23 декабря 2020 г. Госдума приняла законопроект о внесении изменений в Закон «О персональных данных» — два чтения законопроект прошел за два дня.
А 30 декабря 2020 г. Федеральный закон № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» уже был подписан Президентом.
Изменения вступили в силу в два этапа: основная часть с 1 марта 2021, вторая — с 1 июля 2021 г.
Сразу предупрежу: не спешите переподписывать согласия и перезаключать договоры. Прежде проконсультируйтесь со своим юристом. Ниже изложена моя точка зрения на изменения и она не претендует на истину. Будем ожидать разъяснений Роскомнадзора.
Оперативные обновления узнавайте в моем Телеграм-канале.
Персональные данные в 2021
Что нового
Важный момент — понятия общедоступных персональных данных больше не будет. Не путайте с общедоступными источниками персональных данных.
- Из части 1 статьи 6 исключается пункт 10 — важное условие обработки персональных данных без согласия:
- «10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных);»
- Этот принцип так или иначе охватывал возможность публикации персональных данных пользователей соцсетей. Да, была и иная точка зрения, но сейчас в этих спорах поставлен восклицательный знак:
любые данные о человеке можно публиковать только с его прямого согласия!
Исключения сделаны только для случаев, где есть государственный, общественный и публичный интерес. Уважаемые журналисты, аккуратно выдыхайте ????
Персональные данные, разрешенные для распространения — это персональные данные, к которым возможен доступ любых лиц. Теперь это так называется.
Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом
новый пункт 1.1 статьи 3 ФЗ «О персональных данных». Можно придумать новую аббревиатуру, например ПДРР ))
Это означает, что пока человек не даст согласия, публиковать его данные нельзя. Нельзя даже на корпоративных сайтах в разделах, аналогичным «О команде», «Наши сотрудники».
Требования к содержанию для специального согласия на обработку персональных данных, будет определять Роскомнадзор.
Приказ Роскомнадзора о требованиях с содержанию согласия.
Плохо, что новое согласие оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Хорошо, что новое согласие не обязательно должно быть письменным. Допускается любая форма, позволяющая подтвердить факт его получения.
Придется получать новые согласия на публикацию персональных данных
Как распространять персональные данные
Пробегусь по пунктам новой статьи 10.1 Закона «О персональных данных». Это она определяет особенности публикации персональных данных. Подумайте заранее, как реализовать в вашей деятельности эти новшества.
1. Возможность выбора
Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Это может выглядеть так: согласен на публикацию ФИО, не согласен на публикацию даты рождения. Посмотрим, что скажет РКН. Совершенно точно придется поломать голову над формулировками.
2. Последовательные доказательства
В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
Например, один сайт написал про чиновника, второй сделал рерайт новости, третий — просто ее перепостил. Чиновник обиделся и написал жалобу в РКН.
В этом примере доказывать, что есть общественный интерес персональным данным чиновника будут все три сайта. Вряд ли у них будет согласие на распространение ПД чиновника. А других законных оснований нет.
3. Случайно все произошло
В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
Например, произошел слив базы данных банка в сеть. Кто-то их скопировал и опубликовал. Значит он будет доказывать законность распространения этой информации. Не знаю, получится ли у него это.
4. Четкость формулировок
В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.
Речь идет о том, что если вы намудрите в своей форме согласия, то обрабатывать персональные данные можно, но только без распространения.
5. Если не следует, то не следует
В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
Тот же пример: намудрили непонятного в форме согласия — публиковать нельзя.
6. Как вручить согласие
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
7. Как будет работать ИС Роскомнадзора
Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.
25 марта 2021 опубликован приказ Роскомнадзора о функционировании информационной системы.
8. Молчание не является согласием
Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Многозначительно промолчать в ответ на вопрос: «даете свое согласие на публикацию ваших данных на нашем сайте?» — означает нет.
9. Отказать запрещать нельзя
В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.
