДД.ММ.ГГГГ на
компьютерах <данные изъяты> с указанием фамилии, имени и отчества каждого ребенка,
при этом письменное согласие родителей на обработку ПД их детей в управляющей
компании отсутствует». (Постановление Второго кассационного суда общей юрисдикции от
02.12.2022 по делу N 16-8909/2022, штраф 30 000 на юрика – но тут вопрос, что там за ПД…
если не спец. Категории, то штраф должен быть по п.1. ст. 13. 11)
Письм. согласие не соотв. требованиям ст.9, п. 4: «несоответствие содержания и формы
письменного согласия субъекта персональных данных на обработку персональных данных
предъявляемым законом требованиям». (Постановление Первого кассационного суда общей
юрисдикции от 25.09.2020 по делу N 16-5100/2020, штраф 20 000 на юрика)».

56.

9. Ответственность.
Ст. 13.11 КоАП, п.3: «Невыполнение оператором предусмотренной законодательством
РФ в области ПД обязанности по опубликованию или обеспечению иным образом
неограниченного доступа к документу, определяющему политику оператора в
отношении обработки персональных данных, или сведениям о реализуемых требованиях
к защите ПД влечет наложение административного штрафа
на граждан в размере от одной тысячи пятисот до трех тысяч рублей;
на должностных лиц - от шести тысяч до двенадцати тысяч рублей;
на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей;
на юридических лиц - от тридцати тысяч до шестидесяти тысяч рублей.
Тут все просто, но практики мало, т.к. уж об этом требовании знают все. Тем не менее,
Пример: «…в рамках прокурорской проверки, проведенной в период с 13 по 19 августа
2020 года по поручению прокуратуры Ставропольского края, выявлено, что управление труда
и социальной защиты населения администрации Нефтекумского городского округа
Ставропольского края, будучи оператором по обработке и передаче ПД, в нарушение части 2
статьи 18.2 Закона о ПД не опубликовало или иным образом не обеспечило неограниченный
доступ к документу, определяющему политику обработки персональных данных в
Управлении,
а именно юридическим лицом не раскрыта информация, изложенная в приказе
управления труда и социальной защиты населения администрации Нефтекумского
городского округа Ставропольского края от 29 декабря 2018 года N 96 "Об утверждении
внутренних нормативно-правовых актов по защите персональных данных в управлении труда
и социальной защите администрации Нефтекумского городского округа Ставропольского
края". Постановление Пятого кассационного суда общей юрисдикции от 18.02.2021 N 16355/2021 (УИД 26MS0079-01-2020-002000-70), штраф 15 000 руб.

57.

9. Ответственность.
Ст. 13. 11, п. 4. «Невыполнение оператором предусмотренной законодательством РФ в
области ПД обязанности по предоставлению субъекту ПД информации, касающейся
обработки его ПД, - влечет наложение административного штрафа
на граждан в размере от двух тысяч до четырех тысяч рублей;
на должностных лиц - от восьми тысяч до двенадцати тысяч рублей;
на индивидуальных предпринимателей - от двадцати тысяч до тридцати тысяч рублей;
на юридических лиц - от сорока тысяч до восьмидесяти тысяч рублей.
Ст. 14 Закона о ПД, п.1. и 7 «субъект ПД имеет право на получение сведений
касающейся обработки его ПД, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением
работников оператора), которые имеют доступ к персональным данным или которым могут
быть раскрыты персональные данные на основании договора с оператором или на
основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту
персональных данных, источник их получения, если иной порядок представления таких
данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения; и т.д»
Сведения «предоставляются субъекту ПД или его представителю оператором в течение
десяти рабочих дней с момента обращения либо получения оператором запроса субъекта
персональных данных или его представителя. … срок может быть продлен, но не более чем
на пять рабочих дней в случае направления оператором в адрес субъекта персональных
данных мотивированного уведомления с указанием причин продления срока предоставления
запрашиваемой информации». Не предоставили или не предоставили вовремя – штраф.

58.

