Федеральный закон о персональных данных 2022 год

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Федеральный закон о персональных данных 2022 год». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

По словам Марины Хадиной, директора по развитию Talantix, чтобы избежать рисков, рекрутер как менеджер проекта по внедрению программ должен учесть следующие моменты:

  1. Обратите внимание, как система запрашивает согласие на обработку персональных данных. Если резюме приходят из разных источников, то во многих случаях должно быть предусмотрено согласие на обработку ПД, разрешенных к распространению. Если есть сомнения, что сторонний онлайн-ресурс не собирает согласия с соискателей, тогда лучше дополнительно запросить его.
  2. Посмотрите, как оформлено согласие на обработку ПД. Должны быть указаны цели сбора — трудоустройство и кадровый резерв.
  3. Соблюдаются ли в системе требования по локализации данных — например, серверы Talantix располагаются на территории РФ. В данном случае система может выступать как первичная база данных, при этом вторичная база может находиться за пределами России, что актуально для зарубежных компаний.
  4. С точки зрения техтребований — есть ли у центра обработки данных, где размещается инфраструктура системы, лицензия на техническую защиту информации, разработана ли модель защиты от киберугроз.
  5. Проверьте, предусмотрены ли регулярные обновления системы с учетом изменений в законодательстве.

Законодатели отметили, что закон о распространении ПД — только начало большой работы по ужесточению правил обращения с персональными данными. Но это не должно стать проблемой для компаний, если они следят за автоматизированными решениями и предложениями по хранению и обработке данных, так как крупные провайдеры держат руку на пульсе, чтобы помочь HR-сообществу и бизнесу учесть эти и другие нововведения.

24.03.2021. Новые правила работы с персональными данными.

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

  • в течение трех рабочих дней с момента обращения;

  • или в срок, указанный в постановлении суда;

  • или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).

Новый законопроект о персональных данных: как изменилась работа рекрутеров


Установлены особенности обработки персональных данных (ПД), разрешенных их владельцем для распространения.

Запрещено использовать ПД без согласия владельца, а он сам может потребовать от оператора прекратить распространение сведений о себе без необходимости доказывать, что это незаконно.

Прописана процедура обязательного согласования обработки ПД любым оператором данных. Нельзя получать согласие «автоматом» — по умолчанию или при бездействии субъекта ПД.

Если согласие дано, владелец данных вправе в любой момент его отозвать, после чего оператор обязан приостановить выдачу сведений.

В соглашении на обработку ПД, разрешенных для распространения, может содержаться запрет на передачу данных неограниченному кругу лиц и обработку ими этих сведений.

Каждый сайт обязан спрашивать пользователей, какие данные о них можно опубликовывать и передавать третьим лицам. Невыполнение этого требования повлечет штраф за нарушение обработки ПД.

Закон вступает в силу с 1 марта 2021 г., за исключением нормы о предоставлении оператору согласия на обработку ПД, разрешенных для распространения, через информсистему уполномоченного органа. Данное положение применяется с 1 июля 2021 г.

Ответ очевиден. Все ЛНА, касающиеся обработки ПД, необходимо привести в соответствие с законодательством. ЛНа должны содержать исчерпывающую информацию, касающуюся обработки ПД в организации, соответственно в них должны быть отражены и новые положения о распространении ПД.

ЛНА могут содержать определенные условия, связанные с распространением ПД, в том числе способы/формы получения согласия. Не ограничивайтесь только письменной формой согласия, предусмотрите возможность его получения в другой форме, позволяющей подтвердить сам факт получения.

Административная ответственность в области ПД ужесточилась. С 27 марта 2021 года произошли изменения в составах правонарушений и санкциях. Размеры штрафов увеличились в два раза.

Ранее за совершение некоторых нарушений можно было избежать штрафа, отделавшись предупреждением. Теперь такая норма отсутствует.

Обратите внимание!

За нарушения по ст. 13.11 КоАП РФ теперь могут оштрафовать в течение 1 года. Напомним, что до 27.03.2021 срок давности составлял лишь 3 месяца.

Федеральный закон № 248-ФЗ заложил основы нового подхода к контролю и надзору в РФ: предмет регулирования, принципы, предмет и объекты контроля, организация контроля, участники этих процессов, порядок проведения контроля и прочее. Постановление Правительства РФ от 29.06.2021 № 1046 конкретизировало порядок организации и осуществления государственного контроля Роскомнадзором за обработкой ПД.

