Федеральный закон об обработке персональных данных 2022 год

admin

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Федеральный закон об обработке персональных данных 2022 год». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Содержание
1. «КонсультантПлюс: Новости для юриста»
2. Новые правила с 2021 года
3. Закон о персональных данных — что это такое?
4. Новый законопроект о персональных данных: как изменилась работа рекрутеров
5. Федеральный закон от 30.12.2020 г. № 519-ФЗ
6. Распространять персональные данные граждан по-старому больше не получится
6.1. Персональные данные

Под ними понимают любые сведения, которые прямо или косвенно относятся к физическому лицу. Такая широкая трактовка позволяет отнести любую информацию о человеке к персональным данным. Федеральный закон о персональных данных является нормой прямого действия и должен соблюдаться всеми субъектами, получившими доступ к указанной информации.

Когда пользователь оставляет свои сведения на сайте в интернете при приобретении какого-либо товара, ресурс становится хранителем (оператором) персональных данных, что накладывает на него определенные права и обязанности.

Законодательство РФ предусматривает 3 вида ответственности:

  • гражданско-правовая — как правило, устанавливается в договоре, который гражданин заключает с оператором персональных данных. Носит преимущественно денежный характер;
  • административная — установлена в Кодексе об административных правонарушениях РФ и выражается либо в виде предупреждения, либо в виде денежного штрафа;
  • уголовная — наступает за наиболее тяжкие нарушения законодательства. В подавляющем большинстве случаев к виновному применяется либо денежный штраф, либо наказание, связанное с ограничением свободы.

Перечень ситуаций установлен в ст. 6 Закона №152-ФЗ. Важно следить за соблюдением требований закона:

  • при осуществлении правосудия;
  • при заключении договора потребительского кредитования;
  • при заключении трудового договора;
  • при защите прав и интересов гражданина;
  • если при заключении гражданско-правового договора стороны достигли согласия об этом;
  • в случаях, когда требования законодательства требуют принятия мер по обработке персональных данных.

Закон содержит ряд норм о предоставлении персональных данных по запросам сторонних организаций и частных лиц. Без согласия гражданина сведения могут предоставляться только по запросу судебных и правоохранительных органов. В иных случаях факт несанкционированной передачи будет караться по УК РФ.

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

«КонсультантПлюс: Новости для юриста»

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

  • в течение трех рабочих дней с момента обращения;

  • или в срок, указанный в постановлении суда;

  • или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).

По словам Марины Хадиной, директора по развитию Talantix, чтобы избежать рисков, рекрутер как менеджер проекта по внедрению программ должен учесть следующие моменты:

  1. Обратите внимание, как система запрашивает согласие на обработку персональных данных. Если резюме приходят из разных источников, то во многих случаях должно быть предусмотрено согласие на обработку ПД, разрешенных к распространению. Если есть сомнения, что сторонний онлайн-ресурс не собирает согласия с соискателей, тогда лучше дополнительно запросить его.
  2. Посмотрите, как оформлено согласие на обработку ПД. Должны быть указаны цели сбора — трудоустройство и кадровый резерв.
  3. Соблюдаются ли в системе требования по локализации данных — например, серверы Talantix располагаются на территории РФ. В данном случае система может выступать как первичная база данных, при этом вторичная база может находиться за пределами России, что актуально для зарубежных компаний.
  4. С точки зрения техтребований — есть ли у центра обработки данных, где размещается инфраструктура системы, лицензия на техническую защиту информации, разработана ли модель защиты от киберугроз.
  5. Проверьте, предусмотрены ли регулярные обновления системы с учетом изменений в законодательстве.

Законодатели отметили, что закон о распространении ПД — только начало большой работы по ужесточению правил обращения с персональными данными. Но это не должно стать проблемой для компаний, если они следят за автоматизированными решениями и предложениями по хранению и обработке данных, так как крупные провайдеры держат руку на пульсе, чтобы помочь HR-сообществу и бизнесу учесть эти и другие нововведения.

Форма документа не регламентирована, а значит может составляться по шаблону, разработанному фирмой самостоятельно. Но следует помнить, что статья 9 ФЗ от 27.07.2006 № 152-ФЗ содержит перечень обязательных требований.

Новые правила с 2021 года

1 марта произошли изменения в ФЗ от 27.07.2006 № 152-ФЗ, которые внес ФЗ от 30.12.2020 № 519-ФЗ.

