Все это — онлайн, с заботой о вас и по отличным ценам.
это является обработкой ПД?
Вопрос о персональных данных. Я ИП, работаю в секторе b2b с ООО и ИП, с физлицами не работаю.
Жизненные ситуации.
1. Когда мне работник ООО присылает карточку предприятия или сам ИП присылает свою карточку на е-маил или в мессенджер (и я далее сохраняю этот файл на своем ПК), и там указаны реквизиты (тел, фио, адрес, е-маил и т.д.) - это является обработкой ПД? Или все же в законе о ПД речь идет о физлицах, а работники - это не физлица, а должностные лица? Или получается, что теперь к каждому договору надо брать согласие на обработку ПД от подписанта?
2. Если мне через сайт (через форму обратной связи) приходит заявка от ООО или ИП и там указан сотовый телефон, и я не знаю является ли он рабочим телефоном организации (или ИП) или личным телефоном работника, и в этой заявке указано ФИО работника, который является для меня уже не физлицом, а представителем организации, это тоже обработка ПД со всеми вытекающими?
3. Если мне приходит заявка через сайт (через форму обратной связи) от организации, но я не знаю, работник прислал эту заявку в личных целях или по поручению руководителя, т.е. он действовал как физлицо или исполнял обязанности работника, мне это расценивать как обработку ПД физлица?
4. Я пришел в магазин, но товара нет в наличие, продавец записала мой телефон и ФИО в 1с, чтобы позвонить и сообщить, когда товар поступит в продажу, вроде как тут на лицо обработка ПД? В этом случае продавец должен был сначала запросить у меня письменное согласие на обработку ПД? Хорошо, тогда продавец сначала записывает мои данные, чтобы вбить их в образец согласия и распечатывает это согласие, которое я должен подписать, а я в это время передумал и ушел, получается, что продавец нарушил закон, данные мои записал, а согласия в итоге не получил?
4.1 Если продавец записал мой телефон и ФИО в свой телефон, а его записная книжка синхронизируется с iCloud, сервера которых хранятся явно не в РФ, это уже трансграничная передача ПД?
Просто последнее время много шума на эту тему. Теперь, с утра, перед выходом на работу, мне надо умыться, почистить зубы, позавтракать, и взять с собой пачку согласий, чтобы выдавать их почти всем, с кем коммуницирую? Ну так, на всякий случай. Или все же в законе о ПД речь о физлицах, а когда работники разных организации (или ИП) ведут переписку и обмениваются контактами друг с другом, это же не значит, что они сначала должны письменное дать друг другу согласие на обработку ПД?
Отвечаю по порядку:
Персональными данными согласно статье 3 Федерального закона от 27.07.2006 № 152-ФЗ “О персональных данных” признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Если в карточке контрагента указаны ФИО, телефон, e-mail, относящиеся к конкретному человеку (например, сотруднику ООО), то хранение и использование таких данных — это обработка персональных данных. При этом частный предприниматель (ИП) — тоже физлицо, и его контактные данные также являются персональными.
Если из заявки не ясно, рабочий это телефон или личный, а указаны ФИО и телефон конкретного человека, советую трактовать это как обработку персональных данных. При этом для целей заключения и исполнения договора можно обрабатывать эти данные без отдельного согласия (ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ “О персональных данных” п. 5).
Даже если неясно, в личных или рабочих целях направлена заявка, работодатель всё равно обрабатывает данные физлица. Если связь ведётся в рамках договорных отношений с организацией, то основанием для обработки будет пункт 5 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ “О персональных данных”.
Ваши ФИО и телефон — это персональные данные. Продавец должен запросить согласие на их обработку, если нет других оснований, например, заключения договора (оформления заказа). Однако даже для подготовки согласия продавец фактически начинает обработку ПД. Нарушение — если данные использованы не по назначению или нет правового основания.
4.1. Запись данных в телефон с синхронизацией через iCloud — это трансграничная передача персональных данных, если серверы находятся за пределами РФ. Такой случай регулируется ст. 12 Федерального закона от 27.07.2006 № 152-ФЗ “О персональных данных” и требует особых условий.
Резюме: Закон о персональных данных действует только в отношении информации о физических лицах. Данные сотрудников контрагентов — тоже ПД. Для деловой переписки в рамках исполнения договора согласие дополнительно не требуется, но если вы используете персональные данные для других целей, согласие всё же нужно. Автоматически брать согласие “на всякий случай” не требуется, но если есть сомнения, перестраховаться можно.
Рекомендую для критичных случаев сверять положения закона и практику с первоисточником.
Здравствуйте!
Карточка предприятия/ИП (реквизиты с ФИО, тел. работника) это не обработка персональных данных в смысле Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ
ст. 2 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
п. 1 ст. 3 Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1. ФИО, рабочий телефон и email представителя юридического лица или ИП, предоставленные для заключения/исполнения договора, рассматриваются как реквизиты контрагента, а не как персональные данные физического лица. Согласие на их обработку не требуется.
https://www.garant.ru/ia/opinion/author/belyaeva/1402489/
https://www.garant.ru/consult/business/1723024/
Можете почитать, по Вашему вопросу полезно.
2. Если из контекста заявки ясно, что заявка поступает от организации/ИП (указано название, ИНН, цель — коммерческое предложение, договор), то ФИО и телефон являются контактными данными представителя контрагента. Это не персональные данные физлица в значении Федерального закона «О персональных данных» от 27.07.2006 N 152-ФЗ. Согласие не нужно.