Федеральный закон № 248-ФЗ направлен на стимулирование добросовестности контролируемых лиц и профилактику рисков причинения ими вреда (ущерба) охраняемым законом ценностям. Таким образом, теперь в приоритете профилактика нарушений, более мягкие контрольно-надзорные мероприятия.

Закреплён широкий перечень профилактических мероприятий (ч. 1 ст. 45), участие в которых является правом, а не обязанностью контролируемых лиц. При этом, взаимодействие возможно только с согласия либо по инициативе проверяемого.

Предусмотрен перечень новых контрольно-надзорных мероприятий, помимо выездной и документарной проверки (ч. 2 и 3 ст. 56).

Важно

Сократился срок проведения документарной и выездной проверок с 20 до 10 рабочих дней.

При осуществлении контроля (надзора) применяется риск-ориентированный подход, введены системы оценки и управления рисками причинения вреда (ущерба) охраняемым законом ценностям.

Появилась возможность отменять решения, которые приняты в результате любого контрольно-надзорного мероприятия, проведенного с грубыми нарушениями. Ранее допускалась отмена только результата проверок.

Федеральный закон 248-ФЗ допустил возможность проведения аккредитованными организациями независимой оценки соблюдения требований законодательства.

Предметом контроля (надзора) является соблюдение операторами обязательных требований в области ПД.

При осуществлении контроля применяется система оценки и управления рисками, установлены критерии отнесения объекта контроля к одной из категорий риска:

  • высокий
  • значительный
  • средний
  • умеренный
  • низкий.

К какой категории риска относится ваша организация? Попробуйте определить.

В рамках осуществления контроля Роскомнадзором могут проводиться такие профилактические мероприятия, как:

  • информирование,
  • обобщение правоприменительной практики,
  • объявление предостережения,
  • консультирование,
  • профилактический визит.

Также в контрольных целях проводятся плановые и внеплановые мероприятия: инспекционный визит, документарная или выездная проверки.

Результаты контрольных мероприятий фиксируются в актах.

Обратите внимание!

Плановые контрольные мероприятия, за исключением плановых контрольных мероприятий без взаимодействия с проверяемыми, проводятся на основании плана проведения плановых контрольных (надзорных) мероприятий на очередной календарный год, согласованного с органами прокуратуры.

Урегулированы вопросы применения фотосъемки, аудио- и видеозаписи для фиксации доказательств нарушения обязательных требований.

Подробнейшим образом регламентировано обжалование решений контролирующего органа, действий (бездействия) их должностных лиц.

Закон о персональных данных — что это такое?

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) пункт утратил силу. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

5) пункт утратил силу. (в ред. Федерального закона от 29.07.2017 N 223-ФЗ)

3. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации». (в ред. Федерального закона от 29.07.2017 N 223-ФЗ)

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее — нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

5. Решения межгосударственных органов, принятые на основании положений международных договоров Российской Федерации в их истолковании, противоречащем Конституции Российской Федерации, не подлежат исполнению в Российской Федерации. Такое противоречие может быть установлено в порядке, определенном федеральным конституционным законом. (в ред. Федерального закона от 08.12.2020 N 429-ФЗ)

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Изменения в Закон РФ «О персональных данных»

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Роскомнадзор предоставил для использования специальный конструктор, с помощью которого можно сформировать шаблон согласия. Данный документ только рекомендован, однако он соответствует предъявляемым к нему требованиям и учитывает особенности конкретного оператора.

Для создания шаблона нужно заполнить необходимые графы, после чего он рассматривается экспертами Роскомнадзора. Если необходимо, оператору выдаются рекомендации, как доработать документ. Результаты проведенной проверки пересылаются на адрес электронной почты, который указывается в форме.

После этого оператор может применять проверенную форму документа.

В шаблоне учитываются все обязательные данные, которые нужно отражать в согласии на основании Приказа от 24.02.2021 г. № 18.

