Изменения в закон о защите персональных данных с 2022 года

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Изменения в закон о защите персональных данных с 2022 года». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

  • ФИО;
  • контактные данные;
  • перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

По словам Марины Хадиной, директора по развитию Talantix, чтобы избежать рисков, рекрутер как менеджер проекта по внедрению программ должен учесть следующие моменты:

  1. Обратите внимание, как система запрашивает согласие на обработку персональных данных. Если резюме приходят из разных источников, то во многих случаях должно быть предусмотрено согласие на обработку ПД, разрешенных к распространению. Если есть сомнения, что сторонний онлайн-ресурс не собирает согласия с соискателей, тогда лучше дополнительно запросить его.
  2. Посмотрите, как оформлено согласие на обработку ПД. Должны быть указаны цели сбора — трудоустройство и кадровый резерв.
  3. Соблюдаются ли в системе требования по локализации данных — например, серверы Talantix располагаются на территории РФ. В данном случае система может выступать как первичная база данных, при этом вторичная база может находиться за пределами России, что актуально для зарубежных компаний.
  4. С точки зрения техтребований — есть ли у центра обработки данных, где размещается инфраструктура системы, лицензия на техническую защиту информации, разработана ли модель защиты от киберугроз.
  5. Проверьте, предусмотрены ли регулярные обновления системы с учетом изменений в законодательстве.

Законодатели отметили, что закон о распространении ПД — только начало большой работы по ужесточению правил обращения с персональными данными. Но это не должно стать проблемой для компаний, если они следят за автоматизированными решениями и предложениями по хранению и обработке данных, так как крупные провайдеры держат руку на пульсе, чтобы помочь HR-сообществу и бизнесу учесть эти и другие нововведения.

Под ними понимают любые сведения, которые прямо или косвенно относятся к физическому лицу. Такая широкая трактовка позволяет отнести любую информацию о человеке к персональным данным. Федеральный закон о персональных данных является нормой прямого действия и должен соблюдаться всеми субъектами, получившими доступ к указанной информации.

Когда пользователь оставляет свои сведения на сайте в интернете при приобретении какого-либо товара, ресурс становится хранителем (оператором) персональных данных, что накладывает на него определенные права и обязанности.


Установлены особенности обработки персональных данных (ПД), разрешенных их владельцем для распространения.

Запрещено использовать ПД без согласия владельца, а он сам может потребовать от оператора прекратить распространение сведений о себе без необходимости доказывать, что это незаконно.

Прописана процедура обязательного согласования обработки ПД любым оператором данных. Нельзя получать согласие «автоматом» — по умолчанию или при бездействии субъекта ПД.

Если согласие дано, владелец данных вправе в любой момент его отозвать, после чего оператор обязан приостановить выдачу сведений.

В соглашении на обработку ПД, разрешенных для распространения, может содержаться запрет на передачу данных неограниченному кругу лиц и обработку ими этих сведений.

Каждый сайт обязан спрашивать пользователей, какие данные о них можно опубликовывать и передавать третьим лицам. Невыполнение этого требования повлечет штраф за нарушение обработки ПД.

Закон вступает в силу с 1 марта 2021 г., за исключением нормы о предоставлении оператору согласия на обработку ПД, разрешенных для распространения, через информсистему уполномоченного органа. Данное положение применяется с 1 июля 2021 г.

Ответ очевиден. Все ЛНА, касающиеся обработки ПД, необходимо привести в соответствие с законодательством. ЛНа должны содержать исчерпывающую информацию, касающуюся обработки ПД в организации, соответственно в них должны быть отражены и новые положения о распространении ПД.

ЛНА могут содержать определенные условия, связанные с распространением ПД, в том числе способы/формы получения согласия. Не ограничивайтесь только письменной формой согласия, предусмотрите возможность его получения в другой форме, позволяющей подтвердить сам факт получения.

Административная ответственность в области ПД ужесточилась. С 27 марта 2021 года произошли изменения в составах правонарушений и санкциях. Размеры штрафов увеличились в два раза.

