Выросли штрафы за обработку персональных данных — советы опытного юриста

Изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным (ПД), внес Федеральный закон от 30.12.2020 № 519-ФЗ.

Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.

В этой статье рассмотрим следующие вопросы:

Что изменилось в обработке персональных данных с 1 марта

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

  • Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.  
  • Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
  • В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Как прекратить передачу данных, разрешенных для распространения

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта. 

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию: 

  • ФИО; 
  • контактные данные;
  • перечень персональных данных, обработку которых нужно прекратить. 

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Требования к обработке персональных данных

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.

2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП.

Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

  • организующие и (или) осуществляющие обработку ПД;
  • определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД. 

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

  • ФИО 
  • дата рождения
  • адрес
  • телефон
  • электронный адрес
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

За что и на какие суммы штрафуют в 2021 году

27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

Последний раз административную ответственность в этой сфере усиливали в 2017 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.

Обратите внимание на следующие нововведения:

1.   За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.

2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.

Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.

3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.

Основание Размер штрафа
Обработка ПД в случаях, не предусмотренных законодательством и несовместимая с целями сбора ПД
  • Для физлиц: предупреждение или штраф — от 2 000 до 6 000 руб.
  • Для должностных лиц: предупреждение или штраф — от 10 000 до 20 000 руб.
  • Для юрлиц: предупреждение или штраф — от 60 000 до 100 000 руб.

При повторном нарушении

  • Для физлиц: от 4 000 до 12 000 руб.;
  • Для должностных лиц: от 20 000 до 50 000 руб.;
  • Для ИП: от 50 000 до 100 000 руб.;
  • Для юрлиц: от 100 000 до 300 000 руб.
Обработка ПД без письменного согласия субъекта 
  • Для физлиц: от 6 000 до 10 000 руб.
  • Для должностных лиц: от 20 000 до 40 000 руб.
  • Для юрлиц: от 30 000 до 150 000 руб.

При повторном нарушении

  • Для граждан: от 10 000 до 20 000 руб.;
  • Для должностных лиц: от 40 000 до 100 000 руб.;
  • Для ИП: от 100 000 до 300 000 руб.;
  • Для юрлиц: от 300 000 до 500 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПД, или сведениям по защите ПД
  • Для физлиц: 1 500 до 3 000 руб.
  • Для должностных лиц: от 6 000 до 12 000 руб.
  • Для юрлиц: от 30 000 до 60 000 руб.
  • Для ИП: от 10 000 до 20 000 руб.
Непредоставление субъекту ПД информации по их обработке
  • Для физлиц: предупреждение или штраф — от 2 000 до 4 000 руб.
  • Для должностных лиц: предупреждение или штраф — от 8 000 до 12 000 руб.
  • Для юрлиц: предупреждение или штраф — от 40 000 до 80 000 руб.
  • Для ИП: предупреждение или штраф — от 20 000 до 30 000 руб.
Невыполнение требования субъекта ПД или его представителя об уточнении, блокировке, уничтожении (если ПД неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)
  • Для физлиц: предупреждение или наложение штрафа в размере от 2 000 до 4 000 руб.
  • Для должностных лиц: предупреждение или штраф — от 8 000 до 20 000 руб.
  • Для юрлиц: предупреждение или штраф — от 50 000 до 90 000 руб.
  • Для ИП: предупреждение или штраф — от 20 000 до 40 000 руб.

При повторном нарушении

  • Для граждан: от 20 000 до 30 000 руб.
  • Для должностных лиц: от 30 000 до 50 000 руб.
  • Для ИП: от 50 000 до 100 000 руб.
  • Для юрлиц: от 300 000 до 500 000 руб.
Неисполнение обязанности по сохранности ПД, что привело к неправомерному или случайному доступу к ПД и стало причиной их уничтожения, изменения, блокирования, копирования
  • Для физлиц: от 1 500 до 4 000 руб.
  • Для должностных лиц: от 8 000 до 20 000 руб.
  • Для юрлиц: от 50 000 до 100 000 руб.
  • Для ИП: от 20 000 до 40 000 руб.
Невыполнение государственным или муниципальным органом обязанности по обезличиванию ПД; несоблюдение требований по обезличиванию ПД
  • Для должностных лиц: предупреждение или наложение административного штрафа — от 6 000 до 12 000 руб. 

Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.

В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?  

Что делать владельцу сайта, чтобы избежать штрафов

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально. 

Например, на сайте Microsoft этот документ называется заявление о конфиденциальности.

Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.   

Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

  • ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
  • цель обработки ПД;
  • перечень ПД, на обработку которых субъект дает согласие;
  • наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
  • срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
  • подпись субъекта ПД.
Читайте также:  Как доказать свою невиновность при отсутствии свидетелей? - советы опытного юриста

Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе. 

Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда. 

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД. 

Случаи, когда уведомление Роскомнадзора не требуется

Уведомлять Роскомнадзор не нужно, если ПД:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными;
  • включают только ФИО субъектов ПД;
  • нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;  
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

Конфиденциальность персональных данных: когда ее не нужно обеспечивать

В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания ПД;
  • в отношении общедоступных ПД;
  • если данные включают только ФИО субъектов ПД;
  • для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
  • если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
  • если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда не нужно получать согласие на обработку персональных данных

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:

  • осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
  • осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
  • осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
  • необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
  • необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
  • осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
  • осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.

Что такое портал персональных данных

Сегодня все новости, аналитические материалы, важные документы, рекомендации по обработке персональных данных, реестр операторов и другую необходимую информацию можно найти на портале персональных данных. Ответственность за ресурс возложена на Роскомнадзор. 

Как еще планируют ужесточить обработку персональных данных 

Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.

Министерство предлагает запретить операторам: 

  • использовать какую-либо дополнительную информацию, с помощью которой можно определить принадлежность персональных данных конкретному субъекту;
  • помимо обезличенных данных передавать третьим лицам информацию, позволяющую идентифицировать человека;
  • деобезличивать данные, за исключением случаев, когда необходимо защитить жизнь или здоровье человека.
  • Как уточнили в Минцифре, есть только одна причина, по которой обезличенные персональные данные можно использовать без согласия — в исследовательских и статистических целях.
  • Более детальная информация об обработке персональных данных — в материалах наших экспертов:
  • Пять базовых принципов закона о персональных данных, о которых нужно знать
  • Как подготовиться к плановой проверке ФСБ по персональным данным?
  • Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Как работодателю не налететь на штраф из-за защиты персональных данных сотрудников

Работодатель, принимая на работу нового сотрудника, запрашивает у него согласие на обработку персональных данных.

Сегодня разберем, что такое персональные данные, какой правовой режим устанавливается в отношении персональных данных и какие обязанности возникают у работодателя.

Трудовой кодекс РФ (далее — ТК РФ) устанавливает особенности защиты, а также хранения, использования и передачи персональных данных работника в Главе 14 «Защита персональных данных работника». Правила работы с персональными данными содержатся в Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ.

Под персональными данными понимаетсялюбая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Т.е. персональными данными является огромное количество информации, позволяющей идентифицировать человека, начиная от даты рождения, фамилии, имени, отчества, и заканчивая информацией о расовой, национальной принадлежности человека, его политических взглядах.

Можно привести примерный перечень персональных данных работника:

  • фамилия, имя, отчество;
  • дата рождения;
  • адрес места регистрации/места жительства;
  • сведения, содержащиеся в документах, предоставляемых при трудоустройстве: паспорте, трудовой книжке, документе об образовании, свидетельстве о государственном пенсионном страховании;
  • сведения о трудовом (страховом) стаже;
  • сведения о привлечении работника к материальной ответственности;
  • сведения о состоянии здоровья и результатах медицинского обследования работника;
  • любые иные сведения, позволяющие определить работника.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В терминах Закона № 152-ФЗ организация-работодатель является оператором персональных данных, так как организует и осуществляет обработку персональных данных, а также совершает иные действия с персональными данными.

Следовательно, работодатель при принятии на работу работника, оформляя должным образом все необходимые документы, будет являться оператором, осуществляющим обработку персональных данных.

Источник получения персональных данных

Источником получения персональных данных о работнике может являться не только он сам. Однако, для исключения возможных неточностей все персональные данные работника следует получать у него самого.

Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.

Например, если работодатель решит получить дополнительную информацию о профессиональной подготовке работника в другой организации, то ему необходимо получить письменное согласие работника на такой запрос. Для получения согласия работодатель может направить работнику уведомление о получении персональных данных работника от третьих лиц с просьбой дать согласие на получение таких данных.