Рассмотрим основные нововведения.

1. Появился документ «Согласие на распространение ПДн сотрудника».

Теперь, получив от сотрудника согласие на обработку ПДн, компания не может их распространять. Для этих целей необходимо получить от физ. лица отдельный документ, который позволяет оператору распространять данные, например, размещать их на сайте компании, на доске почета, передавать банку и другое. В этом документе важно предоставить сотруднику возможность указать какую именно информацию он разрешает распространять работодателю.

2. Молчание субъекта ПДн не может быть расценено, как согласие на распространение ПДн. Это актуально и для бездействия сотрудника (п. 8 ст. 10.1 Закона № 152-ФЗ).

3. Любые ПДн о физ. лице можно публиковать только при наличии его письменного согласия, даже если лицо самостоятельно их разместило в общедоступном месте (интернет или социальные сети). Раньше такие личные данные можно было распространять без получения согласия от их владельца (п. 2 ст. 10.1 Закона № 152-ФЗ).

Закон о персональных данных — что это такое?

Получить согласие на распространение ПДн можно двумя способами:

1. Непосредственно у физ. лица, то есть с личной подписью на бумаге;

2. Через информационную систему Роскомнадзора. Любое физ. лицо может подключиться к системе для того, чтобы указать какие ПДн и кому он разрешает распространять.

Оператор, в свою очередь, также имеет возможность подключиться к данной системе и не получать от конкретного физического лица письменное согласие, а использовать информацию, содержащуюся в системе Роскомнадзора. Это возможность станет доступной с 1 июля 2021 года.

Компаниям и ИП однозначно стоит уделить внимание новшествам, описанным выше, так как штрафные санкции увеличились вдвое.

Начиная с 27 марта 2021 г. за работу с ПДн сотрудников без их письменного согласия ИП ждет штраф от 20 000 до 40 000 руб., организации, при аналогичном нарушении должны будут уплатить от 30 000 до 150 000 руб.

Если же ИП нарушит законодательство повторно, то штраф будет составлять от 100 000 до 300 000 руб., а для компаний — от 300 000 до 500 000 руб. (ч. 2 ст. 13.11 КоАП). Наказание за такое правонарушение может последовать в течение года (ст. 4.5 КоАП РФ).

Подведем итог: правила обработки личных данных касаются абсолютно всех физических и юридических лиц.

В этой связи, работодателям целесообразно брать с сотрудников:

1. согласия на обработку персональных данных;

2. согласия на распространение персональных данных.

Документы составляются в соответствии с требованиями действующего законодательства.

Игнорирование правил обработки и распространения данных может привести к серьезным финансовым потерям.

В программах 1С новый документ «Согласие на распространение персональных данных» на данный момент не реализован. Но и о наличии согласия на обработку персональных данных знают далеко не все бухгалтеры.

Первое, что необходимо знать — это то, что все данные хранятся в карточках физ. лиц. При приеме на работу личные данные субъекта в справочнике «Физические лица» заполняются автоматически на основании справочника «Сотрудники».

Установлены особенности обработки персональных данных (ПД), разрешенных их владельцем для распространения.

Запрещено использовать ПД без согласия владельца, а он сам может потребовать от оператора прекратить распространение сведений о себе без необходимости доказывать, что это незаконно.

Прописана процедура обязательного согласования обработки ПД любым оператором данных. Нельзя получать согласие «автоматом» — по умолчанию или при бездействии субъекта ПД.

Если согласие дано, владелец данных вправе в любой момент его отозвать, после чего оператор обязан приостановить выдачу сведений.

В соглашении на обработку ПД, разрешенных для распространения, может содержаться запрет на передачу данных неограниченному кругу лиц и обработку ими этих сведений.

Каждый сайт обязан спрашивать пользователей, какие данные о них можно опубликовывать и передавать третьим лицам. Невыполнение этого требования повлечет штраф за нарушение обработки ПД.

Закон вступает в силу с 1 марта 2021 г., за исключением нормы о предоставлении оператору согласия на обработку ПД, разрешенных для распространения, через информсистему уполномоченного органа. Данное положение применяется с 1 июля 2021 г.