Ранее за совершение некоторых нарушений можно было избежать штрафа, отделавшись предупреждением. Теперь такая норма отсутствует.

Обратите внимание!

За нарушения по ст. 13.11 КоАП РФ теперь могут оштрафовать в течение 1 года. Напомним, что до 27.03.2021 срок давности составлял лишь 3 месяца.

Федеральный закон № 248-ФЗ заложил основы нового подхода к контролю и надзору в РФ: предмет регулирования, принципы, предмет и объекты контроля, организация контроля, участники этих процессов, порядок проведения контроля и прочее. Постановление Правительства РФ от 29.06.2021 № 1046 конкретизировало порядок организации и осуществления государственного контроля Роскомнадзором за обработкой ПД.

Федеральный закон № 248-ФЗ направлен на стимулирование добросовестности контролируемых лиц и профилактику рисков причинения ими вреда (ущерба) охраняемым законом ценностям. Таким образом, теперь в приоритете профилактика нарушений, более мягкие контрольно-надзорные мероприятия.

Закреплён широкий перечень профилактических мероприятий (ч. 1 ст. 45), участие в которых является правом, а не обязанностью контролируемых лиц. При этом, взаимодействие возможно только с согласия либо по инициативе проверяемого.

Предусмотрен перечень новых контрольно-надзорных мероприятий, помимо выездной и документарной проверки (ч. 2 и 3 ст. 56).

Важно

Сократился срок проведения документарной и выездной проверок с 20 до 10 рабочих дней.

При осуществлении контроля (надзора) применяется риск-ориентированный подход, введены системы оценки и управления рисками причинения вреда (ущерба) охраняемым законом ценностям.

Появилась возможность отменять решения, которые приняты в результате любого контрольно-надзорного мероприятия, проведенного с грубыми нарушениями. Ранее допускалась отмена только результата проверок.

Федеральный закон 248-ФЗ допустил возможность проведения аккредитованными организациями независимой оценки соблюдения требований законодательства.

Новый законопроект о персональных данных: как изменилась работа рекрутеров

Форма документа не регламентирована, а значит может составляться по шаблону, разработанному фирмой самостоятельно. Но следует помнить, что статья 9 ФЗ от 27.07.2006 № 152-ФЗ содержит перечень обязательных требований.

Новые правила с 2021 года

1 марта произошли изменения в ФЗ от 27.07.2006 № 152-ФЗ, которые внес ФЗ от 30.12.2020 № 519-ФЗ.

Рассмотрим основные нововведения.

1. Появился документ «Согласие на распространение ПДн сотрудника».

Теперь, получив от сотрудника согласие на обработку ПДн, компания не может их распространять. Для этих целей необходимо получить от физ. лица отдельный документ, который позволяет оператору распространять данные, например, размещать их на сайте компании, на доске почета, передавать банку и другое. В этом документе важно предоставить сотруднику возможность указать какую именно информацию он разрешает распространять работодателю.

2. Молчание субъекта ПДн не может быть расценено, как согласие на распространение ПДн. Это актуально и для бездействия сотрудника (п. 8 ст. 10.1 Закона № 152-ФЗ).

3. Любые ПДн о физ. лице можно публиковать только при наличии его письменного согласия, даже если лицо самостоятельно их разместило в общедоступном месте (интернет или социальные сети). Раньше такие личные данные можно было распространять без получения согласия от их владельца (п. 2 ст. 10.1 Закона № 152-ФЗ).

В случае, если сотрудник не дал согласия на распространение ПДн, но при этом дал согласие на обработку, то работодатель не в праве передавать информацию третьим лицам (п. 4 ст. 10.1 Закона № 152-ФЗ).

Правило не распространяется на передачу ПДн гос. органам (ИФНС, ФСС, ПФР, полиции и другим).

Стоит отметить, что сотрудник и вовсе может отказаться от дачи согласия на обработку ПДн. Но это не значит, что работодатель не вправе обрабатывать такие данные. Это возможно в случаях, указанных в ч. 2 ст. 9 Закона № 152-ФЗ. Одним из которых является выполнение возложенных законом обязанностей на компанию.

