АСН изучило, почему страховые агенты находятся в растерянности после ужесточения ответственности за работу с персональными данными.
Изображение сгенерировано YaGPT.
Денис ТЮРКИН
30 мая в России ужесточили ответственность за нарушения в работе с персональными данными (ПД). Увеличились штрафы за незаконный сбор ПД (для физлиц теперь, в том числе — самозанятых от 10 тыс. до 15 тыс. р., для ИП и юрлиц — от 150 тыс. до 300 тыс. р.). Начали действовать новые штрафы за неуведомление Роскомнадзора о начале обработки ПД (для физлиц — 5 тыс. — 10 тыс. р., ИП и юрлиц — 100 тыс. — 300 тыс. р.). За неуведомление об утечке ПД в течение 24 часов штрафы для физлиц теперь составляют 50 тыс. — 100 тыс. р., ИП и юрлиц — 1 млн — 3 млн р. За утечку ПД — для физлиц от 100 тыс. до 400 тыс. р., ИП и юрлиц — от 3 млн до 15 млн р. Единственный позитивный момент в этой истории: на нарушения законодательства о ПД распространяется часть 1 статьи 4.1.1 КоАП РФ, которая позволяет заменить штраф на предупреждение, если нарушение обнаружено впервые.
Раньше многие не обращали внимания на требования законодательства ввиду незначительных штрафов. В этой ситуации на РКН обрушился вал заявлений в конце мая, что вызвало сбои сервиса приема этих заявлений. По данным РКН, которые приводит Forbes, если обычно ведомство регистрировало от 500 до 800 уведомлений в сутки, то 23 мая это число достигло 70 тыс., 26 мая — 101 тыс., а 27 мая — 150 тыс. «В настоящее время в реестре РКН содержатся сведения уже о 1 175 009 операторах персональных данных», — говорится в статье Forbes.
Согласно федеральному закону №152, лишь в трех случаях не требуется подавать в РКН уведомление о намерении обрабатывать персональные данные:
- весь учет персональных данных ведется на бумаге;
- организация включена в государственные информационные системы и работает с ПД, размещенными в этих государственных информационных системах (АИС страхования к таковым не относится);
- компания работает с ПД в сфере транспортной безопасности.
В страховой отрасли ажиотаж в связи с ужесточением законодательства поднялся в агентской среде. Агенты не понимают, обязаны они направлять в РКН уведомление о начале обработки ПД или нет.
Стоит напомнить, что персональными данными считаются те сведения, что позволяют идентифицировать человека. Это ФИО, номер телефона, email, платежные данные, паспортные данные, ИНН, профессиональные данные (должность, образование), IP-адрес, cookie-файлы.
В «РЕСО-Гарантии» в ответ на запрос одного из агентов заявили, что агент как физическое лицо или ИП, действуя на основании агентского договора в интересах компании, не должен уведомлять РКН о начале обработки персональных данных. Причина, по мнению «РЕСО-Гарантии», следующая — оператор в этой ситуации не меняется, им остается страховщик в виде «РЕСО-Гарантии». Но в компании перестраховались и заметили: «Речь идет только об агентах «РЕСО-Гарантии»».
«ВСК» имеет идентичную позицию. «В связи с поступающими новостями и информацией о внесении изменений в КоАП об увеличении с 2025 г. штрафов за непредоставление сведений о начале обработки ПД в Роскомнадзор всеми организациями, в том числе ИП и самозанятыми, сообщаем, что переживать агентам не стоит, — говорится в обращении страховщика к агентам, с которым ознакомилось АСН. — Агенты не обязаны передавать такие сведения в Роскомнадзор. Позиция нашего Правового департамента следующая. Разъяснений и практики по вопросу нет, так как ранее штрафы были маленькие, и никто этого не делал. Сейчас штрафы увеличили. Вполне возможно, что такие разъяснения и практика (в том числе негативные) появятся уже после изменений ФЗ в угоду больших штрафов. Позиция наших юристов на текущий момент следующая. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД. В части 3 статьи 6 152-ФЗ указано, что оператор вправе поручить обработку ПД другому лицу с согласия субъекта ПД, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Такое лицо — «обработчик» не получает согласие на обработку ПД от субъекта ПД; самостоятельно не определяет цели обработки, перечень действий для обработки, порядок защиты ПД, обеспечения безопасности ПД и конфиденциальности ПД; несет ответственность за обработку ПД только перед оператором. Поэтому такое третье лицо не должно уведомлять РКН о начале обработки ПД, оператором ПД остается изначальный оператор ПД — мы».
В «Ингосстрахе» своим агентам также пояснили, что они не должны подавать уведомления в РКН. «Оператором обработки ПД остается «Ингосстрах»», — уточнил страховщик.
Онлайн платформы для страховых агентов и брокеров заняли противоположную позицию. Они считают, что агенты являются операторами по обработке ПД. В частности, такую информацию в конце мая распространила платформа «Пампаду».
«Любое имя, телефон или паспорт клиента — уже ПД, — говорится в пресс-релизе. — По статье 3 ФЗ 152 оператором считается тот, кто решает, зачем и как работают с персональными данными. Для начинающего страхового агента критерий простой: если агент получает информацию, смотрит и обрабатывает её, он является оператором персональных данных. Если информация остаётся на вашем ноутбуке, в облачном каталоге лидов или на платформе «Пампаду», вы обязаны уведомить регулятора как оператор ПД. Если вы хотя бы раз сохранили или просто увидели данные — заявку с сайта, запись в обычной таблице, карточку клиента в рабочем кабинете «Пампаду» или сообщение в мессенджере, — уведомление в РКН подают до того, как будет подписан первый полис. Освобождает только один сценарий: клиент сам вводит данные прямо в программу страховой компании, а агент их даже не открывает — на практике так почти не бывает».
Сами страховые агенты также разделились на два лагеря. Одни не собираются подавать уведомления, другие говорят, что лучше перестраховаться в этом вопросе. «У меня ИП и я не хотел бы штраф 300 тыс. р., хоть и за 6 лет проверок не было, — рассказал АСН страховой агент Кирилл, работающий в Москве. — А так аргумент будет пополнить казну. Вообще, агенты работают и через агентский договор, и через площадки, и через личные кабинеты клиентов на сайте (что как бы нельзя). Получают документы от клиентов через мессенджеры, а там и паспорта, и телефон, и прочее. Поэтому я думаю, что все равно стоит подать в РКН информацию. Вопрос больше в том, как грамотнее это сделать и заполнить анкету. Обычному агенту очень сложно в этом разобраться…»
Многие площадки, чувствуя своих клиентов и их переживания по поводу сложностей в отправке уведомлений, подготовили свои памятки для агентов. Сделали это, помимо «Пампаду», например, «Финуслуги», «Инссмарт» и «Сравни».
Стоит еще напомнить, что с 1 марта 2023 г. в России действует запрет, в том числе, для страховых компаний, на пересылку ПД в иностранных мессенджерах. 1 июня 2025 г. законодательство ужесточили, наложив полный запрет на использование иностранных мессенджеров для коммуникаций с клиентами, если дело касается финансовой документации и информации по продуктам и услугам. Это может быть сформированный страховой полис, дополнительные соглашения, расчет цены и так далее. Штрафы для компании — до 700 тыс. р.
В списке запрещенных РКН мессенджеров — 9 позиций. Discord, Skype, Microsoft Teams, WhatsApp, Telegram, Viber, WeChat, Snapchat и Threema.