Новый законопроект о персональных данных: как изменилась работа рекрутеров

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее — нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

5. Решения межгосударственных органов, принятые на основании положений международных договоров Российской Федерации в их истолковании, противоречащем Конституции Российской Федерации, не подлежат исполнению в Российской Федерации. Такое противоречие может быть установлено в порядке, определенном федеральным конституционным законом. (в ред. Федерального закона от 08.12.2020 N 429-ФЗ)

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Ответ очевиден. Все ЛНА, касающиеся обработки ПД, необходимо привести в соответствие с законодательством. ЛНа должны содержать исчерпывающую информацию, касающуюся обработки ПД в организации, соответственно в них должны быть отражены и новые положения о распространении ПД.

ЛНА могут содержать определенные условия, связанные с распространением ПД, в том числе способы/формы получения согласия. Не ограничивайтесь только письменной формой согласия, предусмотрите возможность его получения в другой форме, позволяющей подтвердить сам факт получения.

Административная ответственность в области ПД ужесточилась. С 27 марта 2021 года произошли изменения в составах правонарушений и санкциях. Размеры штрафов увеличились в два раза.

Ранее за совершение некоторых нарушений можно было избежать штрафа, отделавшись предупреждением. Теперь такая норма отсутствует.

Обратите внимание!

За нарушения по ст. 13.11 КоАП РФ теперь могут оштрафовать в течение 1 года. Напомним, что до 27.03.2021 срок давности составлял лишь 3 месяца.

Федеральный закон № 248-ФЗ заложил основы нового подхода к контролю и надзору в РФ: предмет регулирования, принципы, предмет и объекты контроля, организация контроля, участники этих процессов, порядок проведения контроля и прочее. Постановление Правительства РФ от 29.06.2021 № 1046 конкретизировало порядок организации и осуществления государственного контроля Роскомнадзором за обработкой ПД.

Федеральный закон № 248-ФЗ направлен на стимулирование добросовестности контролируемых лиц и профилактику рисков причинения ими вреда (ущерба) охраняемым законом ценностям. Таким образом, теперь в приоритете профилактика нарушений, более мягкие контрольно-надзорные мероприятия.

Закреплён широкий перечень профилактических мероприятий (ч. 1 ст. 45), участие в которых является правом, а не обязанностью контролируемых лиц. При этом, взаимодействие возможно только с согласия либо по инициативе проверяемого.

Предусмотрен перечень новых контрольно-надзорных мероприятий, помимо выездной и документарной проверки (ч. 2 и 3 ст. 56).

Важно

Сократился срок проведения документарной и выездной проверок с 20 до 10 рабочих дней.

При осуществлении контроля (надзора) применяется риск-ориентированный подход, введены системы оценки и управления рисками причинения вреда (ущерба) охраняемым законом ценностям.

Появилась возможность отменять решения, которые приняты в результате любого контрольно-надзорного мероприятия, проведенного с грубыми нарушениями. Ранее допускалась отмена только результата проверок.

Федеральный закон 248-ФЗ допустил возможность проведения аккредитованными организациями независимой оценки соблюдения требований законодательства.

Предметом контроля (надзора) является соблюдение операторами обязательных требований в области ПД.

При осуществлении контроля применяется система оценки и управления рисками, установлены критерии отнесения объекта контроля к одной из категорий риска:

  • высокий
  • значительный
  • средний
  • умеренный
  • низкий.

К какой категории риска относится ваша организация? Попробуйте определить.

В рамках осуществления контроля Роскомнадзором могут проводиться такие профилактические мероприятия, как:

  • информирование,
  • обобщение правоприменительной практики,
  • объявление предостережения,
  • консультирование,
  • профилактический визит.

Также в контрольных целях проводятся плановые и внеплановые мероприятия: инспекционный визит, документарная или выездная проверки.

Результаты контрольных мероприятий фиксируются в актах.

Обратите внимание!

Плановые контрольные мероприятия, за исключением плановых контрольных мероприятий без взаимодействия с проверяемыми, проводятся на основании плана проведения плановых контрольных (надзорных) мероприятий на очередной календарный год, согласованного с органами прокуратуры.

Урегулированы вопросы применения фотосъемки, аудио- и видеозаписи для фиксации доказательств нарушения обязательных требований.

Подробнейшим образом регламентировано обжалование решений контролирующего органа, действий (бездействия) их должностных лиц.