Получить согласие на распространение ПДн можно двумя способами:

1. Непосредственно у физ. лица, то есть с личной подписью на бумаге;

2. Через информационную систему Роскомнадзора. Любое физ. лицо может подключиться к системе для того, чтобы указать какие ПДн и кому он разрешает распространять.

Оператор, в свою очередь, также имеет возможность подключиться к данной системе и не получать от конкретного физического лица письменное согласие, а использовать информацию, содержащуюся в системе Роскомнадзора. Это возможность станет доступной с 1 июля 2021 года.

Компаниям и ИП однозначно стоит уделить внимание новшествам, описанным выше, так как штрафные санкции увеличились вдвое.

Начиная с 27 марта 2021 г. за работу с ПДн сотрудников без их письменного согласия ИП ждет штраф от 20 000 до 40 000 руб., организации, при аналогичном нарушении должны будут уплатить от 30 000 до 150 000 руб.

Если же ИП нарушит законодательство повторно, то штраф будет составлять от 100 000 до 300 000 руб., а для компаний — от 300 000 до 500 000 руб. (ч. 2 ст. 13.11 КоАП). Наказание за такое правонарушение может последовать в течение года (ст. 4.5 КоАП РФ).

Подведем итог: правила обработки личных данных касаются абсолютно всех физических и юридических лиц.

В этой связи, работодателям целесообразно брать с сотрудников:

1. согласия на обработку персональных данных;

2. согласия на распространение персональных данных.

Документы составляются в соответствии с требованиями действующего законодательства.

Игнорирование правил обработки и распространения данных может привести к серьезным финансовым потерям.

Написать комментарий

      Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

      Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

      По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

      Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

      Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

      Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

      Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

      С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

      Имеется конкретный список обязательных данных владельца персональной информации, которые должны быть в согласии:

      • ФИО;
      • контактные данные (телефон, электронная почта, адрес);
      • информация об операторе-компании;
      • информация об операторе-физлице;
      • информация об операторе-ИП;
      • информация об информационных ресурсах оператора, через которые неограниченному числу лиц дается доступ к информации и осуществляются иные операции с персональной информацией;
      • цель обработки сведений;
      • категории и перечень сведений, на обработку которых оформляется согласие — персональные данные (ФИО, дата и место рождения, адрес, семейное положение и т.п.), специальные категории персональных сведений, биометрические данные;
      • срок действия согласия.

      Если владелец персональных данных захочет, то можно заполнить и такую информацию:

      • категории и перечень данных, для обработки которых владелец указывает условия и запреты, а также список этих условий и запретов;
      • условия, с учетом которых полученная информация может направляться оператором лишь по его локальной сети, обеспечивающей доступ к сведениям только для конкретных работников, либо с применением определенных телекоммуникационных сетей, либо без передачи персональной информации.

      Закон о персональных данных — что это такое?

      Да, если соблюдено одно из указанных условий.

      • На вашем сайте в открытом доступе размещаются ПД.
      • Вы собираете и структурируете ПД, размещенные в открытом доступе.
      • Вы публикуете ПД в печатной или иной форме, при которой ПД находятся в открытом доступе.

        Пример: социальные сети, сайты объявлений, форумы, печатные издания с объявлениями и т.д.

      Нет, если соблюдено одно из указанных условий.

      • На вашем сайте размещаются ПД, доступ к которым есть только у зарегистрированных пользователей, т.е. оператор может ограничить и определить круг лиц, имеющих доступ к ПД.

        Эта позиция была устно донесена Роскомнадзором в ходе ответов на вопросы на дне открытых дверей 28 января 2021 г. В отсутствие письменных разъяснений остается довериться данной позиции и надеяться на то, что Роскомнадзор не изменит ее.

        Пример: закрытая корпоративная социальная сеть или сайт-интегратор объявлений, на котором доступ к ПД продавцов можно получить только после регистрации на сайте.