Например, человек может разрешить опубликовать свои ФИО и возраст в отзывы на товар. Но тут же запретить передавать кому-нибудь еще. Например, вашему рекламному агентству. И ограничить человека в этом праве нельзя.
10. Уведомления об ограничениях
Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.
Этот пункт вступил в силу с 01 июля 2021 года, чуть позже напишу, как его можно реализовать на практике.
11. Общественный или публичный интерес
Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
Человеку нельзя запретить публиковать персональные данные в перечисленных случаях. Но наличие нужного интереса должен доказывать оператор, опубликовавший информацию. Четких критериев значимости интересов законодательство не определяет, поэтому нужно каждый случай рассматривать индивидуально.
12. Запретить можно в любой момент
Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.
Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.
Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
Субъект потребовал удалить информацию, оператор обязан исполнить. Если только нет других случаев обработки персональных данных без согласия субъекта. Например, общественный интерес из пункта 11.
13.Запрет с момента получения требования
Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.
Ранее выданное согласие превращается в тыкву в момент получения оператором отзыва согласия.
14. Требования нужно выполнить быстро
Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.
Помните пример про три сайта и чиновника? Так вот чиновник может потребовать удалить информацию как с одного, так и со всех трех. Где увидит статью о себе, туда и напишет. А может пойти сразу в суд. Соответственно, каждый сайт должен прекратить публикацию данных чиновника в течение трех дней.
15. … но не всем
Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.
Кратко — им можно. Точка.
Выводы
Важно! Статья 15.5 Закона «Об информации..» позволяет Роскомнадзору по решению суда блокировать сайты, которые допускают нарушения законодательства в области персональных данных. А пункт 14 статьи 10.1 Закона «О персональных данных» позволяет оспаривать отказ в удалении персональных данных в суде.
Что делать со старыми согласиями, полученными до 1 марта 2021?
Они превращаются в тыкву. Для распространения нужно получать отдельное согласие. Но согласие остается возможным для остальных целей.
Когда получать новое согласие?
С 1 сентября 2021 г.
Мы следим за изменениями Подпишитесь на Телеграм-канал!
Персональные данные для digital-маркетинга: полный гайд и шаблоны документов
Правильно разработанная юридическая документация поможет свести к минимуму риск, что компанию обвинят в нарушении законодательства о персональных данных. Список необходимых документов включает:
- Политику конфиденциальности.
- Правила работы с персональными данными.
- Согласие на обработку персональных данных.
- Обязательство о неразглашении персональных данных.
В разделе мы расскажем об этих документах подробнее.
Политика конфиденциальности и правила работы с персональными данными. В документах многих компаний содержится одна и та же ошибка: правила работы с персональными данными они называют политикой конфиденциальности. Однако это разные документы.
Правила работы с персональными данными должны содержать то, что рекомендует Роскомнадзор и требует 152-ФЗ. Политика конфиденциальности шире: документ описывает работу со всей конфиденциальной информацией, в том числе с персональными данными. В политику добавляют то, что нужно защитить дополнительно. Например, это договоры, переписка с клиентами и партнёрами, внутренняя документация.
Два документа можно объединить в один, это не противоречит законодательству. Когда пользователи регистрируются на сайте, их нужно познакомить с политикой конфиденциальности и правилами работы с персональными данными до процедуры регистрации.
Политику конфиденциальности публикуют в открытом доступе, обычно в подвале (внизу) сайта. Скриншот: сайт Skillbox
Согласие на обработку персональных данных. Форма, которую должен заполнять субъект персональных данных. В ней обязательно должны быть сведения об информационных ресурсах оператора.
Это адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы.
Нужно указать адреса всех сайтов, которые будут обрабатывать сведения о пользователях.
Согласие должно быть написано чёткими и ясными фразами, чтобы пользователь понял, кому и в каких случаях вы можете передавать его данные.