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Имеется конкретный список обязательных данных владельца персональной информации, которые должны быть в согласии:

  • ФИО;
  • контактные данные (телефон, электронная почта, адрес);
  • информация об операторе-компании;
  • информация об операторе-физлице;
  • информация об операторе-ИП;
  • информация об информационных ресурсах оператора, через которые неограниченному числу лиц дается доступ к информации и осуществляются иные операции с персональной информацией;
  • цель обработки сведений;
  • категории и перечень сведений, на обработку которых оформляется согласие — персональные данные (ФИО, дата и место рождения, адрес, семейное положение и т.п.), специальные категории персональных сведений, биометрические данные;
  • срок действия согласия.

Если владелец персональных данных захочет, то можно заполнить и такую информацию:

  • категории и перечень данных, для обработки которых владелец указывает условия и запреты, а также список этих условий и запретов;
  • условия, с учетом которых полученная информация может направляться оператором лишь по его локальной сети, обеспечивающей доступ к сведениям только для конкретных работников, либо с применением определенных телекоммуникационных сетей, либо без передачи персональной информации.

Роскомнадзор предоставил для использования специальный конструктор, с помощью которого можно сформировать шаблон согласия. Данный документ только рекомендован, однако он соответствует предъявляемым к нему требованиям и учитывает особенности конкретного оператора.

Для создания шаблона нужно заполнить необходимые графы, после чего он рассматривается экспертами Роскомнадзора. Если необходимо, оператору выдаются рекомендации, как доработать документ. Результаты проведенной проверки пересылаются на адрес электронной почты, который указывается в форме.

После этого оператор может применять проверенную форму документа.

В шаблоне учитываются все обязательные данные, которые нужно отражать в согласии на основании Приказа от 24.02.2021 г. № 18.

Да, если соблюдено одно из указанных условий.

  • На вашем сайте в открытом доступе размещаются ПД.
  • Вы собираете и структурируете ПД, размещенные в открытом доступе.
  • Вы публикуете ПД в печатной или иной форме, при которой ПД находятся в открытом доступе.

    Пример: социальные сети, сайты объявлений, форумы, печатные издания с объявлениями и т.д.

Нет, если соблюдено одно из указанных условий.

  • На вашем сайте размещаются ПД, доступ к которым есть только у зарегистрированных пользователей, т.е. оператор может ограничить и определить круг лиц, имеющих доступ к ПД.

    Эта позиция была устно донесена Роскомнадзором в ходе ответов на вопросы на дне открытых дверей 28 января 2021 г. В отсутствие письменных разъяснений остается довериться данной позиции и надеяться на то, что Роскомнадзор не изменит ее.

    Пример: закрытая корпоративная социальная сеть или сайт-интегратор объявлений, на котором доступ к ПД продавцов можно получить только после регистрации на сайте.

  • Ваша компания распространяет или предоставляет ПД в определенных законом государственных, общественных или публичных интересах независимо от того, что распространение или предоставление ПД запрещено самим лицом2.

    Под государственными, общественными и публичными интересами в основном понимаются вопросы безопасности государства, граждан и т.д. Поэтому сложно придумать реальный случай, когда коммерческая организация могла бы прикрыться данным пунктом закона.

  • Вы являетесь государственным органом власти или органом местного самоуправления, распространяющим ПД в силу выполнения возложенных на вас полномочий3.

Оператор может быть привлечен к административной ответственности. До 27 марта 2021 г. размер штрафа составит:

  • от 5 до 10 тыс. руб. – для индивидуального предпринимателя;
  • от 30 до 50 тыс. руб. – для компании24.

С 27 марта 2021 г. размер штрафов увеличивается:

  • от 10 до 20 тыс. руб. – для индивидуального предпринимателя;
  • от 60 до 100 тыс. руб. – для компании.

Полагаем, самый надежный и менее затратный способ соблюсти требования Закона о персональных данных для тех компаний, чьи сайты содержат ПД субъектов, – закрыть сайты для незарегистрированных пользователей. По крайней мере, до тех пор, пока не сформируется судебная практика и не появится точная позиция Роскомнадзора относительно применения положений Закона о распространении ПД.

Сложнее обстоит дело с компаниями, которые собирают ПД из открытых источников. Такие компании, на наш взгляд, обязаны получать у субъектов:

  • согласие на обработку ПД, если компания хочет обрабатывать ПД без распространения;
  • согласие на распространение, если компания хочет распространять ПД субъекта.

Компаниям, которые распространяют ПД не в интернете, также необходимо получать у субъекта согласие на распространение, даже в том случае, если распространение ПД необходимо для исполнения договора в интересах субъекта.