      • Ваша компания распространяет или предоставляет ПД в определенных законом государственных, общественных или публичных интересах независимо от того, что распространение или предоставление ПД запрещено самим лицом2.

        Под государственными, общественными и публичными интересами в основном понимаются вопросы безопасности государства, граждан и т.д. Поэтому сложно придумать реальный случай, когда коммерческая организация могла бы прикрыться данным пунктом закона.

      • Вы являетесь государственным органом власти или органом местного самоуправления, распространяющим ПД в силу выполнения возложенных на вас полномочий3.

      Оператор может быть привлечен к административной ответственности. До 27 марта 2021 г. размер штрафа составит:

      • от 5 до 10 тыс. руб. – для индивидуального предпринимателя;
      • от 30 до 50 тыс. руб. – для компании24.

      С 27 марта 2021 г. размер штрафов увеличивается:

      • от 10 до 20 тыс. руб. – для индивидуального предпринимателя;
      • от 60 до 100 тыс. руб. – для компании.

      Полагаем, самый надежный и менее затратный способ соблюсти требования Закона о персональных данных для тех компаний, чьи сайты содержат ПД субъектов, – закрыть сайты для незарегистрированных пользователей. По крайней мере, до тех пор, пока не сформируется судебная практика и не появится точная позиция Роскомнадзора относительно применения положений Закона о распространении ПД.

      Сложнее обстоит дело с компаниями, которые собирают ПД из открытых источников. Такие компании, на наш взгляд, обязаны получать у субъектов:

      • согласие на обработку ПД, если компания хочет обрабатывать ПД без распространения;
      • согласие на распространение, если компания хочет распространять ПД субъекта.

      Компаниям, которые распространяют ПД не в интернете, также необходимо получать у субъекта согласие на распространение, даже в том случае, если распространение ПД необходимо для исполнения договора в интересах субъекта.


      1 Федеральный закон от 30 декабря 2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”».

      2 Часть 11 ст. 10.1 Закона о персональных данных (далее – Закон).

      3 Часть 15 ст. 10.1 Закона.

      4 Пункт 1 ч. 1 ст. 6 Закона.

      5 Пункт 5 ч. 1 ст. 6 Закона.

      6 Часть 3 ст. 20 Закона.

      7 Часть 5 ст. 21 Закона.

      8 Пункт 1.1 ч. 1 ст. 3 Закона.

      9 Часть 1 ст. 10.1 Закона.

      10 Часть 9 ст. 9 Закона.

      11 Часть 1 ст. 10.1 Закона.

      12 Часть 9 ст. 10.1 Закона.

      13 Часть 6 ст. 10.1 Закона.

      14 Часть 8 ст. 10.1 Закона.

      15 Часть 10 ст. 10.1 Закона.

      16 Часть 4 ст. 10.1 Закона.

      17 Часть 5 ст. 10.1 Закона.

      18 Часть 12 ст. 10.1 Закона.

      19 Часть 13 ст. 10.1 Закона.

      20 Часть 14 ст. 10.1 Закона.

      21 Часть 2 ст. 10.1 Закона.

      22 Пункт 10 ч. 1 ст. 6 Закона.

      23 Определение Верховного Суда РФ от 29 января 2018 г. № 305-КГ17-21291.

      24 Часть 1 ст. 13.11 КоАП РФ.

      Появляется новое основание, за несоблюдение которого могут оштрафовать (раньше за это не наказывали рублем). Невыполнение обязанности по соблюдению конфиденциальности ПДн влечет наложение штрафа:

      • на граждан — в размере от 10 до 20 тысяч рублей;
      • на должностных лиц — от 40 до 100 тысяч рублей;
      • на индивидуальных предпринимателей — от 100 до 300 тысяч рублей;
      • на юридических лиц — от 300 до 500 тысяч рублей.

      Организация, физическое или юрлицо, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия владельца ПДн, если это не предусмотрено федеральным законом.

