Защита персональных данных
Новые правила работы с персональными данными.
Дата публикации 24.03.2021
Документ
Федеральный закон от 30.12.2020 № 519-ФЗ
Комментарий
1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Введено новое понятие «персональные данные, разрешенные для распространения». Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – «общедоступные персональные данные». Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.
Рассмотрим новые правила работы с персданными подробнее.
Для распространения данных нужно получить новое согласие
Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.
Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).
Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).
Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):
- например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
- через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).
Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).
Содержание согласия на распространение персональных данных
Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.
Из текста проекта следует, что новое согласие на распространение персданных должно содержать:
- Ф. И. О. субъекта персональных данных;
- контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
- наименование или Ф. И. О. и адрес оператора, получающего согласие;
- цель обработки персональных данных;
- категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
- условия разрешения и запрета обработки персональных данных;
- срок, в течение которого действует согласие;
- сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).
Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать. Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.
Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.
Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).
Нельзя распространять общедоступные персональные данные без согласия
Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.
Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных
Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).
Субъект может отозвать согласие на распространение персональных данных
Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п. 12 ст. 10.1 Закона № 152-ФЗ):
- Ф. И. О.;
- контакты (номер телефона, адрес электронной почты или почтовый адрес);
- перечень персональных данных, обработка которых должна быть прекращена.
Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст. 10.1 Закона № 152-ФЗ).
Работодателям придется соблюдать новые правила в полном объеме
Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется. Подробнее об этом читайте здесь.
Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:
- когда договор заключается непосредственно между банком и работником;
- когда у работодателя есть доверенность на представление интересов работника в банке;
- когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.
Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?
В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил. Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных. Подробнее об этом читайте здесь.
Приняты поправки в 152-ФЗ в части распространения ПДн неограниченному кругу лиц. 30.12.2020 г. Президентом подписан № 519-ФЗ «О внесении изменений в Федеральный закон 152-ФЗ», который вступит в силу с 1.03.2021 года (кроме абз.10 п.5 ст.1). Полностью действие нового закона о персональных данных начнется 1.07.2021 года.
Требования к защите персональных данных становятся все жестче — скоро в два раза увеличат штрафы. Невозможно пройти проверку РКН, если нет знаний о том, что такое персональные данные и как их правильно обрабатывать. Пройдите наш специальный дистанционный курс и проходите проверки без ошибок. |
Санкции в сфере защиты персональных данных ужесточаются. Новый закон о конфиденциальности личных данных строго охраняет неприкосновенность информации о субъекте ПД.
Подумайте об этом, когда будете выкладывать фотографии мероприятий компании в Инстаграм, ВК, Одноклассники, другие соцсети и на корпоративные сайты. Давайте подробнее рассмотрим в чем эти изменения.Содержание
- Общедоступные данные или разрешенные для распространения?
- Как обрабатывать ПД, разрешенные субъектом для распространения
- И снова о штрафах за персональные данные
Общедоступные данные или разрешенные для распространения?
Из обращения убирается понятие «общедоступные персональные данные» — п.10 признан утратившим силу. Окончательно утверждена норма — любую личную информацию о субъекте можно размещать только с его прямого согласия.
Важно! Новое положение закона — персональные данные, к которым возможен доступ любых лиц — это ПД, разрешенные их владельцем для распространения. |
Внесены изменения в закон о персональных данных в части особенности обработки личных сведений, разрешенных владельцем для распространения. Пункт 1.1 статьи 3 №152-ФЗ теперь звучит так:
ПД, разрешенные субъектом для распространения, — это те ПД, к которым самим субъектом ПД предоставлен доступ неограниченного круга лиц. Доступ предоставляется путем дачи согласия на обработку ПД, которые разрешены субъектом для распространения в порядке, предусмотренном настоящим ФЗ. |
Этот пункт закона о данных в интернете означает, что размещать где-либо сведения о человеке без его согласия нельзя — ни на корпоративном сайте, ни на своей страничке в Одноклассниках или другой соцсети — нигде.
Каким должно быть согласие субъекта на разрешение распространять свои ПД? Об этом нам говорит новая часть № 9, введенная в 9 статью №152-ФЗ — требования к содержанию согласия устанавливаются уполномоченным органом по защите прав субъектов ПД.
Соответствующий проект приказа, на основании поправок в закон о персональных данных, регламентирующий, какую информацию должно содержать согласие, уже разработан Роскомнадзором.
