Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
(1).jpg)
Программа разработана совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Являются ли документы "Политика обработки персональных данных" и Политика конфиденциальности" разными? Можно ли объединить в один документ? Если на сайте указаны контактные данные в мессенджерах (Telegram, WhatsApp, Вконтакте), то предусмотрены ли штрафы для автономного бюджетного учреждения?
1. В соответствии с пп. 1, 3 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), а обработкой персональных данных считаются любые действия или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Любые действия организации с персональными данными подпадают под определение обработки персональных данных (п. 3 ст. 3 Закона N 152-ФЗ), а организация в силу закона признается оператором персональных данных (п. 2 ст. 3 Закона N 152-ФЗ).
Статьей 7 Закона N 152-ФЗ непосредственно установлено, что операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Закон N 152-ФЗ возлагает на оператора ряд обязанностей, направленных на обеспечение режима конфиденциальности обрабатываемых персональных данных.
В частности, ст. 18.1 Закона N 152-ФЗ к обязанностям оператора персональных данных в числе прочего отнесено издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности (п. 2 ч. 1 ст. 18.1 Закона N 152-ФЗ).
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети "Интернет", с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети (ч. 2 ст. 18.1 Закона N 152-ФЗ).
То есть политика оператора в отношении обработки персональных данных - это документ, в котором раскрываются концептуальные основы, принципы обеспечения безопасности персональных данных субъектов на уровне конкретного хозяйствующего субъекта. При этом не имеет значения, как данный документ будет называться: политика конфиденциальности персональных данных, политика безопасности персональных данных, политика обработки персональных данных или как-то еще. Сущностное значение имеет содержание данного документа.
Роскомнадзор рекомендует включать в этот документ следующие разделы: цели сбора персональных данных; правовые основания обработки персональных данных; объем и категории обрабатываемых персональных данных; порядок и условия обработки персональных данных; актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным. По желанию оператора могут включаться и иные разделы (смотрите Рекомендации Роскомнадзора от 31 июля 2017 г.).
Подчеркнем, что действующее законодательство не содержит исчерпывающего перечня документов, которые должны быть в организации во исполнение законодательства в сфере защиты персональных данных. Каждый оператор самостоятельно с учетом специфики своей деятельности, способов обработки (в информационных системах, без использования средств автоматизации) разрабатывает и утверждает пакет документов. Причем не имеет значения, оформлены они разрозненными документами или включены в единое положение о защите персональных данных.
2. Частью 8 ст. 10 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации установлен запрет на использование принадлежащих иностранным юридическим лицам и (или) иностранным гражданам информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для обмена электронными сообщениями исключительно между пользователями этих информационных систем и (или) программ для электронных вычислительных машин, при котором отправитель электронного сообщения определяет получателя или получателей электронного сообщения и не предусматривается размещение пользователями сети Интернет общедоступной информации в сети Интернет, для передачи платежных документов и (или) предоставления информации, содержащей персональные данные граждан РФ, данные о переводах денежных средств в рамках применяемых форм безналичных расчетов, сведения, необходимые для осуществления платежей и (или) сведения о счетах (вкладах) граждан РФ в банках.
Перечень информационных систем и сервисов, запрет на использование которых установлен в рассматриваемых случаях, опубликован на официальном сайте Роскомнадзора в сети Интернет (далее - Перечень) и включает среди прочих мессенджер WhatsApp, предназначенный для обмена текстовыми и голосовыми сообщениями, осуществления голосовых и видеозвонков, отправки и получения файлов, фотографий и видео*(1).
Под запрет на использование иностранных мессенджеров, включенных в Перечень, для передачи платежных документов и (или) предоставления информации, содержащей персональные данные граждан РФ и иные поименованные сведения, подпадают: государственные компании, государственные и муниципальные унитарные предприятия, публично-правовые компании, хозяйственные общества, в уставном капитале которых доля участия РФ, субъекта РФ, муниципального образования в совокупности превышает 50%, кредитные организации, некредитные финансовые организации, которые осуществляют указанные в ч. 1 ст. 76.1 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, а также субъекты национальной платежной системы товаров, работ, услуг.
Как видим, автономное бюджетное учреждение под субъектный состав лиц (хозяйствующих субъектов), на которых распространяется установленный ч. 8 ст. 10 Закона N 149-ФЗ запрет, прямо не подпадает.
Однако надлежит учитывать, что использование иностранных мессенджеров, включенных в Перечень, для передачи предусмотренных документов (информации, сведений) запрещается не только при реализации имущественных прав прямо поименованных субъектов, но и при предоставлении государственных и муниципальных услуг, выполнении государственного или муниципального задания.
Соответственно, использование бюджетным учреждением для передачи и (или) предоставления документов (сведений, информации), указанных в ч. 8 ст. 10 Закона N 149-ФЗ, иностранных мессенджеров, включенных в Перечень, при выполнении государственного (муниципального) задания (предоставлении государственных (муниципальных) услуг) не допускается и может повлечь административную ответственность по ст. 13.11.2 КоАП РФ. На иные документы и информацию (сведения) запрет не распространяется.
Рекомендуем также ознакомиться со следующими материалами:
- Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденный постановлением Правительства РФ от 21 марта 2012 г. N 211;
- Примерный перечень документов, необходимых оператору персональных данных в соответствии с требованиями законодательства в сфере защиты персональных данных (подготовлено экспертами компании ГАРАНТ);
- письмо Роскомнадзора от 27 июля 2023 г. N 08ВМ-63651.
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса
Ответ прошел контроль качества
21 июня 2025 г.
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.
-------------------------------------------------------------------------
*(1) Смотрите также информацию Роскомнадзора от 1 марта 2023 г. "Вниманию российских организаций, использующих иностранные сервисы"; информацию Роскомнадзора от 5 мая 2023 г. "Роскомнадзор назвал мессенджеры, запрещенные для передачи платежных документов и персональных данных россиян".