      Любая передача ПДн (распространение, предоставление, доступ) является незаконной без согласия владельца ПДн и является нарушением конфиденциальности его ПДн.

      Если ПДн сотрудников были переданы без их письменного согласия, то во-первых, это противозаконно, а во-вторых, за подобные действия будут штрафовать.

      Вот типовые ситуации, которые будут подпадать под данную статью:

      1. Передача ПДн работников третьим лицам:

      • в банк для целей выплаты заработной платы и иных материальных выплат, а также перечисления подотчетных средств;
      • в охранное предприятие в целях взаимодействия и реагирования;
      • в медицинские организации в целях проведения медицинских осмотров;
      • в страховые компании по договорам добровольного медицинского страхования;
      • в образовательные организации в объеме превышающем требования закона об образовании;
      • в целях организации командировок и участия в выставках;
      • в других целях, напрямую не связанных с должностными обязанностями сотрудника.

      2. Передача ПДн клиентов, представителей клиентов, поставщиков, партнеров третьим лицам в целях:

      • организации мероприятий, маркетинговых акций, рекламы;
      • размещения отзывов, рекламных акций на сайте компании и других общедоступных источниках;
      • сбор персональных данных через онлайн-каналы (мессенджеры, социальные сети, формы обратной связи на сайте, онлайн-консультанты) без применения средств защиты, обеспечивающих их конфиденциальность при передаче через интернет.

      3. Получение ПДн без подтверждения наличия согласия от человека или иных законных оснований у передающей стороны.

      4. Предоставление доступа к ПДН внутри организации сотрудникам без должного документального оформления (должностные обязанности и/или локальные нормативные акты).

      Ответственность за не обезличивание персональных данных теперь несут не только государственные и муниципальные органы власти, но и все операторы.

      По второму изменению в новом КоАП дело касается обезличивания ПДн. Проще говоря, если персональным данным (паспортным, медицинским, контактным данным и т.п) будет присвоен идентификационный номер, то это обезличивает персональные данные, т.к. по одному номеру нельзя определить человека.

      В новом КоАП предполагается распространить ответственность за не обезличивание персональных данных с государственных и муниципальных органов власти на всех операторов. Все операторы будут обязаны обезличивать ПДн, которые обрабатывают.

      Невыполнение подобных требований влечет предупреждение или наложение административного штрафа для всех операторов ПДн в размере от 3 до 6 тысяч рублей. Штрафы небольшие, но можно предположить, что это только начало.

      Новый КоАП еще не принят, но вектор внимания уже определен. Для того чтобы нововведения не стали для вас сюрпризом, необходимо в 2021 году провести оценку соответствия процессов обработки и защиты персональных данных требованиям законодательства.

      Проводить ее необходимо не реже, чем раз в три года. Это установлено законом.