9. Ответственность.
КоАП, ст. 13. 11, п. 5. «Невыполнение оператором в сроки, установленные
законодательством РФ в области ПД, требования субъекта ПД или его представителя либо
уполномоченного органа по защите прав субъектов ПД об уточнении ПД, их
блокировании или уничтожении
в случае, если ПД являются неполными, устаревшими, неточными, незаконно
полученными или не являются необходимыми для заявленной цели обработки, -влечет
наложение административного штрафа
на граждан в размере от двух тысяч до четырех тысяч рублей;
на должностных лиц - от восьми тысяч до двадцати тысяч рублей;
на индивидуальных предпринимателей - от двадцати тысяч до сорока тысяч рублей;
на юридических лиц - от пятидесяти тысяч до девяноста тысяч рублей.
Отсылка к ст. 21 Закона о ПД. Сроки. Неточность/учточнение – 7 рабочих дней,
прекращение обработки – 10 рабочих дней, отзыв согласия - уничтожить ПД в срок 30
календ. дней»
«21 июня 2023 года в 00 часов 01 минут по адресу: <адрес> ООО "Тинькофф Мобайл",
являющееся оператором, осуществляющим обработку персональных данных, не выполнило
в срок требования Управления Роскомнадзора по ЦФО о блокировании, уничтожении
персональных в случае, когда персональные данные являются незаконно полученными и не
являются необходимыми для заявленной цели;…»
(Постановление Второго кассационного суда общей юрисдикции от 14.11.2024 по делу N
16-6846/2024, штраф 50 000 на юрика)

59.

9. Ответственность.
КоАП, ст. 13. 11, п. 6. «Невыполнение оператором при обработке ПД без
использования средств автоматизации обязанности по соблюдению условий,
обеспечивающих в соответствии с законодательством РФ в области ПД сохранность
ПД при хранении материальных носителей персональных данных и исключающих
несанкционированный к ним доступ,
если это повлекло неправомерный или случайный доступ к ПД, их уничтожение,
изменение, блокирование, копирование, предоставление, распространение либо иные
неправомерные действия в отношении персональных данных, при отсутствии признаков
уголовно наказуемого деяния - влечет наложение административного штрафа
на граждан в размере от одной тысячи пятисот до четырех тысяч рублей;
на должностных лиц - от восьми тысяч до двадцати тысяч рублей;
на индивидуальных предпринимателей - от двадцати тысяч до сорока тысяч рублей;
на юридических лиц - от пятидесяти тысяч до ста тысяч рублей.
Вспоминайте дела о черновиках, утерянной характеристике и можно еще добавить:
«Действия ООО "Управляющая компания" по обработке и доставке платежных
документов до абонентов в неконвертируемом виде, не позволяют обеспечить
конфиденциальность ПД,
поскольку ПД абонентов, в частности, граждан, по обращениям которых проводилась
проверка, были доступны для обозрения неограниченного числа лиц в процессе доставки и
хранения в почтовых ящиках, учитывая, что устройство почтового ящика не обеспечивает
скрытность и защиту находящихся в нем документов».
(Постановление Второго кассационного суда общей юрисдикции от 02.06.2020 по делу N
16-3231/2020, штраф 25 000 на юрика. )

60.

9. Ответственность.
КоАП, ст. 13. 11, п. 8: «Невыполнение оператором при сборе персональных данных, в
том числе посредством информационно-телекоммуникационной сети "Интернет",
предусмотренной законодательством РФ в области ПД обязанности по обеспечению записи,
систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения
ПД граждан РФ с использованием баз данных, находящихся на территории РФ, - влечет
наложение административного штрафа
на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей;
на должностных лиц - от ста тысяч до двухсот тысяч рублей;
на юридических лиц - от одного миллиона до шести миллионов рублей.
Пример: «По результатам анализа деятельности Твиттер, Инк. (Twitter, Inc.)
установлено, что 09 января 2020 года в 09 часов 01 минуту по московскому времени по
адресу: 1355 Маркет Стрит, номер 900, Сан Франциско. Калифорния, 94103, (1355 Market
Street, suite 900, San Francisco California 94103) Компания Твиттер, Инк. (Twitter, Inc.)
осуществляет сбор персональных данных граждан Российской Федерации, на сайте сети
"Интернет" с доменным именем https://twitter.com, не обеспечив запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение) или извлечение персональных
данных граждан Российской Федерации с использованием баз данных, находящихся на
территории Российской Федерации, чем нарушило ч. 5 ст. 18 Федерального закона "О ПД".
(Постановление Второго кассационного суда общей юрисдикции от 07.07.2020 N 163770/2020, штраф 4 мульта. Как исполнять будут, интересно…)

61.