3. Если неочевидно, что отправитель действует от имени организации (нет названия фирмы, ИНН, запрос носит личный характер), то ФИО и телефон являются персональными данными физического лица. Их обработка требует согласия субъекта персональных данных. На практике для форм обратной связи это часто реализуется галочкой рядом с текстом согласия на обработку введенных данных для ответа.
4. Это обработка персональных данных физлица. Запись данных перед подписанием формы не нарушение, если данные используются строго для заявленной цели. Если Вы ушли, магазин должен уничтожить Ваши данные. Нарушением будет их дальнейшее использование без основания (напр., реклама).
4.1. Трансграничная передача персональных данных это отправка личной информации о физлицах в другое государство, поэтому тут зависит от того, где у iCloud находятся сервера.
Таким образом, персональные данные это данные физлица, Васи, Пети, Ани и т.д., если они представляют компанию и их личные данные Вы не просите, то это не персональные данные.
Рада помочь!
Желательно еще чтобы где-нибудь была «галочка», чтобы человек был с этим согласен и мог её поставить.
В целом, если Вы обрабатываете не персональные данные физлица, а реквизиты контрагента, Вы не оператор персональных данных. Тогда регистрация в РКН не требуется, так как обработка ПД отсутствует.
Но, если заявку оставит физлицо не как представитель (например, для личных целей), потребуется согласие на обработку персональных данных.
Добрый день!
Персональные данные — это сведения, которые относятся к прямо или косвенно определённому физическому лицу (субъекту персональных данных).
Т.е. любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу, является персональными данными (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»).
Обработка персональных данных — это любое действие с персональными данными: хранение, систематизация, передача, удаление.
Передача работодателем сведений о своих сотрудниках контрагенту в рамках реализации договора не является распространением персональных данных, а означает сообщение персональных данных работников третьей стороне, что требует письменного согласия работника.
В данном случае Вам необходимо взять с работника согласия на распространение его персональных данных в целях, например, заключения договора.
Если мне через сайт (через форму обратной связи) приходит заявка от ООО или ИП и там указан сотовый телефон, и я не знаю является ли он рабочим телефоном организации (или ИП) или личным телефоном работника, и в этой заявке указано ФИО работника, который является для меня уже не физлицом, а представителем организации, это тоже обработка ПД со всеми вытекающими?
И здесь Вы являетесь оператором. И вы обрабатываете персональные данные посетителей сайта. При направлении уведомления в Роскомнадзор там есть графа по категории лиц, персональные данные которых оператор обрабатывает. Там следует указать- не только работников клиента, но и посетителей сайта. А в форме обратной связи добавьте касательно согласия на обработку данных, чтобы посетитель сайта сразу ставил галочку.
4. Я пришел в магазин, но товара нет в наличие, продавец записала мой телефон и ФИО в 1с, чтобы позвонить и сообщить, когда товар поступит в продажу, вроде как тут на лицо обработка ПД? В этом случае продавец должен был сначала запросить у меня письменное согласие на обработку ПД? Хорошо, тогда продавец сначала записывает мои данные, чтобы вбить их в образец согласия и распечатывает это согласие, которое я должен подписать, а я в это время передумал и ушел, получается, что продавец нарушил закон, данные мои записал, а согласия в итоге не получил?
В данном случае Продавец является оператором, а Ваши предоставленные данные -персональные. И он обязательно должен взять с Вас согласие на их обработку. И да, если он не взял с Вас согласие он нарушил закон, так как ). В силу положений статьи 9 Закона N 152-ФЗ в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
4.1 Если продавец записал мой телефон и ФИО в свой телефон, а его записная книжка синхронизируется с iCloud, сервера которых хранятся явно не в РФ, это уже трансграничная передача ПД?
Трансграничная передача персональных данных — это пересылка личных сведений гражданина на территорию другого государства, в том числе органам власти, зарубежному физическому или юридическому лицу. Поэтому в приведенном примере придется еще и подписать Согласие на трансграничную передачу данных или не использовать такой способ записи информации.
Да, про получения персональных данных необходимо согласие. Все случаи, в которых требуется согласие на обработку персональных данных, прописаны в Федеральном законое «О персональных данных» N 152-ФЗ.
Конечно, если два хороших друга обменялись телефонами, то наврядли здесь будет согласие от одного другому. Но может возникнуть ситуация, что если один из этих друзей распространил номер телефона другого друга без согласия и в случае предъявления претензии это будет нарушения закона о персональных данных.
1. Вы упомянули, что в рамках заключения договора или оформления заказа отдельного согласия не требуется. Например, я заказываю у Вас юридическую консультацию (не в рамках настоящего сервиса, а вне его), например, на Вашем сайте или пришел к Вам офис, т.е. другими словами оформляю заказ, и Вы у меня запрашиваете ПД, с целью, чтобы дать мне ответ (например, Вы хотите обратиться ко мне по ФИО, отправить ответ на электронную почту и по смс, а оригинал в конверте на почтовый адрес) должны ли Вы запросить у меня согласие на обработку ПД?
2. Вы упомянули, что в рамках исполнения договора или с целью его заключения запрашивать ПД не требуется. Например, на начальном этапе для заключения договора происходит обмен реквизитами, в которых есть контактные (персональные) данные директора, бухгалтера, менеджера по продажам. Эта ситуация является обработкой ПД с целью заключения договора? Таким образом отдельного согласия в данной ситуации не требуется, при условии, что эти данные будут использованы только в рамках исполнения договора?