  • Приказ Управления делами Президента РФ от 28.07.2011 N 451

    «О защите персональных данных федеральных государственных гражданских служащих Управления делами Президента Российской Федерации» (вместе с «Положением об организации работы с персональными данными федерального государственного гражданского служащего Управления делами Президента Российской Федерации», «Списком должностей федеральных государственных гражданских служащих Управления делами Президента Российской Федерации, уполномоченных на обработку персональных данных») (Зарегистрировано в Минюсте

  • Указ Президента РФ от 26.03.2008 N 404 (ред. от 12.11.2021)

    «О создании фонда поддержки детей, находящихся в трудной жизненной ситуации»

  • Указ Президента РФ от 12.11.2021 N 650

    «О внесении изменений в состав Совета по общественному телевидению, утвержденный Указом Президента Российской Федерации от 30 октября 2018 г. N 617»

  • Распоряжение Правительства РФ от 12.11.2021 N 3168-р

    «О внесении изменений в распоряжение Правительства РФ от 04.03.2021 N 540-р»

  • Распоряжение Правительства РФ от 10.11.2021 N 3151-р

    «О внесении изменений в распоряжение Правительства РФ от 19.03.2013 N 384-р»

  • Распоряжение Правительства РФ от 10.11.2021 N 3150-р

    «О проведении 8-го заседания Межправительственной Российско-Китайской комиссии по инвестиционному сотрудничеству в режиме видеоконференции»

  • Приказ Росстата от 24.07.2020 N 410 (ред. от 03.11.2021)

    «Об утверждении форм федерального статистического наблюдения для организации федерального статистического наблюдения за внутренней и внешней торговлей, туризмом, платными услугами населению, транспортом и административными правонарушениями в сфере экономики»

  • Приказ Росстата от 24.07.2020 N 411 (ред. от 03.11.2021)

    «Об утверждении форм федерального статистического наблюдения для организации федерального статистического наблюдения за деятельностью предприятий»

  • Приказ Росстата от 30.07.2021 N 458 (ред. от 29.10.2021)

    «Об утверждении форм федерального статистического наблюдения для организации федерального статистического наблюдения за внутренней и внешней торговлей, платными услугами населению, транспортом и административными правонарушениями в сфере экономики»

Все материалы сайта Министерства внутренних дел Российской Федерации могут быть воспроизведены в любых средствах массовой информации, на серверах сети Интернет или на любых иных носителях без каких-либо ограничений по объему и срокам публикации.

Это разрешение в равной степени распространяется на газеты, журналы, радиостанции, телеканалы, сайты и страницы сети Интернет. Единственным условием перепечатки и ретрансляции является ссылка на первоисточник.

Никакого предварительного согласия на перепечатку со стороны Министерства внутренних дел Российской Федерации не требуется.

Федеральный закон от 27.07.2006 N 152-ФЗ

АПК РФ

ГК РФ (часть I)

ГК РФ (часть II)

ГК РФ (часть III)

ГК РФ (часть IV)

ГПК РФ

ГрК РФ

Жилищный кодекс

КАС РФ

КоАП РФ

НК РФ (часть I)

НК РФ (часть II)

Семейный кодекс

ТК РФ

УИК РФ

УК РФ

УПК РФ

Бюджетный кодекс

Воздушный кодекс

Водный кодекс

Земельный кодекс

Лесной кодекс

Сфера действия постановления — контроль над личной информацией, которой обладают следующие виды структур:

  • госорганы;
  • власти конкретных субъектов РФ;
  • учреждения местного самоуправления;
  • юридические лица;
  • физлица, совершающие обработку личной информации.

Нормы ФЗ №152 контролируют во всех государственных и коммерческих организациях конфиденциальность ПДн, принадлежащих конкретному физическому лицу. Однако под действие закона не попадают следующие категории:

  • использование информации гражданами для личных целей при отсутствии нарушения прав обладателя;
  • недействительные документы, находящиеся на хранении в Архивном фонде РФ;
  • ПДн, отнесенные под категорию «государственная тайна».

Таким образом, ФЗ №152 обязует хранителей персональной информации поддерживать неразглашение личных сведений физлица.

В 3 части ФЗ говорится: «Любые сведения, которые относятся к конкретному физическому лицу, являются персональными».

В этом перечне данные:

  • касающиеся национальности, религиозных и политических пристрастий;
  • связанные с физиологическими особенностями организма;
  • о личности.

Причем вне зависимости от общественной доступности, важно лишь то, что информация касается определенного индивида.

Действия, которые попадают под определения обработки персональных данных — это работа с личной информацией клиента в автоматизированном либо ручном режиме. Сюда относятся:

  • сбор;
  • запись;
  • анализ и хранение;
  • актуализация;
  • применение и предоставление доступа;
  • блокировка, удаление.

Все эти действия выполняются оператором исключительно конфиденциально.

Согласно закону ФЗ 152 от 27.07 2006 года, а именно 7 и 8 параграфу, оператором считается государственная или частная организация, которая проводит хотя бы одну операцию, попадающую в перечень.