Ошибкой будет написать что-то вроде «Пользователь ознакомлен и согласен с тем, что передача его персональных данных может осуществляться маркетплейсом в объёме, необходимом для получения Пользователем доступа к Платформе, любым третьим лицам, в том числе осуществляющим техническое обслуживание сайта и поддержку Пользователя».
Если собираете данные только в интернете, достаточно прописать в политике конфиденциальности случаи, в которых пользователь выражает согласие на обработку. Например, если он заполняет чекбокс.
Шаблон Согласия на обработку персональных данных
Пример, как можно прописать согласие на обработку в политике конфиденциальности. Скриншот: сайт Skillbox
Обязательство о неразглашении персональных данных. Документ обязывает работников не разглашать персональные данные, полученные компанией. Его должны подписывать все сотрудники, у которых есть доступ к сведениям о клиентах.
Шаблон Обязательства о неразглашении персональных данных
Приказ о назначении ответственного за работу с персональными данными. Внутренний документ. Его не нужно нигде публиковать, но Роскомнадзор может попросить его при проверке. Как правило, ответственным назначают IT-специалиста или сотрудника службы безопасности.
Важно! Если на сайте можно зарегистрироваться, нужно знакомить пользователей с политикой конфиденциальности и получать согласие на обработку персональных данных перед тем, как он отправит анкетные сведения.
Новый законопроект о персональных данных: как изменилась работа рекрутеров
В эпоху цифровизации персональные данные (ПД) называют информационным товаром и «нефтью XXI века». В 2021 году серьезно изменился порядок обращения с ПД. Законопроект о распространении персданных привел к масштабным изменениям — часть из них вступила в силу в марте, а с 1 сентября 2021 года вводятся новые требования к получению согласия на распространение ПД.
Разбираемся вместе с экспертами в нюансах новых требований закона применительно к рекрутменту. Вопросов много. Как теперь HR-менеджерам работать с личной информацией кандидатов? Какие новшества нужно строго соблюдать и за что компаниям грозят многомиллионные штрафы?
Сперва разберемся, что относится к персональным данным с точки зрения кандидата и работодателя.
Персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных — кандидату). С точки зрения рекрутмента — это почти все сведения, которые собирают о соискателе, субъекте ПД: Ф. И. О., опыт работы, доходы, образование и пр.
Оператор — потенциальный работодатель. Обработчик — тот, кто обрабатывает персональные данные по поручению оператора. Обработчиками в рекрутменте выступают те, кого работодатель нанял для поиска новых сотрудников (кадровые агентства, job-сайты, ATS- и CRM-системы). Кстати, если вы сохраняете резюме на свой компьютер, значит, уже занимаетесь обработкой персональных данных.
ВАЖНО:
У потенциального работодателя как оператора персональных данных должны быть основания для их обработки, самое подходящее — это согласие кандидата. Обработчик не отвечает за сбор согласия, ответственность за это несет работодатель как оператор, даже если компания собирает ПД не напрямую, а через job-сайты.
За последний год на рассмотрение парламентариев было внесено несколько громких законопроектов, связанных с ПД, часть инициатив утвердили. Один из самых обсуждаемых документов, который уже вступил в силу, вносит изменения в порядок обращения с персональными данными граждан.
Итак, главное новшество касается регулирования распространения ПД. С 1 марта 2021 г. вступили в силу изменения в Федеральный закон от 27.07.
2006 №152-ФЗ «О персональных данных», а с 1 сентября 2021 года начинает действовать Приказ Роскомнадзора, в котором прописаны основные требования к форме согласия на обработку ПД.
Главные новшества в законодательстве о персональных данных — 2021
(статья 10.1 Федерального закона «О персональных данных»).
- Понятие «персональные данные, сделанные общедоступными субъектом персональных данных» заменили на другую формулировку — «персональные данные, разрешенные субъектом персональных данных для распространения».
- Распространение — действия, направленные на раскрытие персональных данных неопределенному кругу лиц; теперь вид обработки, требующий получения отдельного согласия у кандидата.