      • Изучить все источники поступления ПДн в организацию, цели поступления и состав данных. К примеру, нужно понимать, что источники ПДн клиентов и сотрудников разные, и состав ПДн тоже разный.
      • Проанализировать, где и как организация получает ПДн — наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность получения персональных данных, их состав и цели обработки. Получение всех ПДн, которые попадают в организацию, без исключения должны подтверждаться подобными документами: корректно составленное соглашение по обработке ПДн на сайте, с которого компания получает ПДн клиентов, Соглашение по обработке ПДн с сотрудниками.
      • Изучить, какие и чьи ПДн в организации обрабатываются (в разрезе категорий физических лиц). Ориентируясь на ПДн клиентов и сотрудников, видно, что процесс их обработки и хранения разный. Доступ к ПДн сотрудников имеют отдел кадров, бухгалтерия, а к клиентским данным — та же бухгалтерия и коммерческий отдел.
      • Проверить наличие утвержденных локальных нормативных актов, определяющих порядок доступа сотрудников к персональным данным. Документы, в которых прописано, кто и за что отвечает.
      • Проанализировать соответствие процесса обработки локальным нормативным актам. Зачастую на практике бывает несоответствие.
      • Изучить ваших получателей персональных данных: кому, для каких целей и в каком составе передаются персональные данные. Опять же, практика показывает, что в некоторых организациях к ПДн допускаются сотрудники, не имеющие к ним отношения.
      • Проанализировать, на каких условиях передаются ПДн третьим лицам — обязательно наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность передачи персональных данных. Если зачисление зарплаты сотрудникам компании происходит через зарплатный проект банка, то компания обязана с каждым сотрудником, участвующем в зарплатном проекте, подписать соглашение о передаче его ПДн в этот банк.
      • Определить, какие персональные данные стоит обезличивать. К примеру, это данные, чей срок хранения официально вышел, но при этом характеристики клиента имеют ценность без необходимости идентификации физического лица.
      • Определить, какие согласия уже не имеют силы и которые надо скорректировать. Отсутствие отлаженной системы работы с ПДн в прошлом означает, что, возможно, часть документов уже не актуальна.
      • Изучить, как защищаются персональные данные в компании и от кого они реально защищены — только от внешних злоумышленников или от внутренних тоже? Очень часто данные клиентов утекают вместе с увольняющимися сотрудниками коммерческих отделов.
      • Составить годовой план и реализовать его. Необходимо разработать поэтапный план по реализации этих пунктов с учетом объема работы и времени на их выполнения.

      Утечка ПДн может обернуться для компании не только финансовыми убытками, но и потерей репутации на рынке и разрывом отношений с партнерами. Поэтому важно изучить законодательство и вовремя принять меры. И здесь есть два пути:

      • делать все самостоятельно (силами организации);
      • доверить выполнение требований закона компаниям, которые могут провести независимый аудит по обработке ПДн и решить выявленные проблемы.

      Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

      • Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку персональных данных.
      • Согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
      • В согласии на обработку персональных данных, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

      Законодательство обязывает прекратить передачу персональных данных, разрешенных для распространения, в любое время по требованию субъекта.

      Для этого нужно направить требование, в котором нужно четко указать перечень персональных данных, обработку которых нужно прекратить.

      Указанные персональные данные могут обрабатываться только оператором, которому оно направлено.

      В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физическому лицу, то к персональным данным относятся:

      • ФИО;
      • дата рождения;
      • адрес;
      • телефон;
      • электронный адрес;
      • фотография;
      • ссылка на персональный сайт;
      • ссылка на профиль в социальных сетях.

      Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и пр.

      Вступил в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

      Нововведения:

      • За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалось предупреждение.
      • Ранее повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь выделяется и штрафы по нему в несколько раз выше, чем за первичное нарушение.
        Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 до 100 тысяч рублей, за повторное — от 100 до 300 тысяч рублей.
      • Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то теперь увеличен до одного года.
      Основание Размер штрафа
      Обработка персональных данных в случаях, не предусмотренных законодательством и несовместимая с целями сбора персональных данных.
      • Для физлиц: предупреждение или штраф от 2 000 до 6 000 руб.
      • Для должностных лиц: предупреждение или штраф от 10 000 до 20 000 руб.
      • Для юрлиц: предупреждение или штраф от 60 000 до 100 000 руб.

      При повторном нарушении

      • Для физлиц: от 4 000 до 12 000 руб.;
      • Для должностных лиц: от 20 000 до 50 000 руб.;
      • Для ИП: от 50 000 до 100 000 руб.;
      • Для юрлиц: от 100 000 до 300 000 руб.
      Обработка персональных данных без письменного согласия субъекта.
      • Для физлиц: от 6 000 до 10 000 руб.
      • Для должностных лиц: от 20 000 до 40 000 руб.
      • Для юрлиц: от 30 000 до 150 000 руб.

      Уведомлять Роскомнадзор не нужно, если персональные данные:

      • относятся к субъектам, которых связывают с оператором трудовые отношения;
      • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
      • являются общедоступными;
      • включают только ФИО субъектов персональных данных;
      • нужны для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
      • включены в федеральные автоматизированные информационные системы персональных данных, государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
      • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

      Все вышеперечисленные меры имеют отношение как к физическим, так и к юридическим лицам. Однако юридическим лицам следует предпринять ряд дополнительных мероприятий.