Если госорган или юридическое лицо признаны оператором, то они заключают соглашение на обработку с владельцем. В противном случае действия организации окажутся нарушением, что повлечет за собой наказание со стороны контролирующих органов.

Федеральный закон от 30.12.2020 г. № 519-ФЗ

Под действие Федерального закона попадают организации, признанные операторами ПД. При этом личная информация делится на следующие типы:

  • сведения о сотрудниках;
  • клиентская база;
  • информация о пользователях интернет-источников.

Если общество имеет хотя бы одну из перечисленных категорий, то оно попадает под действие закона.

2 параграф ФЗ 152 2006 г. о персональных данных проводит разъяснение о тех случаях, когда согласие на обработку данных не требуется. Организация может безнаказанно работать с личной информацией в следующих случаях:

  • Если обработка сведений предусмотрена законодательством Российской Федерации без разрешения владельца.
  • Если личная информация используется в судопроизводстве.
  • Если ПДн использует исполнительная ветвь власти РФ.
  • Обработка на портале Госуслуги.
  • При заключении договора о приобретении товара или услуги.
  • Использование частных сведений необходима в жизненно опасных ситуациях, когда владелец не способен дать разрешение.
  • В художественном произведении при условии ненарушения прав субъекта.
  • В журналистских расследованиях и научных работах.
  • Если личные сведения раскрыты в соответствии с Федеральным Законом.

Безнаказанное использование информации разрешено государственным структурам, поэтому органы контроля реже проверяют правительственных операторов, а внимательней следят за частными компаниями.

Статьи под номерами 5 и 6 в ФЗ-152 гласят о возможных принципах и условиях обработки частных сведений. Постановление предусматривает перечень ситуаций, при которых используют личную информацию, а также регулирует правила обработки.

Согласно законопроекту о персональных данных оператор в своей работе придерживается следующих принципов:

  • частные сведения используются только для заранее оговоренных двумя сторонами задач;
  • составление базы из личной информации невозможно;
  • на использование сведений должны быть основания;
  • обрабатывать исключительно те сведения, которые требует достижение поставленной цели;
  • обрабатываться должна только действующая информация;
  • объемы сведений не превышают разрешенного соглашением показателя;
  • хранение информации не превышает временной промежуток, необходимый для достижения цели;
  • устаревшие сведения подлежат немедленному уничтожению.

  • Постановление Главного государственного санитарного врача РФ от 16.10.2020 N 31 (ред. от 15.11.2021)
  • Регламент по организации и проведению официальных физкультурных и спортивных мероприятий на территории Российской Федерации в условиях сохранения рисков распространения COVID-19
  • Приказ АНО НАРК от 01.02.2019 N 05/19-ПР (ред. от 12.11.2021)
  • Приказ ФАУ Главгосэкспертиза России от 22.03.2018 N 57 (ред. от 10.11.2021)
  • Положение о межрегиональных и всероссийских официальных спортивных соревнованиях по легкой атлетике на 2021 год. Номер-код вида спорта: 0020001611Я
  • Положение о межрегиональных и всероссийских официальных спортивных соревнованиях по спортивному ориентированию на 2021 год. Номер-код вида спорта: 0830005511Я
  • Постановление Главного государственного санитарного врача РФ от 22.05.2020 N 15 (ред. от 09.11.2021)
  • Информация Минфина России
  • Приказ Росстата от 27.08.2020 N 491 (ред. от 03.11.2021)
  • Приказ Росстата от 24.07.2020 N 411 (ред. от 03.11.2021)
  • Федеральный закон от 27 07 2006 № 152-ФЗ «О персональных данных»

    «Медуза», я с тобой

    Дмитрий Кузнец

    Напомню, что в текущей версии закона, в общедоступные источники персональных данных могут включаться сведения о субъекте с его письменного согласия.

    Из новой статьи закона мы видим, что согласие на распространение персональных данных может быть предоставлено субъектом:

    • непосредственно;
    • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

    Формулировки не подразумевают сбора письменных согласий операторами, что значительно упрощает сам процесс. Т.е. достаточно того, что субъект персональных данных соглашается с согласием размещенным на сайте. Но к оформлению таких согласий нужно подойти со всей серьезностью, т.к. как я уже описал выше, к самим согласиям будут предъявляться более жесткие требования.