- Оператор перед обработкой данных, полученных из разных источников (социальные сети, сайты по поиску работы), должен проверять наличие согласия или другого основания для обработки таких сведений. Для этого стоит уточнять у владельцев job-сайтов, есть ли согласие на распространение ПД и для каких целей оно получено у соискателя.
- Оператор должен доказать законность сбора и последующего использования персданных кандидатов из открытых источников.
«Теперь работодатель как оператор должен проверять наличие согласия от кандидата не только на обработку, но и на распространение личной информации о нем, если собирает данные из открытых источников.
Галочки под пользовательским соглашением недостаточно — должен быть отдельный документ, электронная форма на сайте. Эти новеллы всколыхнули и бизнес-сообщество, и юристов.
1 сентября замкнется круг законодательных изменений — приказ Роскомнадзора, вступающий в силу в первый день осени, четко определил, как согласие на распространение персданных должно выглядеть.
Важный нюанс — в документе должны быть поля, где человек может записать, какие ПД он не разрешает распространять или разрешает с определенными условиями. Теперь рекрутеру нужно отслеживать содержание такого согласия», — объясняет Екатерина Метелкина, Юрист hh.ru, Эксперт по персональных данным.
Работодатель обязан проверять наличие согласия от кандидата не только на обработку, но и на распространение персональных данных, если собирает данные из открытых источников. Галочки под пользовательским соглашением недостаточно: должен быть отдельный документ — согласие.
9 обязательных пунктов в согласии на обработку персональных данных с 1.09.2021
Изменения в законодательстве о персональных данных вступили в силу
Изменились правила обработки персональных данных. Теперь распространение информации о себе среди неограниченного круга прочих лиц потребует заключения отдельного соглашения, а за незаконное распространение данных увеличены штрафы.
Какие изменения в законодательстве произошли
С 1 марта 2021 года вступил в силу закон № 519-ФЗ от 30.12.2020, который добавил в закон о персональных данных новую статью 10.1. В статье уточняются правила обработки и распространения информации о гражданах, включая их контактные данные.
Разрешать или отзывать согласие о распространении информации о себе будут сами граждане. Согласие и его отзыв могут быть направлены непосредственно оператору персональных данных или через специальную информационную систему, которую будет курировать Роскомнадзор.
Пункт об использовании информационной системы вступит в силу 1 июля 2021 года. С этой даты пользователь сможет самостоятельно выбирать способ предоставления согласия о распространении персональных данных. Отдельно оговаривается, что само использование системы не обязательно и не требуется для регистрации в соцсетях и мессенджерах.
Зачем нужна информационная система Роскомнадзора
Если для предоставления согласия Гражданин выберет систему ведомства, то это позволит ему контролировать, кому, когда и где предоставлялось согласие на распространение персональных данных в интернете, а также даст возможность отзывать его.
Использование информационной системы даст возможность обезопасить интернет-пользователей от бесконтрольного сбора и использования их персональных данных.
Первоначальный вариант правил использования системы предусматривал, что гражданину для регистрации в системе необходимо будет внести целый ряд сведений, в том числе ФИО, реквизиты основного документа, удостоверяющего личность, адрес места жительства, номер телефона и адрес электронной почты. Через несколько дней этот проект был отклонен.
Взамен был разработан новый вариант правил работы системы, который предусматривает возможность регистрации и обработки только тех персональных данных, что содержатся в Единой системе идентификации и аутентификации (ЕСИА). Сбор и обработка дополнительных данных не допускается.
Как будет выглядеть согласие на обработку данных
Персональные данные, разрешенные для распространения, определяются законом как «персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия». Таким образом, на передачу таких данных третьим лицам оператором должно быть получено согласие от физического лица.
До изменений в законодательстве согласие объединялось вместе, например, с соглашением о использовании сервиса. Отозвать это согласие было гораздо труднее или невозможно. Для исправления ситуации и были приняты поправки.