      Специфика согласия на обработку персданных, разрешенных к распространению, заключается в том, что оно подтверждает наличие разрешения от субъекта персданных на раскрытие его личной информации неопределенному кругу лиц. Начиная с 1 марта 2021 года такое согласие должно отбираться отдельно от иных согласий субъекта персданных.

      Приказом Роскомнадзора, вступающем в силу с 1 сентября 2021 года, определены основные положения, которые должны быть отражены в данном документе, в том числе:

      • цели обработки персданных
      • срок действия согласия
      • категории и перечень персданных
      • сведения об информационных ресурсах оператора, на которых персданные будут предоставляться неопределенному кругу лиц

      Также в документе субъект персданных может установить запреты или конкретные условия обработки части информации, в частности, запрет на какую-либо обработку персданных неограниченным кругом лиц (кроме непосредственного доступа к ним).

      Срок действия требований является ограниченным – до 1 сентября 2027 года.

      Также с 1 июля 2021 года будет доступна возможность получать такое согласие через специальную информационную систему Роскомнадзора.

      В новой статье 10.1 Закона о персданных, действующей с начала марта, были установлены основные принципы обработки разрешенных к распространению персданных.

      Так, в силу серьезности возможных последствий обнародования личных данных закон устанавливает, что молчание или бездействие субъекта персданных ни при каких обстоятельствах не может свидетельствовать о согласии на распространение.

      Если личные данные оказались в публичном доступе по желанию самого субъекта или в результате противоправных действий, форс-мажора, то лица, осуществляющие их обработку, должны доказать ее законность.

      В случае, если нарушаются законные требования к обработке разрешенных к распространению персданных, то субъект может обратиться с требованием о прекращении такой обработки к любому лицу, обрабатывающему такие данные, или непосредственно в суд.

      С 27 марта 2021 года в Кодекс об административных правонарушениях были внесены изменения, касающиеся правонарушений в области обработки персональных данных.

      Теперь за любые правонарушения, установленные статьей 13.11 КоАП, больше не может быть назначено предупреждение, нарушителю сразу грозит штраф. За повторное совершение ряда правонарушений предусмотрена повышенная ответственность, при этом срок давности привлечения к административной ответственности в данной области был увеличен до одного года.

      Соблюдайте закон и удачи в бизнесе!

      Пробегусь по пунктам новой статьи 10.1 Закона «О персональных данных». Это она определяет особенности публикации персональных данных. Подумайте заранее, как реализовать в вашей деятельности эти новшества.

      Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

      Это может выглядеть так: согласен на публикацию ФИО, не согласен на публикацию даты рождения. Посмотрим, что скажет РКН. Совершенно точно придется поломать голову над формулировками.

      В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

      Например, один сайт написал про чиновника, второй сделал рерайт новости, третий — просто ее перепостил. Чиновник обиделся и написал жалобу в РКН.

      В этом примере доказывать, что есть общественный интерес к персональным данным чиновника будут все три сайта. Вряд ли у них будет согласие на распространение ПД чиновника. А других законных оснований нет.

      В случае если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

      Например, произошел слив базы данных банка в сеть. Кто-то их скопировал и опубликовал. Значит, он будет доказывать законность распространения этой информации. Не знаю, получится ли у него это.

      В случае если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных. Такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

      Речь идет о том, что если вы намудрите в своей форме согласия, то обрабатывать персональные данные можно, но только без распространения.

      Внесены изменения в закон о персональных данных

      Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

      • непосредственно;
      • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

      С первым случаем все понятно, со вторым пока непонятно. Потому что Роскомнадзор еще не придумал такую систему. Когда придумает и запустит — непонятно. Если к 1 марта 2021 года не придумает, то единственным способом остается прямая передача согласия субъектом оператору. Это понятно, кэп? )

      Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

      Роскомнадзор все придумает, напишет и нам расскажет. Когда — непонятно.