Важно! Изменения в защите персональных данных не коснулись требования пункта 1 ст. 9 — формы согласия. Она может быть любой, позволяющей подтвердить его получение. То есть обязательной письменной формы нет (только в случаях, предусмотренных законами). |
Как обрабатывать ПД, разрешенные субъектом для распространения
Этому посвящена новая статья закона №152-ФЗ — ст.10.1 о распространении персональных данных в интернете.
Важно! Согласие на обработку ПД, которые разрешены субъектом для распространения оформляется отдельно. |
- 1. Оператор должен предоставить возможность субъекту ПДн определить список тех ПД, которые он разрешает распространять по каждой категории ПД.
- 2. Если сам субъект раскроет свои личные данные, но не предоставит согласие, обязанность доказать правомерность их распространения лежит на всех лицах, которые распространили эти сведения.
Пример Это может коснуться публикаций — если в одном источнике опубликована информация, содержащая ПД, то доказать правомерность ее использования должны будут все издания, перепечатавшие эти сведения. Таким образом, все источники информации обязаны спрашивать у героев своих публикаций, какие данные о них можно публиковать и передавать третьим лицам. |
- 3. Примерно то же, что и предыдущий пункт ( №2), но источник ПД — нарушения, преступления или обстоятельства непреодолимой силы.
- 4-5. Эти пункты говорят о корректности формулировок. В согласии должно быть четко сформулировано, на что конкретно согласен субъект. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий ПД и их перечня — такие сведения можно только обрабатывать без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
Совет В согласии должно быть абсолютно понятно, что можно делать с ПД, а что нельзя. Если что-то вызывает сомнения — лучше ничего не публиковать. |
- 6. Очень интересный пункт, определяющий, каким образом получать это согласие от субъекта. Их два:
- непосредственно от субъекта;
- с использованием инфосистемы РКН (новые требования Роскомнадзора должны разработать к лету 2021, так как этот пункт вступит в силу 1.07.2021 г).
Важно! Таким образом, с марта и до июля мы имеем единственный способ получения ПД, разрешенных для распространения — непосредственно от субъекта. |
- 7. Пункт 7 также, скорее всего, будет известен к лету.
- 8. Повторяем сказанное — согласие должно быть абсолютно понятным и однозначным. Пункт 8 регламентирует, что молчание или бездействие субъекта не может быть расценено как согласие.
- 9. Этот пункт регламентирует право субъекта устанавливать запрет на условия обработки или передачу своих ПДн. Ограничивать его в этом праве оператор не может.
- 10. Оператор обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом в течении 3 дней после получения согласия.
Совет Пока неизвестно, где публиковать эту информацию. Подождем комментарии Роскомнадзора. |
- 11. Нельзя запретить публикацию ПДн, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
- 12-13. Субъект ПД может в любой момент потребовать запретить распространение своих ПД. В статье перечислены сведения о субъекте ПД, которые должны содержаться в соответствующем требовании.Действие согласия прекращается с получением оператором такого требования.
- 14. Обратиться с запретом на распространение своих персональных данных субъект может к любому лицу, обрабатывающему его ПД при несоблюдении установок ст. 10.1 или обратиться в суд. Распространение ПД должно прекратиться в течение:
- 3 рабочих дней с момента обращения;
- в срок, указанный в постановлении суда;
- 3 рабочих дней с момента вступления решения суда в законную силу.
- 15. Требования ст.10.1 не распространяются на случаи обработки ПД органами власти.
Закон вступает в силу 1 марта 2021 г., за исключением нормы о предоставлении оператору согласия на обработку ПДн, разрешенных для распространения, через информсистему уполномоченного органа. Данное положение применяется с 1 июля 2021 г.
И снова о штрафах за персональные данные
Госдума ужесточает штрафы за незаконную обработку персональных данных, увеличивая их размер в два раза. Поправки вносят в ст. 13.11 КОаП «Нарушение законодательства РФ в области персональных данных» — законопроект № 1061159-7.
Обработка ПД в случаях, не предусмотренных законодательством, повлечет за собой следующие штрафы:
- 2000— 6 000 рублей для граждан;
- 10 000 — 20 000 для должностных лиц;
- 60 тыс. — 100 тыс. для юрлиц.
Также вводится норма об ужесточении наказания, если нарушение повторится:
- 4 000 — 12 000 рублей для граждан;
- 20 000 — 50 000 для должностных лиц;
- 50 тыс. —100 тыс. для предпринимателей;
- 100 тыс. — 300 тыс. для юрлиц.
Скачать № 519-ФЗ «О внесении изменений в Федеральный закон 152-ФЗ»