Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Новый закон об обработке персональных данных в 2022 году». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.
Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:
- ФИО;
- контактные данные;
- перечень персональных данных, обработку которых нужно прекратить.
Указанные ПД могут обрабатываться только оператором, которому оно направлено.
По словам Марины Хадиной, директора по развитию Talantix, чтобы избежать рисков, рекрутер как менеджер проекта по внедрению программ должен учесть следующие моменты:
- Обратите внимание, как система запрашивает согласие на обработку персональных данных. Если резюме приходят из разных источников, то во многих случаях должно быть предусмотрено согласие на обработку ПД, разрешенных к распространению. Если есть сомнения, что сторонний онлайн-ресурс не собирает согласия с соискателей, тогда лучше дополнительно запросить его.
- Посмотрите, как оформлено согласие на обработку ПД. Должны быть указаны цели сбора — трудоустройство и кадровый резерв.
- Соблюдаются ли в системе требования по локализации данных — например, серверы Talantix располагаются на территории РФ. В данном случае система может выступать как первичная база данных, при этом вторичная база может находиться за пределами России, что актуально для зарубежных компаний.
- С точки зрения техтребований — есть ли у центра обработки данных, где размещается инфраструктура системы, лицензия на техническую защиту информации, разработана ли модель защиты от киберугроз.
- Проверьте, предусмотрены ли регулярные обновления системы с учетом изменений в законодательстве.
Законодатели отметили, что закон о распространении ПД — только начало большой работы по ужесточению правил обращения с персональными данными. Но это не должно стать проблемой для компаний, если они следят за автоматизированными решениями и предложениями по хранению и обработке данных, так как крупные провайдеры держат руку на пульсе, чтобы помочь HR-сообществу и бизнесу учесть эти и другие нововведения.
Форма документа не регламентирована, а значит может составляться по шаблону, разработанному фирмой самостоятельно. Но следует помнить, что статья 9 ФЗ от 27.07.2006 № 152-ФЗ содержит перечень обязательных требований.
Новые правила с 2021 года
1 марта произошли изменения в ФЗ от 27.07.2006 № 152-ФЗ, которые внес ФЗ от 30.12.2020 № 519-ФЗ.
Рассмотрим основные нововведения.
1. Появился документ «Согласие на распространение ПДн сотрудника».
Теперь, получив от сотрудника согласие на обработку ПДн, компания не может их распространять. Для этих целей необходимо получить от физ. лица отдельный документ, который позволяет оператору распространять данные, например, размещать их на сайте компании, на доске почета, передавать банку и другое. В этом документе важно предоставить сотруднику возможность указать какую именно информацию он разрешает распространять работодателю.
2. Молчание субъекта ПДн не может быть расценено, как согласие на распространение ПДн. Это актуально и для бездействия сотрудника (п. 8 ст. 10.1 Закона № 152-ФЗ).
3. Любые ПДн о физ. лице можно публиковать только при наличии его письменного согласия, даже если лицо самостоятельно их разместило в общедоступном месте (интернет или социальные сети). Раньше такие личные данные можно было распространять без получения согласия от их владельца (п. 2 ст. 10.1 Закона № 152-ФЗ).
Получить согласие на распространение ПДн можно двумя способами:
1. Непосредственно у физ. лица, то есть с личной подписью на бумаге;
2. Через информационную систему Роскомнадзора. Любое физ. лицо может подключиться к системе для того, чтобы указать какие ПДн и кому он разрешает распространять.
Оператор, в свою очередь, также имеет возможность подключиться к данной системе и не получать от конкретного физического лица письменное согласие, а использовать информацию, содержащуюся в системе Роскомнадзора. Это возможность станет доступной с 1 июля 2021 года.
Как ужесточились требования к работе с персональными данными в 2021 году
Компаниям и ИП однозначно стоит уделить внимание новшествам, описанным выше, так как штрафные санкции увеличились вдвое.
Начиная с 27 марта 2021 г. за работу с ПДн сотрудников без их письменного согласия ИП ждет штраф от 20 000 до 40 000 руб., организации, при аналогичном нарушении должны будут уплатить от 30 000 до 150 000 руб.
Если же ИП нарушит законодательство повторно, то штраф будет составлять от 100 000 до 300 000 руб., а для компаний — от 300 000 до 500 000 руб. (ч. 2 ст. 13.11 КоАП). Наказание за такое правонарушение может последовать в течение года (ст. 4.5 КоАП РФ).
Подведем итог: правила обработки личных данных касаются абсолютно всех физических и юридических лиц.
В этой связи, работодателям целесообразно брать с сотрудников:
1. согласия на обработку персональных данных;
2. согласия на распространение персональных данных.
Документы составляются в соответствии с требованиями действующего законодательства.
Игнорирование правил обработки и распространения данных может привести к серьезным финансовым потерям.
В программах 1С новый документ «Согласие на распространение персональных данных» на данный момент не реализован. Но и о наличии согласия на обработку персональных данных знают далеко не все бухгалтеры.
Первое, что необходимо знать — это то, что все данные хранятся в карточках физ. лиц. При приеме на работу личные данные субъекта в справочнике «Физические лица» заполняются автоматически на основании справочника «Сотрудники».
Законодательство РФ предусматривает 3 вида ответственности:
- гражданско-правовая — как правило, устанавливается в договоре, который гражданин заключает с оператором персональных данных. Носит преимущественно денежный характер;
- административная — установлена в Кодексе об административных правонарушениях РФ и выражается либо в виде предупреждения, либо в виде денежного штрафа;
- уголовная — наступает за наиболее тяжкие нарушения законодательства. В подавляющем большинстве случаев к виновному применяется либо денежный штраф, либо наказание, связанное с ограничением свободы.
Перечень ситуаций установлен в ст. 6 Закона №152-ФЗ. Важно следить за соблюдением требований закона:
- при осуществлении правосудия;
- при заключении договора потребительского кредитования;
- при заключении трудового договора;
- при защите прав и интересов гражданина;
- если при заключении гражданско-правового договора стороны достигли согласия об этом;
- в случаях, когда требования законодательства требуют принятия мер по обработке персональных данных.
Закон содержит ряд норм о предоставлении персональных данных по запросам сторонних организаций и частных лиц. Без согласия гражданина сведения могут предоставляться только по запросу судебных и правоохранительных органов. В иных случаях факт несанкционированной передачи будет караться по УК РФ.
Новый законопроект о персональных данных: как изменилась работа рекрутеров
Административная ответственность в области ПД ужесточилась. С 27 марта 2021 года произошли изменения в составах правонарушений и санкциях. Размеры штрафов увеличились в два раза.
Ранее за совершение некоторых нарушений можно было избежать штрафа, отделавшись предупреждением. Теперь такая норма отсутствует.
Обратите внимание! За нарушения по ст. 13.11 КоАП РФ теперь могут оштрафовать в течение 1 года. Напомним, что до 27.03.2021 срок давности составлял лишь 3 месяца. |
Федеральный закон № 248-ФЗ заложил основы нового подхода к контролю и надзору в РФ: предмет регулирования, принципы, предмет и объекты контроля, организация контроля, участники этих процессов, порядок проведения контроля и прочее. Постановление Правительства РФ от 29.06.2021 № 1046 конкретизировало порядок организации и осуществления государственного контроля Роскомнадзором за обработкой ПД.
Федеральный закон № 248-ФЗ направлен на стимулирование добросовестности контролируемых лиц и профилактику рисков причинения ими вреда (ущерба) охраняемым законом ценностям. Таким образом, теперь в приоритете профилактика нарушений, более мягкие контрольно-надзорные мероприятия.
Закреплён широкий перечень профилактических мероприятий (ч. 1 ст. 45), участие в которых является правом, а не обязанностью контролируемых лиц. При этом, взаимодействие возможно только с согласия либо по инициативе проверяемого.
Предусмотрен перечень новых контрольно-надзорных мероприятий, помимо выездной и документарной проверки (ч. 2 и 3 ст. 56).
Важно Сократился срок проведения документарной и выездной проверок с 20 до 10 рабочих дней. |
При осуществлении контроля (надзора) применяется риск-ориентированный подход, введены системы оценки и управления рисками причинения вреда (ущерба) охраняемым законом ценностям.
Появилась возможность отменять решения, которые приняты в результате любого контрольно-надзорного мероприятия, проведенного с грубыми нарушениями. Ранее допускалась отмена только результата проверок.
Федеральный закон 248-ФЗ допустил возможность проведения аккредитованными организациями независимой оценки соблюдения требований законодательства.
Предметом контроля (надзора) является соблюдение операторами обязательных требований в области ПД.
При осуществлении контроля применяется система оценки и управления рисками, установлены критерии отнесения объекта контроля к одной из категорий риска:
- высокий
- значительный
- средний
- умеренный
- низкий.
К какой категории риска относится ваша организация? Попробуйте определить.
В рамках осуществления контроля Роскомнадзором могут проводиться такие профилактические мероприятия, как:
- информирование,
- обобщение правоприменительной практики,
- объявление предостережения,
- консультирование,
- профилактический визит.
Также в контрольных целях проводятся плановые и внеплановые мероприятия: инспекционный визит, документарная или выездная проверки.
Результаты контрольных мероприятий фиксируются в актах.
Обратите внимание! Плановые контрольные мероприятия, за исключением плановых контрольных мероприятий без взаимодействия с проверяемыми, проводятся на основании плана проведения плановых контрольных (надзорных) мероприятий на очередной календарный год, согласованного с органами прокуратуры. |
Урегулированы вопросы применения фотосъемки, аудио- и видеозаписи для фиксации доказательств нарушения обязательных требований.
Подробнейшим образом регламентировано обжалование решений контролирующего органа, действий (бездействия) их должностных лиц.
Имеется конкретный список обязательных данных владельца персональной информации, которые должны быть в согласии:
- ФИО;
- контактные данные (телефон, электронная почта, адрес);
- информация об операторе-компании;
- информация об операторе-физлице;
- информация об операторе-ИП;
- информация об информационных ресурсах оператора, через которые неограниченному числу лиц дается доступ к информации и осуществляются иные операции с персональной информацией;
- цель обработки сведений;
- категории и перечень сведений, на обработку которых оформляется согласие — персональные данные (ФИО, дата и место рождения, адрес, семейное положение и т.п.), специальные категории персональных сведений, биометрические данные;
- срок действия согласия.
Если владелец персональных данных захочет, то можно заполнить и такую информацию:
- категории и перечень данных, для обработки которых владелец указывает условия и запреты, а также список этих условий и запретов;
- условия, с учетом которых полученная информация может направляться оператором лишь по его локальной сети, обеспечивающей доступ к сведениям только для конкретных работников, либо с применением определенных телекоммуникационных сетей, либо без передачи персональной информации.
Роскомнадзор предоставил для использования специальный конструктор, с помощью которого можно сформировать шаблон согласия. Данный документ только рекомендован, однако он соответствует предъявляемым к нему требованиям и учитывает особенности конкретного оператора.
Для создания шаблона нужно заполнить необходимые графы, после чего он рассматривается экспертами Роскомнадзора. Если необходимо, оператору выдаются рекомендации, как доработать документ. Результаты проведенной проверки пересылаются на адрес электронной почты, который указывается в форме.
После этого оператор может применять проверенную форму документа.
В шаблоне учитываются все обязательные данные, которые нужно отражать в согласии на основании Приказа от 24.02.2021 г. № 18.
Закон о персональных данных — что это такое?
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.
Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).
Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.
С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.
Написать комментарий
Появляется новое основание, за несоблюдение которого могут оштрафовать (раньше за это не наказывали рублем). Невыполнение обязанности по соблюдению конфиденциальности ПДн влечет наложение штрафа:
- на граждан — в размере от 10 до 20 тысяч рублей;
- на должностных лиц — от 40 до 100 тысяч рублей;
- на индивидуальных предпринимателей — от 100 до 300 тысяч рублей;
- на юридических лиц — от 300 до 500 тысяч рублей.
Организация, физическое или юрлицо, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия владельца ПДн, если это не предусмотрено федеральным законом.
Любая передача ПДн (распространение, предоставление, доступ) является незаконной без согласия владельца ПДн и является нарушением конфиденциальности его ПДн.
Если ПДн сотрудников были переданы без их письменного согласия, то во-первых, это противозаконно, а во-вторых, за подобные действия будут штрафовать.
Вот типовые ситуации, которые будут подпадать под данную статью:
1. Передача ПДн работников третьим лицам:
- в банк для целей выплаты заработной платы и иных материальных выплат, а также перечисления подотчетных средств;
- в охранное предприятие в целях взаимодействия и реагирования;
- в медицинские организации в целях проведения медицинских осмотров;
- в страховые компании по договорам добровольного медицинского страхования;
- в образовательные организации в объеме превышающем требования закона об образовании;
- в целях организации командировок и участия в выставках;
- в других целях, напрямую не связанных с должностными обязанностями сотрудника.
2. Передача ПДн клиентов, представителей клиентов, поставщиков, партнеров третьим лицам в целях:
- организации мероприятий, маркетинговых акций, рекламы;
- размещения отзывов, рекламных акций на сайте компании и других общедоступных источниках;
- сбор персональных данных через онлайн-каналы (мессенджеры, социальные сети, формы обратной связи на сайте, онлайн-консультанты) без применения средств защиты, обеспечивающих их конфиденциальность при передаче через интернет.
3. Получение ПДн без подтверждения наличия согласия от человека или иных законных оснований у передающей стороны.
4. Предоставление доступа к ПДН внутри организации сотрудникам без должного документального оформления (должностные обязанности и/или локальные нормативные акты).
Новый КоАП еще не принят, но вектор внимания уже определен. Для того чтобы нововведения не стали для вас сюрпризом, необходимо в 2021 году провести оценку соответствия процессов обработки и защиты персональных данных требованиям законодательства.
Проводить ее необходимо не реже, чем раз в три года. Это установлено законом.
- Изучить все источники поступления ПДн в организацию, цели поступления и состав данных. К примеру, нужно понимать, что источники ПДн клиентов и сотрудников разные, и состав ПДн тоже разный.
- Проанализировать, где и как организация получает ПДн — наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность получения персональных данных, их состав и цели обработки. Получение всех ПДн, которые попадают в организацию, без исключения должны подтверждаться подобными документами: корректно составленное соглашение по обработке ПДн на сайте, с которого компания получает ПДн клиентов, Соглашение по обработке ПДн с сотрудниками.
- Изучить, какие и чьи ПДн в организации обрабатываются (в разрезе категорий физических лиц). Ориентируясь на ПДн клиентов и сотрудников, видно, что процесс их обработки и хранения разный. Доступ к ПДн сотрудников имеют отдел кадров, бухгалтерия, а к клиентским данным — та же бухгалтерия и коммерческий отдел.
- Проверить наличие утвержденных локальных нормативных актов, определяющих порядок доступа сотрудников к персональным данным. Документы, в которых прописано, кто и за что отвечает.
- Проанализировать соответствие процесса обработки локальным нормативным актам. Зачастую на практике бывает несоответствие.
- Изучить ваших получателей персональных данных: кому, для каких целей и в каком составе передаются персональные данные. Опять же, практика показывает, что в некоторых организациях к ПДн допускаются сотрудники, не имеющие к ним отношения.
- Проанализировать, на каких условиях передаются ПДн третьим лицам — обязательно наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность передачи персональных данных. Если зачисление зарплаты сотрудникам компании происходит через зарплатный проект банка, то компания обязана с каждым сотрудником, участвующем в зарплатном проекте, подписать соглашение о передаче его ПДн в этот банк.
- Определить, какие персональные данные стоит обезличивать. К примеру, это данные, чей срок хранения официально вышел, но при этом характеристики клиента имеют ценность без необходимости идентификации физического лица.
- Определить, какие согласия уже не имеют силы и которые надо скорректировать. Отсутствие отлаженной системы работы с ПДн в прошлом означает, что, возможно, часть документов уже не актуальна.
- Изучить, как защищаются персональные данные в компании и от кого они реально защищены — только от внешних злоумышленников или от внутренних тоже? Очень часто данные клиентов утекают вместе с увольняющимися сотрудниками коммерческих отделов.
- Составить годовой план и реализовать его. Необходимо разработать поэтапный план по реализации этих пунктов с учетом объема работы и времени на их выполнения.
Утечка ПДн может обернуться для компании не только финансовыми убытками, но и потерей репутации на рынке и разрывом отношений с партнерами. Поэтому важно изучить законодательство и вовремя принять меры. И здесь есть два пути:
- делать все самостоятельно (силами организации);
- доверить выполнение требований закона компаниям, которые могут провести независимый аудит по обработке ПДн и решить выявленные проблемы.
Да, если соблюдено одно из указанных условий.
- На вашем сайте в открытом доступе размещаются ПД.
- Вы собираете и структурируете ПД, размещенные в открытом доступе.
- Вы публикуете ПД в печатной или иной форме, при которой ПД находятся в открытом доступе.
Пример: социальные сети, сайты объявлений, форумы, печатные издания с объявлениями и т.д.
Нет, если соблюдено одно из указанных условий.
- На вашем сайте размещаются ПД, доступ к которым есть только у зарегистрированных пользователей, т.е. оператор может ограничить и определить круг лиц, имеющих доступ к ПД.
Эта позиция была устно донесена Роскомнадзором в ходе ответов на вопросы на дне открытых дверей 28 января 2021 г. В отсутствие письменных разъяснений остается довериться данной позиции и надеяться на то, что Роскомнадзор не изменит ее.
Пример: закрытая корпоративная социальная сеть или сайт-интегратор объявлений, на котором доступ к ПД продавцов можно получить только после регистрации на сайте.
- Ваша компания распространяет или предоставляет ПД в определенных законом государственных, общественных или публичных интересах независимо от того, что распространение или предоставление ПД запрещено самим лицом2.
Под государственными, общественными и публичными интересами в основном понимаются вопросы безопасности государства, граждан и т.д. Поэтому сложно придумать реальный случай, когда коммерческая организация могла бы прикрыться данным пунктом закона.
- Вы являетесь государственным органом власти или органом местного самоуправления, распространяющим ПД в силу выполнения возложенных на вас полномочий3.
Оператор может быть привлечен к административной ответственности. До 27 марта 2021 г. размер штрафа составит:
- от 5 до 10 тыс. руб. – для индивидуального предпринимателя;
- от 30 до 50 тыс. руб. – для компании24.
С 27 марта 2021 г. размер штрафов увеличивается:
- от 10 до 20 тыс. руб. – для индивидуального предпринимателя;
- от 60 до 100 тыс. руб. – для компании.
Требования к содержанию согласия на обработку персональных данных с 01.09.2021
Полагаем, самый надежный и менее затратный способ соблюсти требования Закона о персональных данных для тех компаний, чьи сайты содержат ПД субъектов, – закрыть сайты для незарегистрированных пользователей. По крайней мере, до тех пор, пока не сформируется судебная практика и не появится точная позиция Роскомнадзора относительно применения положений Закона о распространении ПД.
Сложнее обстоит дело с компаниями, которые собирают ПД из открытых источников. Такие компании, на наш взгляд, обязаны получать у субъектов:
- согласие на обработку ПД, если компания хочет обрабатывать ПД без распространения;
- согласие на распространение, если компания хочет распространять ПД субъекта.
Компаниям, которые распространяют ПД не в интернете, также необходимо получать у субъекта согласие на распространение, даже в том случае, если распространение ПД необходимо для исполнения договора в интересах субъекта.
1 Федеральный закон от 30 декабря 2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”».
2 Часть 11 ст. 10.1 Закона о персональных данных (далее – Закон).
3 Часть 15 ст. 10.1 Закона.
4 Пункт 1 ч. 1 ст. 6 Закона.
5 Пункт 5 ч. 1 ст. 6 Закона.
6 Часть 3 ст. 20 Закона.
7 Часть 5 ст. 21 Закона.
8 Пункт 1.1 ч. 1 ст. 3 Закона.
9 Часть 1 ст. 10.1 Закона.
10 Часть 9 ст. 9 Закона.
11 Часть 1 ст. 10.1 Закона.
12 Часть 9 ст. 10.1 Закона.
13 Часть 6 ст. 10.1 Закона.
14 Часть 8 ст. 10.1 Закона.
15 Часть 10 ст. 10.1 Закона.
16 Часть 4 ст. 10.1 Закона.
17 Часть 5 ст. 10.1 Закона.
18 Часть 12 ст. 10.1 Закона.
19 Часть 13 ст. 10.1 Закона.
20 Часть 14 ст. 10.1 Закона.
21 Часть 2 ст. 10.1 Закона.
22 Пункт 10 ч. 1 ст. 6 Закона.
23 Определение Верховного Суда РФ от 29 января 2018 г. № 305-КГ17-21291.
24 Часть 1 ст. 13.11 КоАП РФ.
Уведомлять Роскомнадзор не нужно, если персональные данные:
- относятся к субъектам, которых связывают с оператором трудовые отношения;
- получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
- являются общедоступными;
- включают только ФИО субъектов персональных данных;
- нужны для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- включены в федеральные автоматизированные информационные системы персональных данных, государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.
Все вышеперечисленные меры имеют отношение как к физическим, так и к юридическим лицам. Однако юридическим лицам следует предпринять ряд дополнительных мероприятий.
Согласие на обработку персональных данных, разрешенных их субъектом для распространения, должно содержать следующую информацию:
№ |
РЕКВИЗИТ СОГЛАСИЯ |
1 | Фамилия, имя, отчество (при наличии) субъекта персональных данных |
2 | Контактная информация – номер телефона, адрес электронной почты или почтовый адрес субъекта |
3 | Сведения об операторе-организации:
Сведения об операторе – физическом лице:
Сведения об операторе – ИП:
|
4 | Сведения об информационных ресурсах оператора, посредством которых будет предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта
Это адрес, состоящий из:
|
5 | Цель (цели) обработки персональных данных |
6 | Категории и перечень персональных данных, на обработку которых дано согласие:
|
7 | Категории и перечень персональных данных, для обработки которых субъект устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта) |
8 | Условия, при которых полученные персональные данные оператор, осуществляющий их обработку, может передавать (заполняется по желанию субъекта):
|
9 | Срок действия согласия |
В завершение отметим, что как такого бланка Согласия на обработку персональных данных, разрешенных их субъектом для распространения, Роскомнадзор не приводит. Поэтому каждая организация (ИП, физлицо) формируют его на своё усмотрение, но с обязательным приведением перечисленных 9 реквизитов.
Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.
Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.
Персональные данные в 2021 году: как работать, чтобы не нарушить закон
В новой статье 10.1 Закона о персданных, действующей с начала марта, были установлены основные принципы обработки разрешенных к распространению персданных.
Так, в силу серьезности возможных последствий обнародования личных данных закон устанавливает, что молчание или бездействие субъекта персданных ни при каких обстоятельствах не может свидетельствовать о согласии на распространение.
Если личные данные оказались в публичном доступе по желанию самого субъекта или в результате противоправных действий, форс-мажора, то лица, осуществляющие их обработку, должны доказать ее законность.
В случае, если нарушаются законные требования к обработке разрешенных к распространению персданных, то субъект может обратиться с требованием о прекращении такой обработки к любому лицу, обрабатывающему такие данные, или непосредственно в суд.
С 27 марта 2021 года в Кодекс об административных правонарушениях были внесены изменения, касающиеся правонарушений в области обработки персональных данных.
Теперь за любые правонарушения, установленные статьей 13.11 КоАП, больше не может быть назначено предупреждение, нарушителю сразу грозит штраф. За повторное совершение ряда правонарушений предусмотрена повышенная ответственность, при этом срок давности привлечения к административной ответственности в данной области был увеличен до одного года.
Соблюдайте закон и удачи в бизнесе!
Согласие на распространение ПД надо получать отдельно от общего согласия на обработку ПД.
При получении согласия офлайн в письменной форме человеку надо предложить заполнить два бланка: первый ─ общее согласие на обработку ПД, второй ─ согласие на распространение.
В интернете для получения согласия обычно используют чекбокс со ссылкой на текст соответствующего документа. С 1 марта надо будет размещать два чекбокса: один ─ на общее согласие, второй ─ на распространение.
Кроме этого, в законе сказано, что человек еще должен выбрать, какие именно данные о себе он разрешает распространять. Пока непонятно, как технически настроить такой выбор на сайте. Возможно, придется рядом с каждым видом ПД предусматривать отдельные чекбоксы.
Такой формат может, конечно, повлиять на конверсию. И если вам не хочется заморачиваться с настройками под закон о ПД, подумайте, возможно, стоит отказаться от распространения данных.
Согласие может быть отозвано в любой момент без указания причин.
Это неудобно для отдельных проектов. Например, психолог предлагает бесплатные консультации при условии размещения записи беседы на своем сайте или соцсетях. Перед консультацией получены согласия на обработку и распространение ПД. А после размещения ролика клиент передумывает. Психолог вынужден удалить видео.
Даже если вы получили согласие, нет гарантии, что человек не отзовет его. И сделать с этим ничего не получится ─ удалять данные придется.
Иногда посетители сайта или соцсетей сами оставляют информацию о себе ─ пишут в комментариях имена, почты и даже телефоны. В таких случаях владельцу сайта надо доказать, что все, кто разместил личные данные на сайте, дали согласие на распространение.
Если у вас нет согласия, лучше удалите или отредактируйте подобные комментарии.
Это относится к случаям после 1 марта 2021 года ─ даты вступления в силу поправок в закон № 152-ФЗ, так как обратной силы закон не имеет.
Получите доступ к демонстрационной версии ilex на 7 дней
С 1 марта 2021 года перед размещением данных о людях в публичном пространстве, нужно получить у них отдельное согласие. На интернет-ресурсах, кроме «Согласия на обработку ПД», придется размещать еще и «Согласие на распространение ПД». Также надо решить, каким образом люди будут давать разрешение, например, с помощью отдельного чекбокса.
Новая редакция ст.13.11 КоАП со штрафами за нарушение закона о ПД уже действует, поэтому будьте аккуратнее.
Россияне смогут через единую систему идентификации и аутентификации (ЕСИА) отзывать согласие на обработку персональных данных в государственных информсистемах. Правительство опубликовало соответствующее постановление на портале правовой информации. Кроме того, согласно тексту документа, госорганы и организации смогут получать содержащиеся в ЕСИА сведения о юридических и физических лицах только с их согласия.
Теперь оборот данных между субъектами и властями станет более прозрачным: физические и юридические лица отныне смогут получать через ЕСИА из информационных систем госорганов информацию, которая используется при оказании государственных и муниципальных услуг. Также граждане и компании смогут отправить запрос и получить сведения о фактах обмена информацией между участниками информационного взаимодействия.
Постановление также предусматривает возможность скорректировать через ЕСИА информацию о физических и юридических лицах, которая содержится в государственных информсистемах, если в данных содержатся неточности. Кроме того, на основании данных, собранных в ЕСИА, заявления, формы и иные документы, используемые для предоставления госуслуг, будут заполняться автоматически.
Еще одно важное нововведение в том, что теперь граждане и организации смогут передавать другому лицу полномочия от их имени подавать через портал госуслуг заявления на оказание услуг в электронном виде, получение результатов и уведомлений о статусе заявлений. Также можно будет передать полномочия по оплате госпошлин и иных платежей через портал госуслуг.
Напомним, что 30 декабря 2020 г. Президент России Владимир Путин подписал закон, запрещающий использовать общедоступные персональные данные без согласия их владельца, а также предоставляющий право требовать от оператора их удаления. Изменения сводятся к одному важному моменту — понятия общедоступных персональных данных больше не будет. То есть теперь согласие субъекта персональных данных является «исключительным правовым основанием» для обработки сведений, сделанных общедоступными.
Согласно новому закону, любой гражданин может обратиться к любому оператору персональных данных с требованием удалить его персональные данные из общего доступа без доказывания факта их неправомерной обработки. Причем закон позволит верифицировать субъекта персональных данных без проведения дополнительных процедур идентификации. Также закон исключает возможные случаи сбора оператором избыточных персональных данных.
Как пишет «РИА Новости», законом вводится новый порядок удаления данных по требованию гражданина — теперь оператор персональных данных должен удалить указанную информацию в течение трех рабочих дней без требования доказательств со стороны пользователя. Сбор доказательств переносится на самого оператора. Если интернет-ресурс не выполнит требование гражданина, то будет оштрафован.
Пробегусь по пунктам новой статьи 10.1 Закона «О персональных данных». Это она определяет особенности публикации персональных данных. Подумайте заранее, как реализовать в вашей деятельности эти новшества.
Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Это может выглядеть так: согласен на публикацию ФИО, не согласен на публикацию даты рождения. Посмотрим, что скажет РКН. Совершенно точно придется поломать голову над формулировками.
Закон о персональных данных 2021: что изменилось и как не нарушать
В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
Например, произошел слив базы данных банка в сеть. Кто-то их скопировал и опубликовал. Значит он будет доказывать законность распространения этой информации. Не знаю, получится ли у него это.
В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.
Речь идет о том, что если вы намудрите в своей форме согласия, то обрабатывать персональные данные можно, но только без распространения.
В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
Тот же пример: намудрили непонятного в форме согласия — публиковать нельзя.
Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Многозначительно промолчать в ответ на вопрос: «даете свое согласие на публикацию ваших данных на нашем сайте?» — означает нет.
Персональные данные в 2021: как компаниям с ними работать и не получать штрафы
Напомню, что в текущей версии закона, в общедоступные источники персональных данных могут включаться сведения о субъекте с его письменного согласия.
Из новой статьи закона мы видим, что согласие на распространение персональных данных может быть предоставлено субъектом:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
Формулировки не подразумевают сбора письменных согласий операторами, что значительно упрощает сам процесс. Т.е. достаточно того, что субъект персональных данных соглашается с согласием размещенным на сайте. Но к оформлению таких согласий нужно подойти со всей серьезностью, т.к. как я уже описал выше, к самим согласиям будут предъявляться более жесткие требования.
Что касается специальной информационной системы РКН, предназначенной для сбора согласий на распространение персональных данных, то ее нет. Т.е. регулятор закладывает такую возможность, но когда реализует непонятно. Поэтому имеет смысл ориентироваться на согласия данные непосредственно субъектом оператору. Тем более, что молчание или бездействие субъекта ПДн ни при каких обстоятельствах не могут считаться согласием на распространение персональных данных.
Как и любое правило, требования нововведенной статьи имеют исключения. Установленные субъектом запреты на распространение его персональных данных могут быть проигнорированы оператором, если случаи обработки ПД касаются государственных, общественных или иных публичных интересов, определенных законодательством РФ.
Также требования новой статьи не применяются, если:
- Обработка персональных данных производится в целях выполнения норм законодательства РФ.
- Обработка производится федеральными или региональными органами исполнительной власти или же органами местного самоуправления для исполнения своих функций, полномочий и обязанностей.
Передача персональных данных, разрешенных субъектом для распространения, должна быть прекращена по требованию субъекта. В данном случае, ничего нового требования статьи не содержат, т.к. оператор и так должен прекратить обработку ПДн субъекта, если тот пишет соответствующий отзыв ранее данного согласия. Данное требование должно включать в себя ФИО субъекта, контактную информацию, а также перечень персональных данных, распространение которых подлежит прекращению. Соответственно, действие ранее данного согласия прекращается в течение трех дней с момента поступления оператору подобного требования или в срок, указанных во вступившем в законную силу решения суда, если субъект обратился в суд.
Помимо новой статьи закона, вводятся изменения в уже существующие и связанные с общедоступными источниками информации. В частности претерпела изменение статья 18. Если раньше Оператор освобождался от обязанности предоставлять субъекту персональных данных сведения, полученные из общедоступных источников информации, то теперь закон ссылается на все вышеописанные требования новой статьи.
Ровно тоже произошло и со статьей 22 152-го Федерального закона. В которой говорится об уведомлении Роскомнадзора. В старой версии закона говорится о том, что Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку ПД, полученных из общедоступных источников информации. В новой же версии Оператор должен учитывать все условия и запреты отраженные в вводимой статье.
На самом деле последние два описанных изменения, на мой взгляд, не накладывают каких –то дополнительных условий на оператора. Т.к. в большинстве случаев оператор и так должен был предоставить обрабатываемые данные субъекта по его запросу и уведомить РКН о своей деятельности как оператора.
Закон уже подписан, но требования вступают в силу с 1 марта 2021г. Поэтому рекомендую заранее подготовиться и разработать шаблон согласия на распространение, которое Вы будете использовать.
Появилось новое понятие, пришедшее на смену «Общедоступные источники персональных данных», при этом сами общедоступные источники никуда не делись. Оператору нужно оформлять отдельным документом согласие на распространение персональных данных субъекта. Субъект ПД может устанавливать запреты на распространение своих персональных данных или их части. Должна появиться информационная система, оператором которой будет РКН. В этой ИС можно будет получить согласие на распространение персональных данных своих субъектов.
Компаниям следует подготовиться к выполнению новых требований, установленных законом, и учитывать их в дальнейшей работе, в частности:
- принять необходимые меры по обновлению локальных актов компании, регламентирующих порядок обработки ПДн, разработать новые либо скорректировать существующие формы согласий на обработку ПДн;
- если деятельность компании связана с обработкой распространяемых ПДн, организовать деятельность компании и ее работников в соответствии с новыми требованиями законодательства, в частности, при необходимости пересмотреть существующие бизнес-процессы.