    Что касается специальной информационной системы РКН, предназначенной для сбора согласий на распространение персональных данных, то ее нет. Т.е. регулятор закладывает такую возможность, но когда реализует непонятно. Поэтому имеет смысл ориентироваться на согласия данные непосредственно субъектом оператору. Тем более, что молчание или бездействие субъекта ПДн ни при каких обстоятельствах не могут считаться согласием на распространение персональных данных.

    Как и любое правило, требования нововведенной статьи имеют исключения. Установленные субъектом запреты на распространение его персональных данных могут быть проигнорированы оператором, если случаи обработки ПД касаются государственных, общественных или иных публичных интересов, определенных законодательством РФ.

    Также требования новой статьи не применяются, если:

    • Обработка персональных данных производится в целях выполнения норм законодательства РФ.
    • Обработка производится федеральными или региональными органами исполнительной власти или же органами местного самоуправления для исполнения своих функций, полномочий и обязанностей.

    Передача персональных данных, разрешенных субъектом для распространения, должна быть прекращена по требованию субъекта. В данном случае, ничего нового требования статьи не содержат, т.к. оператор и так должен прекратить обработку ПДн субъекта, если тот пишет соответствующий отзыв ранее данного согласия. Данное требование должно включать в себя ФИО субъекта, контактную информацию, а также перечень персональных данных, распространение которых подлежит прекращению. Соответственно, действие ранее данного согласия прекращается в течение трех дней с момента поступления оператору подобного требования или в срок, указанных во вступившем в законную силу решения суда, если субъект обратился в суд.

    Помимо новой статьи закона, вводятся изменения в уже существующие и связанные с общедоступными источниками информации. В частности претерпела изменение статья 18. Если раньше Оператор освобождался от обязанности предоставлять субъекту персональных данных сведения, полученные из общедоступных источников информации, то теперь закон ссылается на все вышеописанные требования новой статьи.

    Ровно тоже произошло и со статьей 22 152-го Федерального закона. В которой говорится об уведомлении Роскомнадзора. В старой версии закона говорится о том, что Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку ПД, полученных из общедоступных источников информации. В новой же версии Оператор должен учитывать все условия и запреты отраженные в вводимой статье.

    На самом деле последние два описанных изменения, на мой взгляд, не накладывают каких –то дополнительных условий на оператора. Т.к. в большинстве случаев оператор и так должен был предоставить обрабатываемые данные субъекта по его запросу и уведомить РКН о своей деятельности как оператора.

    Закон уже подписан, но требования вступают в силу с 1 марта 2021г. Поэтому рекомендую заранее подготовиться и разработать шаблон согласия на распространение, которое Вы будете использовать.

      Появилось новое понятие, пришедшее на смену «Общедоступные источники персональных данных», при этом сами общедоступные источники никуда не делись. Оператору нужно оформлять отдельным документом согласие на распространение персональных данных субъекта. Субъект ПД может устанавливать запреты на распространение своих персональных данных или их части. Должна появиться информационная система, оператором которой будет РКН. В этой ИС можно будет получить согласие на распространение персональных данных своих субъектов.

      Персональные данные в 2021 году: как работать, чтобы не нарушить закон

      Согласно указанному постановлению Правительства № 1119, безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает эти данные, или лицо, осуществляющее обработку этих данных по поручению оператора на основании заключённого с этим лицом договора.

      Несмотря на изрядную запутанность руководящих документов по защите информационных систем, в том числе, хранящих в них данных, соблюсти основные нормы, установленные в этих документах, можно.

      В целом, последовательность действий лица, планирующего обработку данных должна быть примерно следующей:

      • определить, относится ли он к категории «оператор персональных данных»; если относится, известить о своих планах Роскомнадзор;
      • определить угрозы безопасности данных при их обработке в информационной системе оператора;
      • определить требующийся уровень защиты;
      • определить и применить организационные и технические меры защиты данных от неправомерного доступа к ним, а также от возможной их утраты или искажения;
      • применить выбранные меры защиты;
      • после ввода информационной системы в эксплуатацию регистрировать и учитывать все действия, совершаемых с персональными данными в информационной системе;
      • обеспечить обнаружение фактов несанкционированного доступа к данным и принимать меры, исключающие такой доступ в дальнейшем;
      • регулярно оценивать эффективность применения выбранных средств защиты.

      Напомним о пункте 10 приказа ФСТЭК № 21 от 18.02.2013, в котором говорится о том, что при невозможности реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учётом экономической целесообразности могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности данных.