Работа с персональными данными

Согласие на обработку персональных данных оформляется исключительно в письменной форме.

Однако из данного правила имеются исключения.

В частности, допускается обработка персональных данных в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

Данное правило распространяется и на стороны трудового договора, то есть работника и работодателя.

Читайте также:  Понятие и виды жилищных прав - советы опытного юриста

Из сказанного следует, если работодатель получает от работника, хранит и передает лишь ту информацию, которая необходима для исполнения трудового договора, получение согласия работника на такие действия не требуется.

Возникает большое количество вопросов относительно контактных данных работника, ведь отсутствие такой информации не влечет невозможность исполнения трудового договора.

Согласно статье 65 ТК РФ предоставление каких-либо документов с контактными данными не требуется.

Поэтому, если работодатель желает получить такого рода информацию (а также иную информацию, неполучение которой не влечет невозможность исполнения договора), ему необходимо получить на это согласие работника.

  • Между тем, даже если у работника не берется согласие на обработку персональных данных, в целях соблюдения положений статьи 86 ТК РФ работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
  • Статьей 88 ТК РФ установлены требования к передаче персональных данных работника.

Так, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника и в иных предусмотренных законодательством случаях.

  1. Были даны разъяснения, в каких случаях при передаче персональных данных работника третьим лицам согласия работника не требуется:
  • в Фонд социального страхования РФ, Пенсионный фонд РФ;
  • в банковские организации, открывающие и обслуживающие банковские карты для начисления заработной платы в случаях:
  • когда договор на выпуск банковской карты заключался напрямую с работником и в его тексте предусмотрены положения, предусматривающие передачу работодателем персональных данных работника;
  • наличия у работодателя доверенности на представление интересов работника;
  • когда соответствующая форма и система оплаты труда прописана в коллективном договоре

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований законодательства, а именно путем утверждения Положения о хранении и использовании персональных данных работников. В Положении стоит указать порядок допуска к работе с персональными данными, перечень данных, с которыми работают должностные лица, порядок передачи данных внутри и за пределы организации.

  • Доступ к персональным данным работника должен быть разрешен только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
  • Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет собственных средств.

Отдельные вопросы порядка работы с персональными данными

Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в частности, относится обработка персональных данных для целей бухгалтерского и налогового учета.

Также в случаях наличия согласия работника работодатель вправе хранить копию трудовой книжки уволенного работника.

Интересна позиция Роструда при оформлении пропусков для доступа к месту работы, которые представляют собой копию паспорта работника.

Так, на сайте Роструда был задан вопрос, нарушает ли положение о защите персональных данных предъявление такого рода пропуска сотрудникам охранной организации (то есть третьему лицу).

По мнению Роструда, оформление такого рода пропусков и обязание работников предъявлять такие пропуска сторонней организации возможно только с письменного согласия работника.

Необходимо отметить, что в случае хранения в личном деле каких-либо документов, касающихся родственников работников (например, копия свидетельства о рождении ребенка для получения вычета, копии свидетельства о заключении брака, др.), работодатель должен получить согласие на обработку персональных данных либо от совершеннолетних членов семьи, либо от самого работника, как полномочного представителя своих несовершеннолетних детей.

Кроме того, в целях соблюдения положений законодательства о персональных данных, не допускается издание одного приказа, например, о переводе нескольких работников на новые должности, так как такой приказ будет нарушать конфиденциальность персональных данных: в приказ включается информация о заработной плате каждого работника, а такие сведения не подлежат разглашению третьим лицам.

Многих работодателей интересует вопрос о возможности ведения видеонаблюдения на территории организации и необходимости получения согласия работников. Из статьи 22 ТК РФ вытекает право работодателя осуществлять контроль за трудовой деятельностью работников.

Формы такого контроля законодательством не установлены. Они закрепляются локальными нормативными актами, действующими в организации.

Следовательно, для введения системы видеонаблюдения работодателю необходимо издать соответствующий локальный нормативный акт, с которым ознакомить работников.

При осуществлении контроля работодатель обязан соблюдать конституционные права граждан, а также требования законодательства о защите персональных данных работников.