С вступлением в силу изменений в законодательстве, согласие о распространении данных должно быть оформлено отдельно. Подписывая согласие пользователь должен ясно понимать, с чем он соглашается, и какие сведения о нем могут быть переданы неограниченному кругу лиц. Перечень данных, которые физлицо разрешает распространять, должен быть доступен для выбора, а не зафиксирован.
Автоматическое согласие или согласие по умолчанию теперь недопустимы. Также, гражданин сможет отозвать ранее данное согласие на распространение данных. После отзыва оператор должен исключить данные из общего доступа, а использование данных третьими лицами станет неправомерным.
Поправки также отменяют возможность обрабатывать персональные данные гражданина без его согласия, если ранее он разместил эти данные в сети.
Оператор, получивший персональные данные, имеет право на их распространение только после согласия гражданина на обработку его данных этим конкретным оператором.
В случае распространения данных без согласия, законность своих действий будет доказывать каждый оператор, который распространял данные.
Кого затронут изменения
Изменения затрагивают практически всех – физических и юридических лиц.
Работодатели теперь должны заключать отдельное соглашение о распространении персональных данных – раньше это согласие включалось в другие документы, например, в Договор о материальной ответственности.
Операторы (сайты, интернет-магазины, разработчики приложений) также должны проработать свои онлайн-формы по заключению соглашения о распространении персональных данных в соответствии с новыми правилами.
В новом соглашении должна быть предусмотрена возможность отказа клиента от распространения его данных неограниченному кругу лиц. Молчание или бездействие граждан также не может считаться согласием.
Санкции за распространение информации
С 27 марта 2021 года вступает в силу Закон №19-ФЗ, от 27.02.2021, по которому значительно увеличены штрафы за нарушения в области персональных данных.
Теперь штрафовать будут без предупреждения, а за повторное нарушение Штраф будет еще выше.
Как соблюсти все требования 152-ФЗ и не получить штраф | Блог VK Cloud Solutions
Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.
Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.
Практически все эти документы стандартные, так что можно взять шаблоны и доработать под нужды своей компании. Или заказать пакет у юристов, чтобы все формулировки точно были правильными.
Можно получить сразу два штрафа:
- За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
- За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.
Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.
Уведомить Роскомнадзор
Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.
Отправить уведомление можно онлайн, на сайте Роскомнадзора.
Что будет, если не отправить уведомление
Вы совершите административное Правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:
- 100–500 рублей для физлиц
- 300–500 рублей для должностных лиц.
- 3 000—5 000 рублей для юрлиц.
Получать согласие на хранение и обработку персональных данных
Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными.
Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете.
По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.
Получить согласие можно двумя способами:
- Подписать письменное соглашение. Так обычно делают, если собирают данные в письменном виде — например, при приеме человека на работу или поступлении в ВУЗ.
- Получить согласие через интернет. Для этого можно снабдить форму сбора данных галочкой, поставив которую пользователь соглашается на обработку персональных данных. На сайте при этом должна быть размещена Политика конфиденциальности, чтобы человек мог с ней ознакомиться.
Что будет, если не спрашивать разрешения
За это нарушение положен большой штраф:
- 3 000–5 000 рублей для физлиц.
- 10 000–20 000 рублей для должностных лиц и ИП.
- 15 000–75 000 рублей для юрлиц.
Россияне будут давать больше согласий на обработку персональных данных — РБК
Новый закон значительно ужесточает правила обработки и распространения персональных данных лиц для операторов и бизнеса, сообщил РБК Александр Надмитов, управляющий партнер юридической фирмы «Надмитов, Иванов и Партнеры».
Так, до обработки персональных данных из открытых источников надо будет убеждаться в том, что человек дал согласие на их распространение. Кроме того, нужно будет проверять наличие условий и ограничений на обработку данных другими операторами, пояснил Надмитов.
В новом законе прописаны условия обработки тех персональных данных, которые россияне разрешат распространять, рассказала в беседе с РБК партнер коллегии адвокатов Pen & Paper Екатерина Тягай.
