Уведомление в Роскомнадзор отправляла еще в 2022 г.Вопрос: можно ли пересылать списки по вотсапу и почте.

349₽ VIP

Уважаемая Ирина, здравствуйте!

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», обработка и передача персональных данных допускается только при наличии согласия субъекта персональных данных (ст. 6, 9 Закона № 152-ФЗ).

Передача списков пассажиров через мессенджеры (WhatsApp, Telegram) может квалифицироваться как трансграничная передача персональных данных, поскольку указанные сервисы хранят и обрабатывают данные на серверах, расположенных за пределами Российской Федерации (Закон № 152-ФЗ). При этом WhatsApp внесён Роскомнадзором в реестр организаторов распространения информации, однако это не освобождает оператора от соблюдения требований по трансграничной передаче.

-------

Если в согласии на обработку персональных данных пассажиров отсутствует указание на трансграничную передачу, Вы нарушаете требования Закона № 152-ФЗ. Кроме того, отсутствие подписанного согласия до момента передачи данных (например, при посадке в автобус) также является нарушением, поскольку обработка и передача персональных данных допускается только после получения согласия. За указанные нарушения предусмотрена административная ответственность по разным составам ст. 13.11 КоАП РФ, включая штрафы.

Рекомендую привести политику обработки персональных данных и форму согласия в соответствие с требованиями Закона № 152-ФЗ, указав возможность трансграничной передачи, а также обеспечить получение согласия до начала обработки и передачи данных. Использование иностранных сервисов для передачи персональных данных без соответствующего согласия создает риск привлечения к административной ответственности.

С уважением, Д.А.Разина

Здраствуйте!

Передавая персональные данные пассажиров по WhatsApp и электронной почте, вы рискуете нарушить требования Федерального закона №152-ФЗ «О персональных данных».

Вот почему:

Использование мессенджеров и электронной почты для передачи чувствительных данных пассажиров (ФИО, паспортные данные, контактные телефоны и др.) может считаться небезопасным методом, так как эти каналы подвержены перехвату или утрате информации.

Ваши клиенты предоставляют согласие на обработку персональных данных только при посадке в автобус, что создаёт риски несоответствия сроков сбора согласия порядку обработки данных.

Федеральный закон №152-ФЗ «О персональных данных»:

Статьи 6, 9 определяют порядок получения согласия субъекта персональных данных и способы их обработки. Важнейшим моментом является принцип минимизации объема обрабатываемых данных и использование технических мер безопасности.

Рекомендую организовать процесс обмена информацией через специализированные защищённые каналы связи, например корпоративную почту с шифрованными каналами передачи данных.

Использовать электронные платформы для предварительного подписания соглашений о согласии на обработку данных. Это облегчит сбор согласия и обеспечит своевременность регистрации согласия пользователей.

Необходимо провести аудит внутренних процессов обработки персональных данных с точки зрения соответствия требованиям законодательства.

Несоблюдение требований законодательства о защите персональных данных может повлечь штрафы вплоть до нескольких миллионов рублей, а также санкции за разглашение конфиденциальной информации клиентов.

Здравствуйте, уважаемая Ирина!

Ст 9 Федерального закона "О персональных данных" от 27.07.2006 N 152-ФЗ для обработки персональных данных обязательно требуется согласие субъектов персональных данных.

Согласно ст 3 ФЗ РФ № 152 обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных без согласия субъекта влечёт административную ответственность по ст 13.11 КоАП РФ:

влечет наложение административного штрафа на граждан в размере от десяти тысяч до пятнадцати тысяч рублей; на должностных лиц - от пятидесяти тысяч до ста тысяч рублей; на юридических лиц - от ста пятидесяти тысяч до трехсот тысяч рублей.

Так как фактически потребители, как объекты ПД, предоставляют своё согласие на обработку данных только при посадке в ТС, это может создать ряд проблем.

Просто Вас за обработку данных до получения такого согласия от лиц, Вас ждёт не просто штраф, а возможное прекращение деятельности вообще.

По сути, у Вас идёт нарушение закона в таком случае.

Согласно законодательству РФ, обработка персональных данных должна осуществляться с согласия субъекта данных, за исключением случаев, предусмотренных законом. Если согласие получается только при посадке в автобус, это создаёт проблемы для Вас.

Сама пересылка возможна, но делать это до получения Согласия на обработку ПД нельзя.

Фактическое нарушение требований законодательства о защите персональных данных может повлечь за собой административную ответственность, включая штрафы. Кроме того, это может нанести ущерб репутации компании.

Вам надо пересмотреть свою политику обработки данных и вообще всю работу, связанную с обработкой ПД.

По возможности, постарайтесь получить согласие на обработку персональных данных до их передачи и обработки. Это можно сделать в электронном виде, если имеется техническая такая возможность.

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

Используйте защищенные каналы связи для передачи персональных данных.

Использование эл. почты и ватцапе не совсем усмотрительно с Вашей стороны.

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

Моя рекомендация: обратитесь в региональное Управления Роскомнадзора для изучения Вашей ситуации, иначе штраф неминуем, как и запрет ведения Вашей деятельности. Вы прямо такими действиями нарушаете закон.

- см. ст. 3, 5 - 7, 9, 18, 22 ФЗ "О персональных данных", ст. 13.11 КоАП РФ

WhatsApp и обычная электронная почта не являются специализированными защищёнными каналами передачи персональных данных.