9. Ответственность по иным статьям КоАП.
КоАП 14.8, п. 2. «Включение в договор условий, ущемляющих права потребителя,
установленные законодательством о защите прав потребителей, за исключением случаев,
предусмотренных частью 2.1 настоящей статьи, влечет наложение административного штрафа на должностных лиц в размере от одной
тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч
рублей».
Готовы?!
Любуемся вместе: «…наличие в договоре страхования условия о праве страховщика на
передачу любым третьим лицам информации и документов страхователя в целях,
выходящих за пределы страхования, а также отсутствие права выбора потребителя
возможности согласия или отказа в согласии на передачу ПД третьим лицам,
является нарушением ст. 16 Закона о защите прав потребителей и положений Закона о
ПД, что подпадает под состав административного правонарушения, предусмотренного ч. 2 ст.
14.8 КоАП РФ.»
(Постановление Одиннадцатого арбитражного апелляционного суда от 03.07.2018 N
11АП-8336/2018 по делу N А65-33540/2017, штраф 10 000 на юр. лицо)
Ст. 16 ЗПП: «Недопустимыми условиями договора, ущемляющими права потребителя,
являются условия, которые нарушают правила, установленные международными договорами
РФ, настоящим Законом, законами и принимаемыми в соответствии с ними иными
нормативными правовыми актами РФ, регулирующими отношения в области защиты прав
потребителей. Недопустимые условия договора, ущемляющие права потребителя,
ничтожны».
Комбо: «включили условие в договор с потребителем, нарушающие закон РФ о ПД» =
нарушили ст. 16 ЗПП = ответственность по 14.8 КоАП.

62.

9. Ответственность по иным статьям КоАП.
КоАП 5.27 п. 1. – редкость:
"В нарушение требований абз. 2 статьи 88 ТК РФ работодатель без согласия начальника
юридического отделения К передал П по ее заявлению объяснение К и другие материалы
расследования, содержащие персональные данные работника.
Вина военного прокурора Республики Бурятия Т. в совершении административного
правонарушения, предусмотренного ч. 1 ст. 5.27 КоАП РФ, подтверждается протоколом по
делу об административном правонарушении, актом проверки от... года, предписанием об
устранении нарушений от... года, объяснительной П на имя работодателя, объяснениями
военного комиссара Республики Бурятия Т., работников Р., У., П., К., Ч.
Оценив имеющиеся в материалах дела доказательства в их совокупности по правилам
ст. 26.11 КоАП РФ, районный суд пришел к правомерному выводу о наличии в действиях Т.
состава административного правонарушения, предусмотренного ч. 1 ст. 5.27 КоАП РФ, и о
доказанности вмененного административного правонарушения. Сомнений в правомерности
такого вывода не имеется.
(Решение Верховного суда Республики Бурятия от 26.09.2013 по делу N 21-114/2013)
Комбо: ст. 88 ТК + 5.27 КоАП (запрет на передачу без согласия = «Нарушение трудового
законодательства и иных нормативных правовых актов, содержащих нормы трудового
права»), «на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей».

63.