Как будет предоставляться согласие
Россияне смогут предоставить согласие непосредственно оператору или с использованием информационной системы Роскомнадзора, сообщила Екатерина Тягай.
В своем специальном согласии субъект должен будет прямо определить перечень персональных данных, которые смогут быть распространены оператором.
Оператор обязан будет предоставить субъекту возможность произвести такое определение по каждой категории разрешенных для распространения персональных данных, указанной в согласии на их обработку, рассказала юрист.
Надмитов отметил, что закон не содержит требования об обязательной письменной форме согласия на распространение.
По его словам, требования к содержанию согласия на распространение будут установлены Роскомнадзором. На данный момент соответствующих актов регулятора нет.
В любом случае операторам придется дополнять и конкретизировать свои стандартные согласия на обработку персональных данных, сказал юрист.
Новый закон особенно затронет владельцев (операторов) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц. Также закон повлияет на тех, кто использует в своей работе информацию из открытых источников, в частности СМИ, компании, использующие системы мониторинга поведения в интернете, считает Надмитов.
Как по новому закону будут удалять персональные данные
Россияне смогут в любое время потребовать прекратить передачу или распространение персональных данных, напомнил о положениях закона Надмитов. Действие согласия на обработку персональных данных прекращается с момента поступления оператору требования их обладателя.
При этом запреты на использование персональных данных не распространяются на случаи обработки информации в государственных, общественных и иных публичных интересах, определенных законодательством, указал юрист.
В начале декабря Ассоциация больших данных (объединяет «Яндекс», Mail.ru Group, Сбербанк, Газпромбанк, мобильных операторов) просила Госдуму не принимать нововведения в закон о персональных данных.
Компании опасались, что закон усложнит обработку общедоступных персональных данных.
В частности, в заявлении говорилось, что закон может создать правовую неопределенность при использовании данных в тех случаях, когда пользователь дает двум социальным сетям согласие на обработку данных, но с разными параметрами.
Также требования могут привести к дополнительным расходам площадок на доработку интерфейсов, причем российские ресурсы окажутся в невыгодном положении, так как контролировать соблюдение требований иностранцами будет невозможно, считает бизнес.
Председатель комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Александр Журавлев отмечал, что изменения могут осложнить работу компаний, которые используют искусственный интеллект и большие данные.
Внесены изменения в закон о персональных данных. Рассказываю, кого и когда они коснутся
Картинка из Интернета
- Приветствую Вас, уважаемые читатели!
- Федеральный закон от 30 декабря 2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон № 152 «О персональных данных» будет вступать в силу в два этапа:
- — с 1 марта 2021 года — основная часть,
- — с 1 июля 2021 года — основные положения (норма о предоставлении оператору персональных данных, разрешенных для распространения, через информационную систему уполномоченного органа).
Скажу сразу, читать данный закон достаточно тяжело, ввиду неоднократного повтора фраз «субъект персональных данных», «персональных данных», «обработка персональных данных» и т.п. Но, в законотворчестве свои правила, без их соблюдения нельзя.
Картинка из Интернета
Что является персональными данными?
Информация, прямо или косвенно относящаяся к физическому лицу, позволяющая идентифицировать конкретного человека.
Например, серия и номер паспорта, ИНН, СНИЛС, дата и место рождения физического лица, его адрес регистрации и проживания являются персональными данными (далее — ПД), ФИО + номер телефона — ПД, а просто номер телефона — нет. Фото может являться биометрическими ПД в случаях, предусмотренных законом.
Потоковое видеонаблюдение не является обработкой ПД. Мобильное приложение осуществляющее сбор информации: ФИО, телефон, предпочтение пользователя, история заказов это ПД, ведь с его помощью осуществляется маркетинг и использование в рекламе, на использование в которой ПД предполагается согласие.