Согласно п. 2 ст. 19 Закона о ПД, оператор (в вашем случае — перевозчик) обязан обеспечить конфиденциальность и безопасность персональных данных при их обработке, включая передачу.

Передача списков пассажиров с персональными данными (ФИО, паспортные данные, номера телефонов и др.) через WhatsApp и обычную почту может нарушать требования по обеспечению безопасности персональных данных, если не применяются технические и организационные меры защиты (например, шифрование, защищённые каналы связи).

Пересылка через WhatsApp — мессенджер с end-to-end шифрованием, но WhatsApp является иностранным сервисом, и использование его для передачи персональных данных граждан РФ вызывает вопросы с точки зрения локализации данных и контроля Роскомнадзора (ст. 18 Закона о ПД требует хранить и обрабатывать персональные данные российских граждан на территории РФ). Пересылка по обычной электронной почте без шифрования — риск утечки данных высок, что может привести к ответственности по ст. 13.11 КоАП РФ (нарушение законодательства о персональных данных).

Согласно ст. 9 Закона о ПД, обработка персональных данных возможна только с согласия субъекта данных, если иное не предусмотрено законом.

- Согласие должно быть информированным и добровольным, желательно в письменной форме (п. 2 ст. 9 Закона о ПД).

- Собирать согласия только при посадке в автобус — это практика, которая не соответствует требованиям, поскольку:

- Согласие должно быть получено до начала обработки данных (ст. 9, 10 Закона о ПД).

- В момент посадки пассажир может быть в спешке, не иметь возможности полноценно ознакомиться с условиями обработки. В случае проверки со стороны Роскомнадзора или транспортных органов отсутствие ранее оформленного согласия может рассматриваться как нарушение.

- Если согласие не получено до передачи данных в ЕГИС или заказчику, это может привести к:

- Административной ответственности по ст. 13.11 КоАП РФ (штрафы для должностных лиц и юридических лиц).

- Риску блокировки или ограничения доступа к системам обработки данных.

- Нарушению прав пассажиров, что может стать основанием для судебных исков.

Вы упомянули, что уведомление о начале обработки персональных данных было направлено в 2022 году — это соответствует требованиям ст. 22 Закона о ПД.

С уважением.

Пункт 1 части 1 статьи 6 закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" устанавливает, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Случаи, когда обработка персональных данных может осуществляться без согласия субъекта персональных данных, перечислены в пунктах 2-11 части 1 статьи 6 Закона о персональных данных.

Как указано в пп.2 ч.1 ст. 6 того же закона не требуется согласия, если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

На основании ч.3 ст.11 закона от 9 февраля 2007 г. N 16-ФЗ "О транспортной безопасности" автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств формируются на основании информации, предоставленной субъектами транспортной инфраструктуры, перевозчиками, юридическими лицами, индивидуальными предпринимателями, уполномоченными на бронирование и (или) оформление проездных документов (билетов) и передачу персональных данных о пассажирах в автоматизированные централизованные базы персональных данных о пассажирах и персонале (экипаже) транспортных средств.

Поэтому вам как перевозчику не требуется оформлять согласия на обработку персональных данных, если она осуществляется исключительно в целях соблюдения требований закона о транспортной безопасности.

Также в этих случаях не требуется уведомления Роскомнадзора. В соответствии с п.9 ч.2 ст.22 закона 152-ФЗ оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности.

Согласие на обработку данных необходимо иметь заказчикам перевозки, так как они не являются субъектами транспортной инфраструктуры или перевозчиками.

В соответствии с частью 8 статьи 10 закона от 27 июля 2010 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" запрещается использование иностранных мессенджеров для передачи в отдельных случаях персональных данных и финансовой информации, а также подключение к таким мессенджерам информационных систем для переводов денежных средств.

Ограничения действуют, если использование осуществляется:

при предоставлении государственных и муниципальных услуг,

выполнении государственного или муниципального задания,

при реализации государственными компаниями, государственными и муниципальными унитарными предприятиями, публично-правовыми компаниями, хозяйственными обществами, в уставном капитале которых доля участия Российской Федерации, субъекта Российской Федерации, муниципального образования в совокупности превышает пятьдесят процентов,

кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектами национальной платежной системы товаров, работ, услуг, имущественных прав, и при этом не предусматривается размещение пользователями сети "Интернет" общедоступной информации в сети "Интернет".

Таким образом, использование иностранных мессенджеров запрещено только в некоторых случаях, а использование Яндекс-почты не ограничено.

Вам не нужно собирать согласия на обработку ПД при посадке в автобус.

С 1 марта 2025 года штрафы за нарушения при работе с персональными данными выросли до 3 млн рублей.

WhatsApp и прочие мессенджеры не обеспечивают контроль над маршрутом пересылки, не находятся под российской юрисдикцией, и шифрование — сквозное, но не управляемое вами.

Случаи, когда обработка персональных данных может осуществляться без согласия субъекта персональных данных  указаны в законе от 27 июля 2006 г. N 152-ФЗ "О персональных данных" в пунктах 2-11 части 1 статьи 6

Вам как перевозчику не требуется оформлять согласия на обработку персональных данных, если она осуществляется исключительно в целях соблюдения требований закона о транспортной безопасности.Также в этих случаях не требуется уведомления Роскомнадзора.Согласие на обработку данных необходимо иметь заказчикам перевозки.