Адм ответственность. Что нового с 30.05.2025:
КоАП, ст. 13. 11 дополнят:
10.
Невыполнение
или
несвоевременное
выполнение
оператором
предусмотренной законодательством РФ в области ПД по уведомлению
уполномоченного органа по защите прав субъектов ПД о намерении осуществлять
обработку ПД влечет наложение административного штрафа на граждан в размере от пяти
тысяч до десяти тысяч рублей; на должностных лиц - от тридцати тысяч до пятидесяти
тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей.
11.
Невыполнение
или
несвоевременное
выполнение
оператором
предусмотренной законодательством РФ в области ПД обязанности по уведомлению
уполномоченного органа по защите прав субъектов ПД
(1) в случае установления факта неправомерной или случайной передачи
(предоставления, распространения, доступа) персональных данных,
(2) повлекшей нарушение прав субъектов персональных данных, влечет наложение административного штрафа на граждан в размере от
пятидесяти тысяч до ста тысяч рублей; на должностных лиц - от четырехсот тысяч до
восьмисот тысяч рублей; на юридических лиц - от одного миллиона до трех миллионов
рублей.
12. Действия (бездействие) оператора, повлекшие неправомерную передачу
(предоставление, распространение, доступ) информации, включающей ПД от 1 000 до
10 000 субъектов персональных данных и (или) от десяти тысяч до ста тысяч
идентификаторов, если эти действия (бездействие) не содержат признаков уголовно
наказуемого деяния, И дальше пункты по утечкам..

64.

Адм ответственность. Что нового с 30.05.2025:
КоАП, ст. 13. 11 дополнят:
16. Действия (бездействие) оператора, повлекшие неправомерную
передачу
(предоставление,
распространение,
доступ)
информации,
включающей специальную категорию персональных данных, - влекут
наложение административного штрафа
на граждан в размере от трехсот тысяч до четырехсот тысяч рублей;
на должностных лиц - от одного миллиона до одного миллиона трехсот
тысяч рублей;
на юридических лиц - от десяти миллионов до пятнадцати миллионов
рублей.
17. Действия (бездействие) оператора, повлекшие неправомерную
передачу
(предоставление,
распространение,
доступ)
информации,
включающей биометрические ПД, за исключением случаев, предусмотренных
статьей 13.11.3 настоящего Кодекса, - влекут наложение административного
штрафа
на граждан в размере от четырехсот тысяч до пятисот тысяч рублей;
на должностных лиц - от одного миллиона трехсот тысяч до одного
миллиона пятисот тысяч рублей;
на юридических лиц - от пятнадцати миллионов до двадцати миллионов
рублей.

65.

Гражданская ответственность.
Закон, ст. 17, п. 2: «Субъект ПД имеет право на защиту своих прав и законных
интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в
судебном порядке».
«…истец согласия на обработку и передачу ПД третьим лицам, в частности, ПАО СК
"Росгосстрах", которому они были переданы, не давал, доказательств получения согласия от
истца при приеме на работу и до ДД.ММ.ГГГГ стороной ответчика представлено не было.
Доказательств получения работодателем согласия ФИО1 на обработку его
персональных данных до передачи таких данных страховой компании получено не было».
(Определение Второго кассационного суда общей юрисдикции от 28.09.2021 по делу N 8822322/2021) Просил 50 000 моралки, получил 15.
«факт размещения ответчиком приговора и договора купли-продажи с персональными
данными истца нашел подтверждение, пришел к выводу, что действия ответчика по
размещению в публичном доступе в общем чате ПД истца носят умышленный и осознанный
характер,
и в соответствии с положениями части 2 статьи 17 ФЗ от 27 июля 2006 г. N 152-ФЗ "О
персональных данных" истец имеет право на компенсацию морального вреда, размер
которой с учетом заслуживающих внимание обстоятельств, требований разумности и
справедливости, определил в сумме 10 000 рублей». (Определение Восьмого кассационного
суда общей юрисдикции от 12.11.2024 N 88-22169/2024 (УИД 04RS0018-01-2024-003050-14) –
истец просил 100 000.
Рекорд пока дело Норникеля, Определение Второго кассационного суда общей
юрисдикции от 04.07.2023 по делу N 88-13675/2023 (УИД 77RS0021-02-2021-020239-06) –
просила 800 000 «моралки», получила 80 000 – тоже хорошо.

66.

Спасибо!
slava420@inbox.ru
8-928-769-29-86
мой канал в Телеграмме:
t.me/orobinski
заходите на огонек);
также можно найти поиском по слову:
@orobinski
Буду рад вас видеть!
(С) 2025 Оробинский Вячеслав Владимирович.