1 Федеральный закон от 30 декабря 2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”».

2 Часть 11 ст. 10.1 Закона о персональных данных (далее – Закон).

3 Часть 15 ст. 10.1 Закона.

4 Пункт 1 ч. 1 ст. 6 Закона.

5 Пункт 5 ч. 1 ст. 6 Закона.

6 Часть 3 ст. 20 Закона.

7 Часть 5 ст. 21 Закона.

8 Пункт 1.1 ч. 1 ст. 3 Закона.

9 Часть 1 ст. 10.1 Закона.

10 Часть 9 ст. 9 Закона.

11 Часть 1 ст. 10.1 Закона.

12 Часть 9 ст. 10.1 Закона.

13 Часть 6 ст. 10.1 Закона.

14 Часть 8 ст. 10.1 Закона.

15 Часть 10 ст. 10.1 Закона.

16 Часть 4 ст. 10.1 Закона.

17 Часть 5 ст. 10.1 Закона.

18 Часть 12 ст. 10.1 Закона.

19 Часть 13 ст. 10.1 Закона.

20 Часть 14 ст. 10.1 Закона.

21 Часть 2 ст. 10.1 Закона.

22 Пункт 10 ч. 1 ст. 6 Закона.

23 Определение Верховного Суда РФ от 29 января 2018 г. № 305-КГ17-21291.

24 Часть 1 ст. 13.11 КоАП РФ.

  • Арбитражный процессуальный кодекс РФ

  • Бюджетный кодекс РФ

  • Водный кодекс Российской Федерации РФ

  • Воздушный кодекс Российской Федерации РФ

  • Градостроительный кодекс Российской Федерации РФ

  • ГК РФ

  • Гражданский кодекс часть 1

  • Гражданский кодекс часть 2

  • Гражданский кодекс часть 3

  • Гражданский кодекс часть 4

  • Гражданский процессуальный кодекс Российской Федерации РФ

  • Жилищный кодекс Российской Федерации РФ

  • Земельный кодекс РФ

  • Кодекс административного судопроизводства РФ

  • Кодекс внутреннего водного транспорта Российской Федерации РФ

  • Кодекс об административных правонарушениях РФ

  • Кодекс торгового мореплавания Российской Федерации РФ

  • Лесной кодекс Российской Федерации РФ

  • НК РФ

  • Налоговый кодекс часть 1

  • Налоговый кодекс часть 2

  • Семейный кодекс Российской Федерации РФ

  • Таможенный кодекс Таможенного союза РФ

  • Трудовой кодекс РФ

  • Уголовно-исполнительный кодекс Российской Федерации РФ

  • Уголовно-процессуальный кодекс Российской Федерации РФ

  • Уголовный кодекс РФ

  • ФЗ об исполнительном производстве

  • Закон о коллекторах

  • Закон о национальной гвардии

  • О правилах дорожного движения

  • О защите конкуренции

  • О лицензировании

  • О прокуратуре

  • Об ООО

  • О несостоятельности (банкротстве)

  • О персональных данных

  • О контрактной системе

  • О воинской обязанности и военной службе

  • О банках и банковской деятельности

  • О государственном оборонном заказе

  • Закон о полиции

  • Закон о страховых пенсиях

  • Закон о пожарной безопасности

  • Закон об обязательном страховании гражданской ответственности владельцев транспортных средств

  • Закон об образовании в Российской Федерации

  • Закон о государственной гражданской службе Российской Федерации

  • Закон о защите прав потребителей

  • Закон о противодействии коррупции

  • Закон о рекламе

  • Закон об охране окружающей среды

  • Закон о бухгалтерском учете

    Федеральный закон от 30.12.2020 г. № 519-ФЗ

    • Распоряжение Правительства РФ от 22.01.2020 N 56-р (ред. от 19.11.2021)

      «Об утверждении структуры Аппарата Правительства Российской Федерации и о признании утратившими силу некоторых актов Правительства Российской Федерации»

    • Постановление Правительства РФ от 17.11.2021 N 1961

      «О внесении изменений в постановление Правительства Российской Федерации от 3 апреля 2020 г. N 441»

    • Постановление Правительства РФ от 17.11.2021 N 1962

      «О внесении изменения в рекомендуемый перечень государственных и муниципальных услуг, предоставление которых может быть организовано по принципу «одного окна» в многофункциональных центрах предоставления государственных и муниципальных услуг»