При желании, Вы самостоятельно можете ознакомиться с данным законом. Я изложу лишь суть, с учетом мнения Роскомнадзора.
Картинка из Интернета
Итак, о чём закон?
- Описывает процедуру обязательного согласования обработки ПД любым оператором. Теперь нельзя получить данное согласие по умолчанию или при бездействии владельца.
- Данное согласие можно будет передать как личнооператору так и с использованием ИС уполномоченного органа по защите прав ПД. В настоящее время ИС еще не действует.
- Запрещает использовать ПД, без согласия владельца этих персональных данных. Исключение — публичный, государственный или общественный интерес.
- Владелец ПД может требовать прекратить распространение ПД, а так же отозвать свое согласие в любой момент.
- Владелец ПД определяет перечень данных, которые он не возражает распространять.
- Владелец сайта должен спрашивать пользователя о том, какие ПД о нём можно опубликовать, а также передавать третьим лицам. Если данное требование не будет выполнено, будут применяться штрафы за нарушение правил обработки ПД.
- При передаче ПД третьим лицам, необходимо указать название организации, действующей по поручению оператора.
- Не запрещен сбор копий документов, содержащий ПД, но он должен осуществляться при согласии владельца документов. Согласие может быть оформлено в бумажном или электронном виде.
- Допустимы сканы согласий.
- Если заключается договор между юр. лицами, и он подписывается по доверенности, необходимо получить согласие сотрудника на передачу его ПД.
- Провайдер является оператором ПД, соответственно, требуется договор на обработку персональных данных и их передачу.
Картинка из Интернета
Заинтересованные лица знакомятся с правилами уничтожения ПД.
- При проверке соблюдения данного закона может быть вынесено предписание если будет установлено, что ни кто не отвечает за обработку персональных данных. Если меры по устранению нарушения не принимаются, то оператор будет привлечён к ответственности (по ст. 19.5 КоАП РФ).
- Согласия на обработку ПД, полученные до 1 марта 2021 года использовать можно, но для цели распространения ПД необходимо получить новое.
- Органам исполнительной власти всех уровней (от федерального до местного) при осуществлении своих функций такое согласие не требуется
Конечно, появление Федерального закона № 152 «О персональных данных», как и появление закона № 119 было бы более актуально несколько лет назад.
Картинка из Интернета
- Решить проблему использования личных персональных данных человека незаконным путем достаточно сложно.
- На данный момент есть большие сомнения в реализации этого закона.
- Сложно учесть все нюансы, много «серых пятен», которые ещё недоработаны.
- Помните, Роскомнадзор может блокировать сайты по решению суда.
- Время покажет, насколько значимыми и нужными будут внесённые в закон поправки.
- Простым гражданам закон может быть интересен тем, что смогут пытаться отстаивать интересы в суде в случае использования ПД без их согласия.
- Пример судебного спора по использованию ПД без согласия их владельца здесь.
- Желаю Вам удачи!
- Адвокат Шарков Дмитрий Евгеньевич.
- Более подробно обо мне и моей деятельности здесь.
- Больше интересной информации здесь.
- При создании этой статьи были использованы следующие материалы находящиеся в открытом доступе:
- — Федеральный закон от 30 декабря 2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон № 152 «О персональных данных»;
— https://vk.com/wall-76229642_231038?z=video-76229642_456239243%2F285c3f53b395821bde%2Fpl_post_-76229642_231038
— https://nalog-fns.ru/roskomnadzor-o-personalnyh-dannyh-v-2021-godu
— https://ntc-kb.ru/vychety/kopiya-pasporta-personalnye-dannye.html
— https://tisnso.ru/kadry/prekrashchenie-obrabotki-personalnyh-dannyh-2.html
— https://dokohranatruda.ru/kadroviku/prekrashchenie-obrabotki-personalnyh-dannyh-2.html
— http://demidov-house.ru/voennoe-pravo/5047-zakon-o-zashhite-personalnykh-dannykh-2021.html