Ответственность за нарушения в сфере обработки персональных данных

Статьей 13.11 КоАП РФ предусмотрена ответственность за обработку персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, не совместимая с целями сбора персональных данных. Организация по этой норме будет оштрафована на сумму от 30 000 до 50 000 рублей.

Частью 2 статьи 13.

11 КоАП РФ выделен самостоятельный состав правонарушения, который образует обработка персональных данных без письменного согласия их субъекта (работника) либо обработка персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие.

Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации — от 15 000 до 75 000 рублей.

По материалам журнала «Наша бухгалтерия»

Распространение персональных данных: новые правила

В 2021 году в России серьезно ужесточились правила обработки персональных данных. Теперь операторы должны получать отдельное специальное согласие на распространение ПД.

Параллельно с этим серьезно выросли штрафы за нарушение законодательства в области персональных данных.

Старший юрист Центра защиты прав СМИ Светлана Кузеванова в наших новых рекомендациях объясняет, кого коснутся изменения, каким должно быть согласие и всегда ли нужно его получать.

1. ЧТО ТАКОЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ И ИХ ОБРАБОТКА?

Персональные данные (ПД) − это любая информация, прямо или косвенно относящаяся к физическому лицу, с помощью которой он может быть идентифицирован.

Закрытого перечня таких данных не существует – к ним относят любые сведения, по которым можно идентифицировать человека: ФИО, паспортные данные, ИНН, СНИЛС, место работы и должность, сведения об образовании, имуществе и здоровье, cookie в браузере пользователя, семейное и социальное положение, а также изображение человека вкупе с другими данными. Для определения того, могут ли сведения идентифицировать человека, важны скорее не сами данные, а их совокупность.

Обработка персональных данных — это любое действие или операция, которые совершается с персональными данными. Например, к обработке относят, в том числе, сбор, запись, систематизацию, накопление, хранение, распространение или уничтожение персональных данных.

2. ЧТО БЫЛО РАНЬШЕ?

С 2006 года в России действует Федеральный Закон «О персональных данных».

  Согласно ему сбор, хранение и иная обработка персональных данных могут осуществляться только с согласия человека, которому эти персональные данные принадлежат.

Это согласие можно получить в письменной или любой другой форме, позволяющей подтвердить факт его получения. Например, вполне подходит кнопка на сайте «Я даю согласие на обработку своих персональных данных».

3. ЧТО ИЗМЕНИЛОСЬ?

В конце 2020 года в Закон «О персональных данных» были внесены изменения — появилась новая статья 10.1  «Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения». Она начала действовать с марта 2021 года.

Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Если раньше нужно было брать только одно согласие на обработку (которая включала в себя и распространение) персональных данных, то теперь для их распространения нужно еще одно — специальное (в нем должны быть данные, перечень которых утвержден Роскомнадзором, об этом читайте ниже).

Получается, что до вступления в силу этих изменений было достаточно, если на сайте, опубликована политика конфиденциальности и есть кнопка, при нажатии которой человек дает согласие на обработку персональных данных, теперь же, в случае, если вы после планируете распространять эти данные, то такой кнопки уже недостаточно и человек должен дать отдельное согласие.

4.  КОГО КОСНУТСЯ НОВЫЕ ПРАВИЛА?

Дополнительное согласие нужно брать только в том случае, если вы распространяете собранные персональные данные для неопределенного круга лиц. Поэтому изменения коснутся всех, кто это делает. Например:

  • Компании, на сайтах которых есть раздел “Сотрудники”.
  • Сайты, на которых создаются профайлы пользователей, блогеров, экспертов и т.д.
  • Ресурсы для аренды жилья, на которых можно посмотреть информацию о съёмщике или арендаторе, и им подобные.
  • Сервисы, на которых публикуется информация о специалистах в разных областях и отзывы на них, и так далее.
Читайте также:  Оборотоспособность исключительного права на результаты интеллектуальной деятельности - советы опытного юриста

Во всех этих случаях теперь для распространения персональных данных людей нужно их согласие. Если человек не дал его, то вы не имеете права их распространять.

Если же вы только собираете персональные данные, или же собираете и распространяйте их в обезличенном виде, например, в форме статистики, то изменения вас не коснутся.

5. ТАК ЧТО ЗА СОГЛАСИЕ? КАКИМ ОНО ДОЛЖНО БЫТЬ?