    • Положение о межрегиональных и всероссийских официальных спортивных соревнованиях по спортивному ориентированию на 2021 год. Номер-код вида спорта: 0830005511Я

      (утв. Минспортом России 30.12.2020, Общероссийской физкультурно-спортивной общественной организацией «Федерация спортивного ориентирования России») (ред. от 09.11.2021)

    • Приказ Росстата от 24.07.2020 N 410 (ред. от 03.11.2021)

      «Об утверждении форм федерального статистического наблюдения для организации федерального статистического наблюдения за внутренней и внешней торговлей, туризмом, платными услугами населению, транспортом и административными правонарушениями в сфере экономики»

    • Приказ Росстата от 24.07.2020 N 411 (ред. от 03.11.2021)

      «Об утверждении форм федерального статистического наблюдения для организации федерального статистического наблюдения за деятельностью предприятий»

    Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

    • Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку персональных данных.
    • Согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
    • В согласии на обработку персональных данных, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

    Законодательство обязывает прекратить передачу персональных данных, разрешенных для распространения, в любое время по требованию субъекта.

    Для этого нужно направить требование, в котором нужно четко указать перечень персональных данных, обработку которых нужно прекратить.

    Указанные персональные данные могут обрабатываться только оператором, которому оно направлено.

    В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физическому лицу, то к персональным данным относятся:

    • ФИО;
    • дата рождения;
    • адрес;
    • телефон;
    • электронный адрес;
    • фотография;
    • ссылка на персональный сайт;
    • ссылка на профиль в социальных сетях.

    Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и пр.

    Уведомлять Роскомнадзор не нужно, если персональные данные:

    • относятся к субъектам, которых связывают с оператором трудовые отношения;
    • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
    • являются общедоступными;
    • включают только ФИО субъектов персональных данных;
    • нужны для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
    • включены в федеральные автоматизированные информационные системы персональных данных, государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
    • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

    Все вышеперечисленные меры имеют отношение как к физическим, так и к юридическим лицам. Однако юридическим лицам следует предпринять ряд дополнительных мероприятий.

    • Об использовании информации сайта
    • Об использовании персональных данных пользователей информации
    • О разработке и администрировании сайта
    • Технические сведения
    • Написать разработчику

    Согласие на обработку персональных данных, разрешенных их субъектом для распространения, должно содержать следующую информацию:

    РЕКВИЗИТ СОГЛАСИЯ
    1 Фамилия, имя, отчество (при наличии) субъекта персональных данных
    2 Контактная информация – номер телефона, адрес электронной почты или почтовый адрес субъекта
    3 Сведения об операторе-организации:
    • наименование;
    • адрес в ЕГРЮЛ;
    • ИНН;
    • ОГРН (если известен субъекту персональных данных).

    Сведения об операторе – физическом лице:

    • фамилия, имя, отчество (при наличии);
    • место жительства или место пребывания;

    Сведения об операторе – ИП:

    • фамилия, имя, отчество (при наличии);
    • ИНН;
    • ОГРН (если известен субъекту персональных данных).
    4 Сведения об информационных ресурсах оператора, посредством которых будет предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта

    Это адрес, состоящий из:

    • наименования протокола (http или https), сервера (www), домена, имени каталога на сервере;
    • имя файла веб-страницы.
    5 Цель (цели) обработки персональных данных
    6 Категории и перечень персональных данных, на обработку которых дано согласие:
    • персональные данные (Ф.И.О. (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, о субъекте персональных данных);
    • специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
    • биометрические персональные данные.
    7 Категории и перечень персональных данных, для обработки которых субъект устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта)
    8 Условия, при которых полученные персональные данные оператор, осуществляющий их обработку, может передавать (заполняется по желанию субъекта):
    • только по своей внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников;
    • либо с использованием информационно-телекоммуникационных сетей (Интернет);
    • либо без передачи полученных персональных данных.
    9 Срок действия согласия

    В завершение отметим, что как такого бланка Согласия на обработку персональных данных, разрешенных их субъектом для распространения, Роскомнадзор не приводит. Поэтому каждая организация (ИП, физлицо) формируют его на своё усмотрение, но с обязательным приведением перечисленных 9 реквизитов.

    Все материалы сайта Министерства внутренних дел Российской Федерации могут быть воспроизведены в любых средствах массовой информации, на серверах сети Интернет или на любых иных носителях без каких-либо ограничений по объему и срокам публикации.