      Действующий Федеральный закон № 152-ФЗ от 27.07.2006 не предусматривает процедуры отзыва согласия на обработку персональных данных. После вступления в силу поправок появится возможность прекратить передачу разрешенных для распространения персональных данных в любое время по требованию их владельца. Для этого субъект персданных направит оператору заявление об отзыве согласия на обработку. Оно будет включать такую обязательную информацию:

      • Ф.И.О. субъекта персданных (отчество — при наличии);
      • номер телефона и электронную почту субъекта;
      • почтовый адрес;
      • персональные данные, обработку которых необходимо прекратить.

      Форму и формат документа Роскомнадзор утвердит дополнительно до вступления поправок в силу. Прекратить обработку своих персональных данных человек теперь вправе потребовать от любого лица, которое их обрабатывает, даже при отсутствии ранее данного письменного согласия.

      В случае несоблюдения новых правил субъект сможет потребовать прекратить передачу персданных принудительно и привлечь оператора к ответственности или обратиться в суд для изъятия своих данных из обработки.

      С 01.03.2021 наступает особая ответственность в случае, если персональные данные оказались раскрытыми неопределенному кругу лиц из-за того, что оператор допустил:

      • правонарушение;
      • преступление;
      • действие обстоятельств непреодолимой силы.

      В этом случае оператор обязан предоставить доказательства законности последующего распространения или иной обработки персональных данных. Аналогичная обязанность лежит на каждом лице, осуществившем распространение или иную обработку этих данных граждан.

        Согласие на обработку персональных данных станет многоцелевым

        Помимо новой статьи закона, вводятся изменения в уже существующие и связанные с общедоступными источниками информации. В частности претерпела изменение статья 18. Если раньше Оператор освобождался от обязанности предоставлять субъекту персональных данных сведения, полученные из общедоступных источников информации, то теперь закон ссылается на все вышеописанные требования новой статьи.

        Ровно тоже произошло и со статьей 22 152-го Федерального закона. В которой говорится об уведомлении Роскомнадзора. В старой версии закона говорится о том, что Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку ПД, полученных из общедоступных источников информации. В новой же версии Оператор должен учитывать все условия и запреты отраженные в вводимой статье.

        На самом деле последние два описанных изменения, на мой взгляд, не накладывают каких –то дополнительных условий на оператора. Т.к. в большинстве случаев оператор и так должен был предоставить обрабатываемые данные субъекта по его запросу и уведомить РКН о своей деятельности как оператора.

        Закон уже подписан, но требования вступают в силу с 1 марта 2021г. Поэтому рекомендую заранее подготовиться и разработать шаблон согласия на распространение, которое Вы будете использовать.

          Появилось новое понятие, пришедшее на смену «Общедоступные источники персональных данных», при этом сами общедоступные источники никуда не делись. Оператору нужно оформлять отдельным документом согласие на распространение персональных данных субъекта. Субъект ПД может устанавливать запреты на распространение своих персональных данных или их части. Должна появиться информационная система, оператором которой будет РКН. В этой ИС можно будет получить согласие на распространение персональных данных своих субъектов.

          Пробегусь по пунктам новой статьи 10.1 Закона «О персональных данных». Это она определяет особенности публикации персональных данных. Подумайте заранее, как реализовать в вашей деятельности эти новшества.

          Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

          Это может выглядеть так: согласен на публикацию ФИО, не согласен на публикацию даты рождения. Посмотрим, что скажет РКН. Совершенно точно придется поломать голову над формулировками.

          В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

          Например, один сайт написал про чиновника, второй сделал рерайт новости, третий — просто ее перепостил. Чиновник обиделся и написал жалобу в РКН.

          В этом примере доказывать, что есть общественный интерес персональным данным чиновника будут все три сайта. Вряд ли у них будет согласие на распространение ПД чиновника. А других законных оснований нет.


          Похожие записи:

          Добавить комментарий

          Ваш адрес email не будет опубликован. Обязательные поля помечены *