      В любом случае полезно руководствоваться здравым смыслом.

      Закон «О персональных данных» № 152-ФЗ распространяется на правоотношения, которые связаны с обработкой информации главным образом личного характера. К ней можно отнести Ф.И.О., адрес, телефон, паспортные данные человека. Персональные данные, которые защищает рассматриваемый закон, могут обрабатываться как юридическими, так и физическими лицами. ПД могут быть и биометрическими, то есть представлять собой отпечатки пальцев гражданина или снимок сетчатки его глаз.

      Основная идея ФЗ № 152 «О персональных данных» в том, что гражданин, являющийся владельцем ПД, сам может определять то, кому он разрешает пользоваться соответствующими данными и каким образом. То есть, если соответствующего разрешения не получено, другое лицо не вправе каким-либо образом обрабатывать ПД, принадлежащие другому субъекту. Закон устанавливает ряд исключений из этого правила. Далее в статье мы рассмотрим данный аспект и иные особенности применения положений закона № 152-ФЗ подробнее.

      Законодательство о ПД регламентирует операции, которые могут быть, в принципе, осуществлены с соответствующими данными:

      • распространение;
      • предоставление;
      • блокирование;
      • обезличивание;
      • трансграничная передача;
      • уничтожение.

      Закон «О персональных данных» требует от операторов ПД осуществления указанных действий при условии соблюдения:

      — конфиденциальности ПД (если иное не установлено законом);

      — целостности ПД.

      То есть персональные данные должны быть защищены, во-первых, от несанкционированного просмотра, а во-вторых — от уничтожения или неправомерной корректировки. Изучим то, каким образом должна осуществляться собственно защита ПД в соответствии с нормами закона № 152-ФЗ.

      Выполнение главного обязательства, которое предусмотрено законом, оператор ПД должен осуществлять с помощью:

      • внедрения передовых технологических решений, позволяющих защитить данные от несанкционированного прочтения и изменения;
      • применения правовых методов защиты информации.

      Решая указанные задачи, оператор ПД, как это предписывает закон «О защите персональных данных», должен:

      • классифицировать информацию, обработку которой он осуществляет, по уровням защищенности;
      • установить требования к качеству носителей персональных данных;
      • определить особые критерии защищенности биометрических данных.

      Прежде чем начать обработку ПД, их оператор должен получить соответствующую информацию в распоряжение. Как он может сделать это законным способом?

      Основной и во многих случаях единственный способ, с помощью которого владелец ПД может передать в распоряжение оператора свои персональные данные — в письменном виде дать согласие на их обработку. Как правило, оно представляет собой заявление, в котором человек перечисляет ПД, которые готов дать на обработку, указывает способы обработки ПД, которые он одобряет.

      Федеральный Закон 152 «О персональных данных» устанавливает, что оператору ПД не нужно запрашивать согласие у их владельца на обработку соответствующей информации, если она осуществляется:

      • в силу положений какого-либо федерального закона;
      • для исполнения договора, заключаемого между оператором ПД и их владельцем;
      • в целях сбора статистических данных или при проведении научного исследования — но при условии, что ПД будут обезличены;
      • в экстренной ситуации, когда это необходимо для оказания помощи владельцу ПД;
      • в целях отправки почты;
      • для осуществления расчетов между провайдерами и их клиентами, являющимися владельцами ПД;
      • в рамках журналистской деятельности;
      • в соответствии с законами, регулирующими деятельность государственных и муниципальных служащих.
      • Закон 152-ФЗ «О персональных данных»
      • Обработка и использование биометрических данных. Персональные биометрические данные – это…
      • Защита персональных данных работника в РФ
      • Служебная тайна: виды и понятие. Толкование ФЗ о служебной тайне
      • Закон о забвении: защита данных личного характера
      • Что такое адвокатский запрос? Образец адвокатского запроса
      • Закон о СМИ: простыми словами основные положения
        • Определения
        • Зачем России этот закон
        • Как утверждали и меняли закон
          • Минцифры России предложило обезличивать персональные данные только с согласия субъекта
          • Передачу персональных данных на зарубежные сервера планируется ограничить
          • Депутаты ужесточили наказание за нарушения в работе с персональными данными
          • Изменения в законе с 1 сентября 2015 года
          • 2006-2010 годы
        • Кого касаются требования
        • Ответственность за невыполнение требований

      Добавить комментарий

      Ваш адрес email не будет опубликован. Обязательные поля помечены *