    Это разрешение в равной степени распространяется на газеты, журналы, радиостанции, телеканалы, сайты и страницы сети Интернет. Единственным условием перепечатки и ретрансляции является ссылка на первоисточник.

    Никакого предварительного согласия на перепечатку со стороны Министерства внутренних дел Российской Федерации не требуется.

    Распространять персональные данные граждан по-старому больше не получится

    Закон 152-ФЗ — единственный документ, который устанавливает требования и правила обработки персональных данных граждан ко всем организациям, государственным и муниципальным структурам, частным компаниям, которые собирают, обрабатывают и хранят персональные сведения своих сотрудников и клиентов.

    Но несмотря на это, с конца 2017 года 152-ФЗ не изменялся, в отличие от хакерских программ, Интернет-шпионов и иных вирусов.

    Фантазия мошенников в реальной жизни также не стоит на месте, и они каждый день изобретают новые и новые способы обмана как граждан, так и организаций с помощью полученных персональных данных.

    Важнейшей гарантией прав граждан является обязанность операторов и третьих лиц, получивших доступ к их данным, обеспечивать конфиденциальность и безопасность. На конституционном уровне гарантируется право россиян на защиту своих неимущественных прав, включая защиту личных сведений, в том числе с правом на возмещение убытков, причиненного ущерба или компенсацию морального вреда.

    И, вопреки изложенному, а также ряду судебных прецедентов, ФЗ «О персональных данных» не дорабатывается и не совершенствуется. В 2020 году каких-либо принятых Госдумой изменений в текст закона вноситься не планируется.

    Персональные данные

    — это любая информация, позволяющая как точно идентифицировать физическое лицо (субъекта персональных данных), так и составить о нём чёткий образ или предположить, что в конкретном случае речь идёт именно об определенном человеке, а не о каком-либо абстрактном.

    К такой информации относится:

    • ФИО;
    • сведения о дате и месте рождения;
    • адреса проживания и регистрации;
    • образование, доход, профессия (должность);
    • паспортные данные, ИНН, СНИЛС;
    • семейное, социальное или имущественное положение.

    Постановлением Правительства РФ от 13.09.019 N 1197 перечень данных, относящихся к персональным, был дополнен:

    • абонентский номер телефона (подвижной радиотелефонной связи)
    • адрес электронной почты.

    — любое физическое или юридическое лицо, включая государственные или муниципальные органы, организующие или осуществляющие сбор, хранение и обработку персональных данных граждан.

    Если гражданин заключает договор об оказании услуг по установке у себя в квартире ПВХ-окон, он предоставляет компании-установщику свои личные персональные данные, и компания становится оператором обработки персональных данных.

    ✎ Обратившись в МФЦ для оформления документов, потребуется заполнение согласия на обработку персональных данных, поскольку МФЦ становится оператором, получившим от вас конфиденциальную информацию.

    Оператор персональных данных несет полную ответственность за хранение всех полученных сведений и обязанность использовать данные только в тех целях, для которых они предоставлялись. Оператор будет привлечен к ответственности за их распространение или публичную огласку.

    Цель обработки персональных данных прописывается в уведомление уполномоченного органа (Роскомнадзора) о начале обработки персональных данных и о внесении изменений в ранее представленные сведения в соответствии с методическими рекомендациями, утв. Приказом Роскомнадзора от 30.05.2017 N 94.

    К персональным данным нельзя отнести любую информацию, по которой идентифицировать человека невозможно:

    • псевдоним (никнейм);
    • голос, измененный с помощью редактора;
    • ретушированное изображение (на котором не видно лица или определенных физических особенностей, а также номеров, идентифицирующих транспортные средства);
    • истории из жизни, которые могли случиться если не с большинством, то со многими людьми.

    Что важно знать! — по степени информативности персональные данные разделяются: сами по себе ФИО не определяют человека, если граждан, с такими ФИО несколько.

    Например, если опубликовать новость о том, что гражданин Иванов Федор Сергеевич сегодня совершил ограбление — это неразглашение персональных данных, в том смысле, в котором их понимает закон. А вот есть написать:«Сегодня Иванов Федор Сергеевич после тяжелого трудового дня на ООО «Криогенмаш» в городе Липецк по дороге домой совершил ограбление»— это уже идентификация человека.


    Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *