18.09.2021

Новый закон об обработке персональных данных 2021

Автор: admin Судебная практика Нет комментариев

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Новый закон об обработке персональных данных 2021». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Содержание

1. Как ужесточились требования к работе с персональными данными в 2021 году

2. Новое в Законе «О персональных данных» 2021. Что нас ждет?

3. Новый законопроект о персональных данных: как изменилась работа рекрутеров

4. Новые правила с 2021 года

5. Новое согласие на обработку персональных данных — 2021

6. Персональные данные в 2021: как компаниям с ними работать и не получать штрафы

7. Изменения в законе о персональных данных с 1 сентября 2021 года

8. Изменения в ФЗ 152 «О персональных данных» с 01.03.2021

9. Парсинг общедоступных данных с 1 марта 2021 запрещен

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

ФИО;
контактные данные;
перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Как ужесточились требования к работе с персональными данными в 2021 году

Пробегусь по пунктам новой статьи 10.1 Закона «О персональных данных». Это она определяет особенности публикации персональных данных. Подумайте заранее, как реализовать в вашей деятельности эти новшества.

Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Это может выглядеть так: согласен на публикацию ФИО, не согласен на публикацию даты рождения. Посмотрим, что скажет РКН. Совершенно точно придется поломать голову над формулировками.

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, один сайт написал про чиновника, второй сделал рерайт новости, третий — просто ее перепостил. Чиновник обиделся и написал жалобу в РКН.

В этом примере доказывать, что есть общественный интерес персональным данным чиновника будут все три сайта. Вряд ли у них будет согласие на распространение ПД чиновника. А других законных оснований нет.

В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, произошел слив базы данных банка в сеть. Кто-то их скопировал и опубликовал. Значит он будет доказывать законность распространения этой информации. Не знаю, получится ли у него это.

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

Речь идет о том, что если вы намудрите в своей форме согласия, то обрабатывать персональные данные можно, но только без распространения.

Новое в Законе «О персональных данных» 2021. Что нас ждет?

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

Тот же пример: намудрили непонятного в форме согласия — публиковать нельзя.

Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Многозначительно промолчать в ответ на вопрос: «даете свое согласие на публикацию ваших данных на нашем сайте?» — означает нет.

В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

Например, человек может разрешить опубликовать свои ФИО и возраст в отзывы на товар. Но тут же запретить передавать кому-нибудь еще. Например, вашему рекламному агентству. И ограничить человека в этом праве нельзя.

Имеется конкретный список обязательных данных владельца персональной информации, которые должны быть в согласии:

ФИО;
контактные данные (телефон, электронная почта, адрес);
информация об операторе-компании;
информация об операторе-физлице;
информация об операторе-ИП;
информация об информационных ресурсах оператора, через которые неограниченному числу лиц дается доступ к информации и осуществляются иные операции с персональной информацией;
цель обработки сведений;
категории и перечень сведений, на обработку которых оформляется согласие — персональные данные (ФИО, дата и место рождения, адрес, семейное положение и т.п.), специальные категории персональных сведений, биометрические данные;
срок действия согласия.

Если владелец персональных данных захочет, то можно заполнить и такую информацию:

категории и перечень данных, для обработки которых владелец указывает условия и запреты, а также список этих условий и запретов;
условия, с учетом которых полученная информация может направляться оператором лишь по его локальной сети, обеспечивающей доступ к сведениям только для конкретных работников, либо с применением определенных телекоммуникационных сетей, либо без передачи персональной информации.

Обязанность	Норма Закона № 99-З
1. Обеспечивать на всех этапах обработки персональных данных справедливое соотношение интересов всех заинтересованных лиц	Пункт 2 ст.4
2. Обеспечивать соразмерность обработки персональных данных заявленным целям их обработки	Пункт 2 ст.4
3. При изменении целей обработки персональных данных получать на это отдельное согласие	Пункт 4 ст.4
4. Принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их (а также корректировать по запросам субъектов данных)	Пункт 7 ст.4, п.1 ст.16
5. Хранить персональные данные не дольше, чем это требуют заявленные цели обработки	Пункт 8 ст.4
6. Предоставлять субъекту данных информацию обо всех условиях обработки персональных данных. Важно! Рекомендуется разработать стандартные формы для различных категорий персональных данных	Абзацы 2, 5 п.1 ст.16
7. Предоставлять пользователю отдельный документ (в письменном или электронном виде), в котором простым и ясным языком разъяснить субъекту данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия	Часть 2 п.5 ст.5
8. Получать согласие на обработку персональных данных от субъектов данных. Важно! Рекомендуется обеспечить фиксацию и хранение соответствующих данных, так как согласно п.7 ст.5 Закона № 99-З обязанность доказывания получения согласия субъекта персональных данных возлагается на оператора	Абзац 3 п.1 ст.16
9. Обеспечивать защиту персональных данных	Абзац 4 п.1 ст.16
10. При обработке специальных персональных данных принимать комплекс мер, направленных на предупреждение рисков, которые могут возникнуть при этом для прав и свобод субъектов персональных данных	Пункт 3 ст.8
11. Соблюдать процедуры и условия трансграничной передачи данных	Статья 9
12. При получении заявления от субъекта персональных данных при наличии установленных оснований прекратить обработку данных, осуществить их удаление (или, в зависимости от технических возможностей, блокирование) и уведомить субъекта об этом	Абзац 7 п.1 ст.16
13. По запросу субъекта персональных данных предоставлять ему в доступной форме информацию о том, какие его данные обрабатываются и как (категории, сроки, источники и т. п.), кому они передавались	Абзац 5 п.1 ст.16
14. В установленном порядке уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных	Абзац 8 п.1 ст.16
15. Выполнять указания уполномоченного органа по защите прав субъектов персональных данных по изменению, блокированию или удалению недостоверных или полученных незаконным путем персональных данных	Абзац 9 п.1 ст.16

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Новый законопроект о персональных данных: как изменилась работа рекрутеров

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

в течение трех рабочих дней с момента обращения;
или в срок, указанный в постановлении суда;
или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).

Форма документа не регламентирована, а значит может составляться по шаблону, разработанному фирмой самостоятельно. Но следует помнить, что статья 9 ФЗ от 27.07.2006 № 152-ФЗ содержит перечень обязательных требований.

Новые правила с 2021 года

1 марта произошли изменения в ФЗ от 27.07.2006 № 152-ФЗ, которые внес ФЗ от 30.12.2020 № 519-ФЗ.

Рассмотрим основные нововведения.

1. Появился документ «Согласие на распространение ПДн сотрудника».

Теперь, получив от сотрудника согласие на обработку ПДн, компания не может их распространять. Для этих целей необходимо получить от физ. лица отдельный документ, который позволяет оператору распространять данные, например, размещать их на сайте компании, на доске почета, передавать банку и другое. В этом документе важно предоставить сотруднику возможность указать какую именно информацию он разрешает распространять работодателю.

2. Молчание субъекта ПДн не может быть расценено, как согласие на распространение ПДн. Это актуально и для бездействия сотрудника (п. 8 ст. 10.1 Закона № 152-ФЗ).

3. Любые ПДн о физ. лице можно публиковать только при наличии его письменного согласия, даже если лицо самостоятельно их разместило в общедоступном месте (интернет или социальные сети). Раньше такие личные данные можно было распространять без получения согласия от их владельца (п. 2 ст. 10.1 Закона № 152-ФЗ).

В случае, если сотрудник не дал согласия на распространение ПДн, но при этом дал согласие на обработку, то работодатель не в праве передавать информацию третьим лицам (п. 4 ст. 10.1 Закона № 152-ФЗ).

Правило не распространяется на передачу ПДн гос. органам (ИФНС, ФСС, ПФР, полиции и другим).

Стоит отметить, что сотрудник и вовсе может отказаться от дачи согласия на обработку ПДн. Но это не значит, что работодатель не вправе обрабатывать такие данные. Это возможно в случаях, указанных в ч. 2 ст. 9 Закона № 152-ФЗ. Одним из которых является выполнение возложенных законом обязанностей на компанию.

Получить согласие на распространение ПДн можно двумя способами:

1. Непосредственно у физ. лица, то есть с личной подписью на бумаге;

2. Через информационную систему Роскомнадзора. Любое физ. лицо может подключиться к системе для того, чтобы указать какие ПДн и кому он разрешает распространять.

Оператор, в свою очередь, также имеет возможность подключиться к данной системе и не получать от конкретного физического лица письменное согласие, а использовать информацию, содержащуюся в системе Роскомнадзора. Это возможность станет доступной с 1 июля 2021 года.

Компаниям и ИП однозначно стоит уделить внимание новшествам, описанным выше, так как штрафные санкции увеличились вдвое.

Начиная с 27 марта 2021 г. за работу с ПДн сотрудников без их письменного согласия ИП ждет штраф от 20 000 до 40 000 руб., организации, при аналогичном нарушении должны будут уплатить от 30 000 до 150 000 руб.

Если же ИП нарушит законодательство повторно, то штраф будет составлять от 100 000 до 300 000 руб., а для компаний — от 300 000 до 500 000 руб. (ч. 2 ст. 13.11 КоАП). Наказание за такое правонарушение может последовать в течение года (ст. 4.5 КоАП РФ).

Подведем итог: правила обработки личных данных касаются абсолютно всех физических и юридических лиц.

В этой связи, работодателям целесообразно брать с сотрудников:

1. согласия на обработку персональных данных;

2. согласия на распространение персональных данных.

Документы составляются в соответствии с требованиями действующего законодательства.

Игнорирование правил обработки и распространения данных может привести к серьезным финансовым потерям.

В программах 1С новый документ «Согласие на распространение персональных данных» на данный момент не реализован. Но и о наличии согласия на обработку персональных данных знают далеко не все бухгалтеры.

Первое, что необходимо знать — это то, что все данные хранятся в карточках физ. лиц. При приеме на работу личные данные субъекта в справочнике «Физические лица» заполняются автоматически на основании справочника «Сотрудники».

По словам Марины Хадиной, директора по развитию Talantix, чтобы избежать рисков, рекрутер как менеджер проекта по внедрению программ должен учесть следующие моменты:

Обратите внимание, как система запрашивает согласие на обработку персональных данных. Если резюме приходят из разных источников, то во многих случаях должно быть предусмотрено согласие на обработку ПД, разрешенных к распространению. Если есть сомнения, что сторонний онлайн-ресурс не собирает согласия с соискателей, тогда лучше дополнительно запросить его.
Посмотрите, как оформлено согласие на обработку ПД. Должны быть указаны цели сбора — трудоустройство и кадровый резерв.
Соблюдаются ли в системе требования по локализации данных — например, серверы Talantix располагаются на территории РФ. В данном случае система может выступать как первичная база данных, при этом вторичная база может находиться за пределами России, что актуально для зарубежных компаний.
С точки зрения техтребований — есть ли у центра обработки данных, где размещается инфраструктура системы, лицензия на техническую защиту информации, разработана ли модель защиты от киберугроз.
Проверьте, предусмотрены ли регулярные обновления системы с учетом изменений в законодательстве.

Законодатели отметили, что закон о распространении ПД — только начало большой работы по ужесточению правил обращения с персональными данными. Но это не должно стать проблемой для компаний, если они следят за автоматизированными решениями и предложениями по хранению и обработке данных, так как крупные провайдеры держат руку на пульсе, чтобы помочь HR-сообществу и бизнесу учесть эти и другие нововведения.

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку персональных данных.
Согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
В согласии на обработку персональных данных, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Новое согласие на обработку персональных данных — 2021

Вступил в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

Нововведения:

За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалось предупреждение.
Ранее повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь выделяется и штрафы по нему в несколько раз выше, чем за первичное нарушение.
Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 до 100 тысяч рублей, за повторное — от 100 до 300 тысяч рублей.
Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то теперь увеличен до одного года.

Основание	Размер штрафа
Обработка персональных данных в случаях, не предусмотренных законодательством и несовместимая с целями сбора персональных данных.	Для физлиц: предупреждение или штраф от 2 000 до 6 000 руб. Для должностных лиц: предупреждение или штраф от 10 000 до 20 000 руб. Для юрлиц: предупреждение или штраф от 60 000 до 100 000 руб. При повторном нарушении Для физлиц: от 4 000 до 12 000 руб.; Для должностных лиц: от 20 000 до 50 000 руб.; Для ИП: от 50 000 до 100 000 руб.; Для юрлиц: от 100 000 до 300 000 руб.
Обработка персональных данных без письменного согласия субъекта.	Для физлиц: от 6 000 до 10 000 руб. Для должностных лиц: от 20 000 до 40 000 руб. Для юрлиц: от 30 000 до 150 000 руб. Уведомлять Роскомнадзор не нужно, если персональные данные: относятся к субъектам, которых связывают с оператором трудовые отношения; получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора; являются общедоступными; включают только ФИО субъектов персональных данных; нужны для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях; включены в федеральные автоматизированные информационные системы персональных данных, государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами. Все вышеперечисленные меры имеют отношение как к физическим, так и к юридическим лицам. Однако юридическим лицам следует предпринять ряд дополнительных мероприятий. Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения. Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться. Появляется новое основание, за несоблюдение которого могут оштрафовать (раньше за это не наказывали рублем). Невыполнение обязанности по соблюдению конфиденциальности ПДн влечет наложение штрафа: на граждан — в размере от 10 до 20 тысяч рублей; на должностных лиц — от 40 до 100 тысяч рублей; на индивидуальных предпринимателей — от 100 до 300 тысяч рублей; на юридических лиц — от 300 до 500 тысяч рублей. Организация, физическое или юрлицо, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия владельца ПДн, если это не предусмотрено федеральным законом. Любая передача ПДн (распространение, предоставление, доступ) является незаконной без согласия владельца ПДн и является нарушением конфиденциальности его ПДн. Если ПДн сотрудников были переданы без их письменного согласия, то во-первых, это противозаконно, а во-вторых, за подобные действия будут штрафовать. Вот типовые ситуации, которые будут подпадать под данную статью: 1. Передача ПДн работников третьим лицам: в банк для целей выплаты заработной платы и иных материальных выплат, а также перечисления подотчетных средств; в охранное предприятие в целях взаимодействия и реагирования; в медицинские организации в целях проведения медицинских осмотров; в страховые компании по договорам добровольного медицинского страхования; в образовательные организации в объеме превышающем требования закона об образовании; в целях организации командировок и участия в выставках; в других целях, напрямую не связанных с должностными обязанностями сотрудника. 2. Передача ПДн клиентов, представителей клиентов, поставщиков, партнеров третьим лицам в целях: организации мероприятий, маркетинговых акций, рекламы; размещения отзывов, рекламных акций на сайте компании и других общедоступных источниках; сбор персональных данных через онлайн-каналы (мессенджеры, социальные сети, формы обратной связи на сайте, онлайн-консультанты) без применения средств защиты, обеспечивающих их конфиденциальность при передаче через интернет. 3. Получение ПДн без подтверждения наличия согласия от человека или иных законных оснований у передающей стороны. 4. Предоставление доступа к ПДН внутри организации сотрудникам без должного документального оформления (должностные обязанности и/или локальные нормативные акты). Персональные данные в 2021: как компаниям с ними работать и не получать штрафы Новый КоАП еще не принят, но вектор внимания уже определен. Для того чтобы нововведения не стали для вас сюрпризом, необходимо в 2021 году провести оценку соответствия процессов обработки и защиты персональных данных требованиям законодательства. Проводить ее необходимо не реже, чем раз в три года. Это установлено законом. Изучить все источники поступления ПДн в организацию, цели поступления и состав данных. К примеру, нужно понимать, что источники ПДн клиентов и сотрудников разные, и состав ПДн тоже разный. Проанализировать, где и как организация получает ПДн — наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность получения персональных данных, их состав и цели обработки. Получение всех ПДн, которые попадают в организацию, без исключения должны подтверждаться подобными документами: корректно составленное соглашение по обработке ПДн на сайте, с которого компания получает ПДн клиентов, Соглашение по обработке ПДн с сотрудниками. Изучить, какие и чьи ПДн в организации обрабатываются (в разрезе категорий физических лиц). Ориентируясь на ПДн клиентов и сотрудников, видно, что процесс их обработки и хранения разный. Доступ к ПДн сотрудников имеют отдел кадров, бухгалтерия, а к клиентским данным — та же бухгалтерия и коммерческий отдел. Проверить наличие утвержденных локальных нормативных актов, определяющих порядок доступа сотрудников к персональным данным. Документы, в которых прописано, кто и за что отвечает. Проанализировать соответствие процесса обработки локальным нормативным актам. Зачастую на практике бывает несоответствие. Изучить ваших получателей персональных данных: кому, для каких целей и в каком составе передаются персональные данные. Опять же, практика показывает, что в некоторых организациях к ПДн допускаются сотрудники, не имеющие к ним отношения. Проанализировать, на каких условиях передаются ПДн третьим лицам — обязательно наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность передачи персональных данных. Если зачисление зарплаты сотрудникам компании происходит через зарплатный проект банка, то компания обязана с каждым сотрудником, участвующем в зарплатном проекте, подписать соглашение о передаче его ПДн в этот банк. Определить, какие персональные данные стоит обезличивать. К примеру, это данные, чей срок хранения официально вышел, но при этом характеристики клиента имеют ценность без необходимости идентификации физического лица. Определить, какие согласия уже не имеют силы и которые надо скорректировать. Отсутствие отлаженной системы работы с ПДн в прошлом означает, что, возможно, часть документов уже не актуальна. Изучить, как защищаются персональные данные в компании и от кого они реально защищены — только от внешних злоумышленников или от внутренних тоже? Очень часто данные клиентов утекают вместе с увольняющимися сотрудниками коммерческих отделов. Составить годовой план и реализовать его. Необходимо разработать поэтапный план по реализации этих пунктов с учетом объема работы и времени на их выполнения. Утечка ПДн может обернуться для компании не только финансовыми убытками, но и потерей репутации на рынке и разрывом отношений с партнерами. Поэтому важно изучить законодательство и вовремя принять меры. И здесь есть два пути: делать все самостоятельно (силами организации); доверить выполнение требований закона компаниям, которые могут провести независимый аудит по обработке ПДн и решить выявленные проблемы. Специфика согласия на обработку персданных, разрешенных к распространению, заключается в том, что оно подтверждает наличие разрешения от субъекта персданных на раскрытие его личной информации неопределенному кругу лиц. Начиная с 1 марта 2021 года такое согласие должно отбираться отдельно от иных согласий субъекта персданных. Приказом Роскомнадзора, вступающем в силу с 1 сентября 2021 года, определены основные положения, которые должны быть отражены в данном документе, в том числе: цели обработки персданных срок действия согласия категории и перечень персданных сведения об информационных ресурсах оператора, на которых персданные будут предоставляться неопределенному кругу лиц Также в документе субъект персданных может установить запреты или конкретные условия обработки части информации, в частности, запрет на какую-либо обработку персданных неограниченным кругом лиц (кроме непосредственного доступа к ним). Срок действия требований является ограниченным – до 1 сентября 2027 года. Также с 1 июля 2021 года будет доступна возможность получать такое согласие через специальную информационную систему Роскомнадзора. В новой статье 10.1 Закона о персданных, действующей с начала марта, были установлены основные принципы обработки разрешенных к распространению персданных. Так, в силу серьезности возможных последствий обнародования личных данных закон устанавливает, что молчание или бездействие субъекта персданных ни при каких обстоятельствах не может свидетельствовать о согласии на распространение. Если личные данные оказались в публичном доступе по желанию самого субъекта или в результате противоправных действий, форс-мажора, то лица, осуществляющие их обработку, должны доказать ее законность. В случае, если нарушаются законные требования к обработке разрешенных к распространению персданных, то субъект может обратиться с требованием о прекращении такой обработки к любому лицу, обрабатывающему такие данные, или непосредственно в суд. Изменения в законе о персональных данных с 1 сентября 2021 года С 27 марта 2021 года в Кодекс об административных правонарушениях были внесены изменения, касающиеся правонарушений в области обработки персональных данных. Теперь за любые правонарушения, установленные статьей 13.11 КоАП, больше не может быть назначено предупреждение, нарушителю сразу грозит штраф. За повторное совершение ряда правонарушений предусмотрена повышенная ответственность, при этом срок давности привлечения к административной ответственности в данной области был увеличен до одного года. Соблюдайте закон и удачи в бизнесе! С 01 марта 2021 года вступают в силу новые правила обработки персональных данных, сделанных доступными неопределенному кругу третьих лиц «общедоступных персональных данных». Поправки введены законом N 519-ФЗ от 30.12.2020 и существенным образом меняют порядок использования персональных данных, находящихся в общем доступе, и в первую очередь, размещенных на сайтах в сети Интернет. Из закона исключается понятие «персональные данные, сделанные общедоступными субъектом персональных данных», используемое в качестве правового основания обработки таких ПДн любыми лицами (пп.10 п.1 ст.6 152-ФЗ). Взамен вводится понятие «персональные данные, разрешенные субъектом персональных данных для распространения». Принципиальное отличие этих понятий в режиме использования персональных данных, доступ к которым предоставляется третьим лицам. Новые условия предусматривают получение отдельного согласия субъекта ПДн на их распространение и обработку третьими лицами, тогда как ранее такое согласие предполагалось (достаточно было доказать факт их публикации субъектом ПДн или с его разрешения). Как следствие, с 01 марта 2021 года нельзя собирать и использовать опубликованные в Интернете сведения об отдельном лице или массово извлекать и осуществлять последующее использование персональных данных с сайтов и прочих ИСПДн в автоматическом режиме (посредством «парсинга»), если не получено согласие каждого субъекта на такие действия. Ссылка на то, что сведения «общедоступны» перестает работать. Актуально на 15 сентября 2021 Это любая информация о физическом лице, позволяющая его определить. Закон перечисляет следующие пункты: ФИО; дата и место рождения; паспорт, СНИЛС, ИНН; адрес постоянной и временной регистрации; образование; телефон; электронный адрес; профили в социальных сетях и мессенджерах; идентифицирующие личность фотографии и видеоматериалы; семейное положение и состав семьи; судимости; размер доходов; профессиональные навыки; личностные характеристики; раса и национальность; взгляды в политике, религии, философии; сексуальная ориентация; здоровье; биометрия, ДНК, отпечатки пальцев, особые приметы. Изменения в ФЗ 152 «О персональных данных» с 01.03.2021 Как не столкнуться с полумиллионными санкциями? Самое верное правило — составить с помощью юристов всесторонне защищенный документ с развернутым списком ситуаций, в которых организации требуются ПД. Для этого нелишним будет изучить все представленные на сегодня в Сети образцы бланков и скомпилировать из них индивидуальный чек-лист под вашу компанию. Главное — ничего не делать необдуманно и заручиться помощью специалистов. Оператор может быть привлечен к административной ответственности. До 27 марта 2021 г. размер штрафа составит: от 5 до 10 тыс. руб. – для индивидуального предпринимателя; от 30 до 50 тыс. руб. – для компании²⁴. С 27 марта 2021 г. размер штрафов увеличивается: от 10 до 20 тыс. руб. – для индивидуального предпринимателя; от 60 до 100 тыс. руб. – для компании. Полагаем, самый надежный и менее затратный способ соблюсти требования Закона о персональных данных для тех компаний, чьи сайты содержат ПД субъектов, – закрыть сайты для незарегистрированных пользователей. По крайней мере, до тех пор, пока не сформируется судебная практика и не появится точная позиция Роскомнадзора относительно применения положений Закона о распространении ПД. Сложнее обстоит дело с компаниями, которые собирают ПД из открытых источников. Такие компании, на наш взгляд, обязаны получать у субъектов: согласие на обработку ПД, если компания хочет обрабатывать ПД без распространения; согласие на распространение, если компания хочет распространять ПД субъекта. Компаниям, которые распространяют ПД не в интернете, также необходимо получать у субъекта согласие на распространение, даже в том случае, если распространение ПД необходимо для исполнения договора в интересах субъекта. ¹ Федеральный закон от 30 декабря 2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”». ² Часть 11 ст. 10.1 Закона о персональных данных (далее – Закон). ³ Часть 15 ст. 10.1 Закона. ⁴ Пункт 1 ч. 1 ст. 6 Закона. ⁵ Пункт 5 ч. 1 ст. 6 Закона. ⁶ Часть 3 ст. 20 Закона. ⁷ Часть 5 ст. 21 Закона. ⁸ Пункт 1.1 ч. 1 ст. 3 Закона. ⁹ Часть 1 ст. 10.1 Закона. ¹⁰ Часть 9 ст. 9 Закона. ¹¹ Часть 1 ст. 10.1 Закона. ¹² Часть 9 ст. 10.1 Закона. ¹³ Часть 6 ст. 10.1 Закона. ¹⁴ Часть 8 ст. 10.1 Закона. ¹⁵ Часть 10 ст. 10.1 Закона. ¹⁶ Часть 4 ст. 10.1 Закона. ¹⁷ Часть 5 ст. 10.1 Закона. ¹⁸ Часть 12 ст. 10.1 Закона. ¹⁹ Часть 13 ст. 10.1 Закона. ²⁰ Часть 14 ст. 10.1 Закона. ²¹ Часть 2 ст. 10.1 Закона. ²² Пункт 10 ч. 1 ст. 6 Закона. ²³ Определение Верховного Суда РФ от 29 января 2018 г. № 305-КГ17-21291. ²⁴ Часть 1 ст. 13.11 КоАП РФ. Под ними понимают любые сведения, которые прямо или косвенно относятся к физическому лицу. Такая широкая трактовка позволяет отнести любую информацию о человеке к персональным данным. Федеральный закон о персональных данных является нормой прямого действия и должен соблюдаться всеми субъектами, получившими доступ к указанной информации. Когда пользователь оставляет свои сведения на сайте в интернете при приобретении какого-либо товара, ресурс становится хранителем (оператором) персональных данных, что накладывает на него определенные права и обязанности. Парсинг общедоступных данных с 1 марта 2021 запрещен Перечень ситуаций установлен в ст. 6 Закона №152-ФЗ. Важно следить за соблюдением требований закона: при осуществлении правосудия; при заключении договора потребительского кредитования; при заключении трудового договора; при защите прав и интересов гражданина; если при заключении гражданско-правового договора стороны достигли согласия об этом; в случаях, когда требования законодательства требуют принятия мер по обработке персональных данных. Закон содержит ряд норм о предоставлении персональных данных по запросам сторонних организаций и частных лиц. Без согласия гражданина сведения могут предоставляться только по запросу судебных и правоохранительных органов. В иных случаях факт несанкционированной передачи будет караться по УК РФ. При отправке уведомления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций у операторов часто возникает вопрос: нужно ли отправлять уведомление об обработке персональных данных в письме с распечатанным уведомлением или достаточно заполнить электронную форму на портале Роскомнадзора. ФЗ-152, как и п. 3.2 Методических рекомендаций по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 разрешают отправлять уведомление на бумажном носителе или в форме электронного документа. Несмотря на это полностью исключить бумажные носители из документооборота не удалось – так как правовым основанием для совершения регистрационных действий являются бумажные варианты документов, поэтому операторы обязаны направлять бумажные носители независимо от того, подавались ли они в электронном виде. На практике направление уведомления об обработке персональных данных в Роскомнадзор происходит в два этапа: 1) заполнение формы уведомления Роскомнадзора в электронном виде – необходимо для ускорения работы по внесению данных в реестр и получения готовой заполненной формы для печати на бумажном носителе; 2) отправка формы уведомления на бумажном носителе – является основанием для совершения Роскомнадзором регистрационных действий (уведомление регистрируется в уполномоченном органе и является основанием для внесения оператора в реестр). В будущем планируется полный переход на электронный документооборот, но до этого момента операторы не могут избежать бумажной работы и должны направлять оформленные и подписанные уведомления на бумажном носителе. ФЗ-152 не утверждает обязательную форму или бланк уведомления об обработке персональных данных. По закону главное – предоставить сведения, которые указаны в норме. Форма уведомления об обработке персональных данных, рекомендуемая к использованию Роскомнадзором, содержится в Приложении № 1 к Методическим рекомендациям по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017. Данная форма содержит сведения, требуемые ст. 22 ФЗ-152 и необходимые для включения в реестр операторов. На практике самый простой и быстрый способ получить заполненное уведомление об обработке персональных данных в Роскомнадзор – заполнить форму, предложенную на портале персональных данных и без изменений распечатать её на бумажном носителе для направления в Роскомнадзор. Далее в статье мы рассмотрим, как заполнить форму уведомления Роскомнадзора об обработке персональных данных. Неправильное заполнение уведомления об обработке персональных данных может оцениваться Роскомнадзором как предоставление неполных или недостоверных сведений об обработке данных. Несмотря на кажущуюся простоту заполнения уведомления, операторы часто сталкиваются с трудностями определения целей обработки персональных данных и продолжают указывать в уведомлении неполный перечень целей их обработки. Похожие записи: Кто является налогоплательщиками налога на прибыль организации ФСС возмещение расходов в 2021 году Санкт-Петербург Льготы студентам на жд 2021

Основание

Размер штрафа

Обработка персональных данных в случаях, не предусмотренных законодательством и несовместимая с целями сбора персональных данных.

Для физлиц: предупреждение или штраф от 2 000 до 6 000 руб.
Для должностных лиц: предупреждение или штраф от 10 000 до 20 000 руб.
Для юрлиц: предупреждение или штраф от 60 000 до 100 000 руб.

При повторном нарушении

Для физлиц: от 4 000 до 12 000 руб.;
Для должностных лиц: от 20 000 до 50 000 руб.;
Для ИП: от 50 000 до 100 000 руб.;
Для юрлиц: от 100 000 до 300 000 руб.

Обработка персональных данных без письменного согласия субъекта.

Для физлиц: от 6 000 до 10 000 руб.
Для должностных лиц: от 20 000 до 40 000 руб.
Для юрлиц: от 30 000 до 150 000 руб.

Уведомлять Роскомнадзор не нужно, если персональные данные:

относятся к субъектам, которых связывают с оператором трудовые отношения;
получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
являются общедоступными;
включают только ФИО субъектов персональных данных;
нужны для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
включены в федеральные автоматизированные информационные системы персональных данных, государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физическим, так и к юридическим лицам. Однако юридическим лицам следует предпринять ряд дополнительных мероприятий.

Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

Появляется новое основание, за несоблюдение которого могут оштрафовать (раньше за это не наказывали рублем). Невыполнение обязанности по соблюдению конфиденциальности ПДн влечет наложение штрафа:

на граждан — в размере от 10 до 20 тысяч рублей;
на должностных лиц — от 40 до 100 тысяч рублей;
на индивидуальных предпринимателей — от 100 до 300 тысяч рублей;
на юридических лиц — от 300 до 500 тысяч рублей.

Организация, физическое или юрлицо, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия владельца ПДн, если это не предусмотрено федеральным законом.

Любая передача ПДн (распространение, предоставление, доступ) является незаконной без согласия владельца ПДн и является нарушением конфиденциальности его ПДн.

Если ПДн сотрудников были переданы без их письменного согласия, то во-первых, это противозаконно, а во-вторых, за подобные действия будут штрафовать.

Вот типовые ситуации, которые будут подпадать под данную статью:

1. Передача ПДн работников третьим лицам:

в банк для целей выплаты заработной платы и иных материальных выплат, а также перечисления подотчетных средств;
в охранное предприятие в целях взаимодействия и реагирования;
в медицинские организации в целях проведения медицинских осмотров;
в страховые компании по договорам добровольного медицинского страхования;
в образовательные организации в объеме превышающем требования закона об образовании;
в целях организации командировок и участия в выставках;
в других целях, напрямую не связанных с должностными обязанностями сотрудника.

2. Передача ПДн клиентов, представителей клиентов, поставщиков, партнеров третьим лицам в целях:

организации мероприятий, маркетинговых акций, рекламы;
размещения отзывов, рекламных акций на сайте компании и других общедоступных источниках;
сбор персональных данных через онлайн-каналы (мессенджеры, социальные сети, формы обратной связи на сайте, онлайн-консультанты) без применения средств защиты, обеспечивающих их конфиденциальность при передаче через интернет.

3. Получение ПДн без подтверждения наличия согласия от человека или иных законных оснований у передающей стороны.

4. Предоставление доступа к ПДН внутри организации сотрудникам без должного документального оформления (должностные обязанности и/или локальные нормативные акты).

Персональные данные в 2021: как компаниям с ними работать и не получать штрафы

Новый КоАП еще не принят, но вектор внимания уже определен. Для того чтобы нововведения не стали для вас сюрпризом, необходимо в 2021 году провести оценку соответствия процессов обработки и защиты персональных данных требованиям законодательства.

Проводить ее необходимо не реже, чем раз в три года. Это установлено законом.

Изучить все источники поступления ПДн в организацию, цели поступления и состав данных. К примеру, нужно понимать, что источники ПДн клиентов и сотрудников разные, и состав ПДн тоже разный.
Проанализировать, где и как организация получает ПДн — наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность получения персональных данных, их состав и цели обработки. Получение всех ПДн, которые попадают в организацию, без исключения должны подтверждаться подобными документами: корректно составленное соглашение по обработке ПДн на сайте, с которого компания получает ПДн клиентов, Соглашение по обработке ПДн с сотрудниками.
Изучить, какие и чьи ПДн в организации обрабатываются (в разрезе категорий физических лиц). Ориентируясь на ПДн клиентов и сотрудников, видно, что процесс их обработки и хранения разный. Доступ к ПДн сотрудников имеют отдел кадров, бухгалтерия, а к клиентским данным — та же бухгалтерия и коммерческий отдел.
Проверить наличие утвержденных локальных нормативных актов, определяющих порядок доступа сотрудников к персональным данным. Документы, в которых прописано, кто и за что отвечает.
Проанализировать соответствие процесса обработки локальным нормативным актам. Зачастую на практике бывает несоответствие.
Изучить ваших получателей персональных данных: кому, для каких целей и в каком составе передаются персональные данные. Опять же, практика показывает, что в некоторых организациях к ПДн допускаются сотрудники, не имеющие к ним отношения.
Проанализировать, на каких условиях передаются ПДн третьим лицам — обязательно наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность передачи персональных данных. Если зачисление зарплаты сотрудникам компании происходит через зарплатный проект банка, то компания обязана с каждым сотрудником, участвующем в зарплатном проекте, подписать соглашение о передаче его ПДн в этот банк.
Определить, какие персональные данные стоит обезличивать. К примеру, это данные, чей срок хранения официально вышел, но при этом характеристики клиента имеют ценность без необходимости идентификации физического лица.
Определить, какие согласия уже не имеют силы и которые надо скорректировать. Отсутствие отлаженной системы работы с ПДн в прошлом означает, что, возможно, часть документов уже не актуальна.
Изучить, как защищаются персональные данные в компании и от кого они реально защищены — только от внешних злоумышленников или от внутренних тоже? Очень часто данные клиентов утекают вместе с увольняющимися сотрудниками коммерческих отделов.
Составить годовой план и реализовать его. Необходимо разработать поэтапный план по реализации этих пунктов с учетом объема работы и времени на их выполнения.

Утечка ПДн может обернуться для компании не только финансовыми убытками, но и потерей репутации на рынке и разрывом отношений с партнерами. Поэтому важно изучить законодательство и вовремя принять меры. И здесь есть два пути:

делать все самостоятельно (силами организации);
доверить выполнение требований закона компаниям, которые могут провести независимый аудит по обработке ПДн и решить выявленные проблемы.

Специфика согласия на обработку персданных, разрешенных к распространению, заключается в том, что оно подтверждает наличие разрешения от субъекта персданных на раскрытие его личной информации неопределенному кругу лиц. Начиная с 1 марта 2021 года такое согласие должно отбираться отдельно от иных согласий субъекта персданных.

Приказом Роскомнадзора, вступающем в силу с 1 сентября 2021 года, определены основные положения, которые должны быть отражены в данном документе, в том числе:

цели обработки персданных
срок действия согласия
категории и перечень персданных
сведения об информационных ресурсах оператора, на которых персданные будут предоставляться неопределенному кругу лиц

Также в документе субъект персданных может установить запреты или конкретные условия обработки части информации, в частности, запрет на какую-либо обработку персданных неограниченным кругом лиц (кроме непосредственного доступа к ним).

Срок действия требований является ограниченным – до 1 сентября 2027 года.

Также с 1 июля 2021 года будет доступна возможность получать такое согласие через специальную информационную систему Роскомнадзора.

В новой статье 10.1 Закона о персданных, действующей с начала марта, были установлены основные принципы обработки разрешенных к распространению персданных.

Так, в силу серьезности возможных последствий обнародования личных данных закон устанавливает, что молчание или бездействие субъекта персданных ни при каких обстоятельствах не может свидетельствовать о согласии на распространение.

Если личные данные оказались в публичном доступе по желанию самого субъекта или в результате противоправных действий, форс-мажора, то лица, осуществляющие их обработку, должны доказать ее законность.

В случае, если нарушаются законные требования к обработке разрешенных к распространению персданных, то субъект может обратиться с требованием о прекращении такой обработки к любому лицу, обрабатывающему такие данные, или непосредственно в суд.

Изменения в законе о персональных данных с 1 сентября 2021 года

С 27 марта 2021 года в Кодекс об административных правонарушениях были внесены изменения, касающиеся правонарушений в области обработки персональных данных.

Теперь за любые правонарушения, установленные статьей 13.11 КоАП, больше не может быть назначено предупреждение, нарушителю сразу грозит штраф. За повторное совершение ряда правонарушений предусмотрена повышенная ответственность, при этом срок давности привлечения к административной ответственности в данной области был увеличен до одного года.

Соблюдайте закон и удачи в бизнесе!

С 01 марта 2021 года вступают в силу новые правила обработки персональных данных, сделанных доступными неопределенному кругу третьих лиц «общедоступных персональных данных».

Поправки введены законом N 519-ФЗ от 30.12.2020 и существенным образом меняют порядок использования персональных данных, находящихся в общем доступе, и в первую очередь, размещенных на сайтах в сети Интернет.

Из закона исключается понятие «персональные данные, сделанные общедоступными субъектом персональных данных», используемое в качестве правового основания обработки таких ПДн любыми лицами (пп.10 п.1 ст.6 152-ФЗ). Взамен вводится понятие «персональные данные, разрешенные субъектом персональных данных для распространения».

Принципиальное отличие этих понятий в режиме использования персональных данных, доступ к которым предоставляется третьим лицам. Новые условия предусматривают получение отдельного согласия субъекта ПДн на их распространение и обработку третьими лицами, тогда как ранее такое согласие предполагалось (достаточно было доказать факт их публикации субъектом ПДн или с его разрешения).

Как следствие, с 01 марта 2021 года нельзя собирать и использовать опубликованные в Интернете сведения об отдельном лице или массово извлекать и осуществлять последующее использование персональных данных с сайтов и прочих ИСПДн в автоматическом режиме (посредством «парсинга»), если не получено согласие каждого субъекта на такие действия. Ссылка на то, что сведения «общедоступны» перестает работать.

Актуально на 15 сентября 2021

Это любая информация о физическом лице, позволяющая его определить. Закон перечисляет следующие пункты:

ФИО;
дата и место рождения;
паспорт, СНИЛС, ИНН;
адрес постоянной и временной регистрации;
образование;
телефон;
электронный адрес;
профили в социальных сетях и мессенджерах;
идентифицирующие личность фотографии и видеоматериалы;
семейное положение и состав семьи;
судимости;
размер доходов;
профессиональные навыки;
личностные характеристики;
раса и национальность;
взгляды в политике, религии, философии;
сексуальная ориентация;
здоровье;
биометрия, ДНК, отпечатки пальцев, особые приметы.

Изменения в ФЗ 152 «О персональных данных» с 01.03.2021

Как не столкнуться с полумиллионными санкциями? Самое верное правило — составить с помощью юристов всесторонне защищенный документ с развернутым списком ситуаций, в которых организации требуются ПД. Для этого нелишним будет изучить все представленные на сегодня в Сети образцы бланков и скомпилировать из них индивидуальный чек-лист под вашу компанию. Главное — ничего не делать необдуманно и заручиться помощью специалистов.

Оператор может быть привлечен к административной ответственности. До 27 марта 2021 г. размер штрафа составит:

от 5 до 10 тыс. руб. – для индивидуального предпринимателя;
от 30 до 50 тыс. руб. – для компании²⁴.

С 27 марта 2021 г. размер штрафов увеличивается:

от 10 до 20 тыс. руб. – для индивидуального предпринимателя;
от 60 до 100 тыс. руб. – для компании.

Полагаем, самый надежный и менее затратный способ соблюсти требования Закона о персональных данных для тех компаний, чьи сайты содержат ПД субъектов, – закрыть сайты для незарегистрированных пользователей. По крайней мере, до тех пор, пока не сформируется судебная практика и не появится точная позиция Роскомнадзора относительно применения положений Закона о распространении ПД.

Сложнее обстоит дело с компаниями, которые собирают ПД из открытых источников. Такие компании, на наш взгляд, обязаны получать у субъектов:

согласие на обработку ПД, если компания хочет обрабатывать ПД без распространения;
согласие на распространение, если компания хочет распространять ПД субъекта.

Компаниям, которые распространяют ПД не в интернете, также необходимо получать у субъекта согласие на распространение, даже в том случае, если распространение ПД необходимо для исполнения договора в интересах субъекта.

¹ Федеральный закон от 30 декабря 2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”».

² Часть 11 ст. 10.1 Закона о персональных данных (далее – Закон).

³ Часть 15 ст. 10.1 Закона.

⁴ Пункт 1 ч. 1 ст. 6 Закона.

⁵ Пункт 5 ч. 1 ст. 6 Закона.

⁶ Часть 3 ст. 20 Закона.

⁷ Часть 5 ст. 21 Закона.

⁸ Пункт 1.1 ч. 1 ст. 3 Закона.

⁹ Часть 1 ст. 10.1 Закона.

¹⁰ Часть 9 ст. 9 Закона.

¹¹ Часть 1 ст. 10.1 Закона.

¹² Часть 9 ст. 10.1 Закона.

¹³ Часть 6 ст. 10.1 Закона.

¹⁴ Часть 8 ст. 10.1 Закона.

¹⁵ Часть 10 ст. 10.1 Закона.

¹⁶ Часть 4 ст. 10.1 Закона.

¹⁷ Часть 5 ст. 10.1 Закона.

¹⁸ Часть 12 ст. 10.1 Закона.

¹⁹ Часть 13 ст. 10.1 Закона.

²⁰ Часть 14 ст. 10.1 Закона.

²¹ Часть 2 ст. 10.1 Закона.

²² Пункт 10 ч. 1 ст. 6 Закона.

²³ Определение Верховного Суда РФ от 29 января 2018 г. № 305-КГ17-21291.

²⁴ Часть 1 ст. 13.11 КоАП РФ.

Под ними понимают любые сведения, которые прямо или косвенно относятся к физическому лицу. Такая широкая трактовка позволяет отнести любую информацию о человеке к персональным данным. Федеральный закон о персональных данных является нормой прямого действия и должен соблюдаться всеми субъектами, получившими доступ к указанной информации.

Когда пользователь оставляет свои сведения на сайте в интернете при приобретении какого-либо товара, ресурс становится хранителем (оператором) персональных данных, что накладывает на него определенные права и обязанности.

Парсинг общедоступных данных с 1 марта 2021 запрещен

Перечень ситуаций установлен в ст. 6 Закона №152-ФЗ. Важно следить за соблюдением требований закона:

при осуществлении правосудия;
при заключении договора потребительского кредитования;
при заключении трудового договора;
при защите прав и интересов гражданина;
если при заключении гражданско-правового договора стороны достигли согласия об этом;
в случаях, когда требования законодательства требуют принятия мер по обработке персональных данных.

Закон содержит ряд норм о предоставлении персональных данных по запросам сторонних организаций и частных лиц. Без согласия гражданина сведения могут предоставляться только по запросу судебных и правоохранительных органов. В иных случаях факт несанкционированной передачи будет караться по УК РФ.

При отправке уведомления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций у операторов часто возникает вопрос: нужно ли отправлять уведомление об обработке персональных данных в письме с распечатанным уведомлением или достаточно заполнить электронную форму на портале Роскомнадзора.

ФЗ-152, как и п. 3.2 Методических рекомендаций по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017 разрешают отправлять уведомление на бумажном носителе или в форме электронного документа.

Несмотря на это полностью исключить бумажные носители из документооборота не удалось – так как правовым основанием для совершения регистрационных действий являются бумажные варианты документов, поэтому операторы обязаны направлять бумажные носители независимо от того, подавались ли они в электронном виде.

На практике направление уведомления об обработке персональных данных в Роскомнадзор происходит в два этапа:

1) заполнение формы уведомления Роскомнадзора в электронном виде – необходимо для ускорения работы по внесению данных в реестр и получения готовой заполненной формы для печати на бумажном носителе;

2) отправка формы уведомления на бумажном носителе – является основанием для совершения Роскомнадзором регистрационных действий (уведомление регистрируется в уполномоченном органе и является основанием для внесения оператора в реестр).

В будущем планируется полный переход на электронный документооборот, но до этого момента операторы не могут избежать бумажной работы и должны направлять оформленные и подписанные уведомления на бумажном носителе.

ФЗ-152 не утверждает обязательную форму или бланк уведомления об обработке персональных данных. По закону главное – предоставить сведения, которые указаны в норме.

Форма уведомления об обработке персональных данных, рекомендуемая к использованию Роскомнадзором, содержится в Приложении № 1 к Методическим рекомендациям по уведомлению о начале обработки персональных данных, утв. приказом Роскомнадзора № 94 от 30.05.2017. Данная форма содержит сведения, требуемые ст. 22 ФЗ-152 и необходимые для включения в реестр операторов.

На практике самый простой и быстрый способ получить заполненное уведомление об обработке персональных данных в Роскомнадзор – заполнить форму, предложенную на портале персональных данных и без изменений распечатать её на бумажном носителе для направления в Роскомнадзор. Далее в статье мы рассмотрим, как заполнить форму уведомления Роскомнадзора об обработке персональных данных.

Неправильное заполнение уведомления об обработке персональных данных может оцениваться Роскомнадзором как предоставление неполных или недостоверных сведений об обработке данных.

Несмотря на кажущуюся простоту заполнения уведомления, операторы часто сталкиваются с трудностями определения целей обработки персональных данных и продолжают указывать в уведомлении неполный перечень целей их обработки.