1 сентября начал действовать Приказ Роскомнадзора «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Согласно документу согласие должно содержать:

  • ФИО субъекта персональных данных.
  • Его контактную информацию (номер телефона, почтовый адрес или адрес электронной почты).
  • Сведения об операторе персональных данных:
    — для организации: наименование, адрес, указанный в ЕГРЮЛ, ИНН, основной государственный регистрационный номер;
    — для гражданина: ФИО, место жительства или место пребывания;
    — для ИП: ФИО, ИНН, основной государственный регистрационный номер.
  • Сведения об информационных ресурсах оператора, где будут распространяться персональные данные.
  • Цель обработки персональных данных.
  • Категории и перечень персональных данных, на обработку которых человек дает согласие.
  • Категории и перечень персональных данных, для обработки которых человек устанавливает запреты и условия, а также перечень этих запретов и условий (заполняется по желанию субъекта ПД)
  • Условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации только для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта ПД).
  • Срок действия согласия.

Это согласие может быть дано непосредственно оператору или через информационную систему Роскомнадзора. Оно обязательно должно быть активным — согласно пункту 8 статьи 10.1

«молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения»ю

Важно:получив согласие на обработку персональных данных человека, оператор обязан в течение трех дней опубликовать информацию об «условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения». То есть фактически он должен проинформировать всех, на каких условиях он получил разрешение.

6. СОГЛАСИЕ МОЖНО ОТОЗВАТЬ?

Человек можете отозвать свое разрешение на обработку персональных данных и потребовать прекратить их распространение. Для этого человек должен направить требование оператору. В нем должны быть указаны:

  • ФИО субъекта персональных данных;
  • контактная информация;
  • перечень персональных данных, обработка которых подлежит прекращению.

В этом случае действие согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается в момент получения оператором требования от человека.

Кроме того, человек может обратиться с требованием прекратить распространение его персональных данных, на которое он ранее дал разрешение, к любому лицу, обрабатывающему его персональные данные с нарушением закона. В этом случае распространение должно быть прекращено в течение трех дней. Также человек, чьи персональные данные, разрешенные ранее для распространения, обрабатываются с нарушениями, может подать иск в суд.

7. ЕСТЬ СЛУЧАИ-ИСКЛЮЧЕНИЯ, КОГДА МОЖНО РАСПРОСТРАНЯТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ БЕЗ СОГЛАСИЯ?

Да. Все описанное не относится к случаям, когда персональные данные обрабатываются органами власти в целях выполнения возложенных на них законом функций, полномочий и обязанностей. Кроме того, в самой статье 10.1 есть еще одно исключение:

«Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации».

Получается, что если субъект персональных данных запретил распространять информацию о нем, вы все равно можете это делать, если есть, например, общественный интерес.

8. КАК ЭТО ВСЕ КАСАЕТСЯ СМИ?

С точки зрения распространения информации именно в публикациях СМИ, то будем надеяться, что почти никак: в Законе «О персональных данных» есть общий список исключений, которые позволяют обрабатывать персональные данные без согласия субъекта. Все они прописаны в статье 6. Из них к деятельности СМИ применимы лишь некоторые. Например, обрабатывать (в том числе и распространять) персональные данные человека без его согласия можно, если:

  • обработка персональных данных необходима для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Под последним исключением имеются в виду ситуации, когда персональные уже опубликованы по требованию закона. Например, сюда относят декларации госслужащих, данные из открытых реестров, персональные сотрудников на сайте органов власти и т.д. Это все случаи, когда закон требует раскрывать информацию о людях.

Но помните, что в отдельных случаях редакциям все-таки придется брать дополнительные согласия, ведь не все деятельность редакций укладывается в исключения. Так, дополнительное согласие на распространение персональных данных нужно будет, если, например, редакция публикует списки победителей конкурса или данные о сотрудниках редакции на своем сайте.

9. А ЕСЛИ ЧЕЛОВЕК САМ ОПУБЛИКОВАЛ СВОИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ?

До вступления в силу изменений в закон, действительно, обрабатывать персональные данные можно было без согласия человека, если он сам их сделал общедоступными, например, опубликовал в социальных сетях. Однако теперь это исключение действовать перестало. Более того, в статье 10.

1 отдельным пунктом прописано, что в случае, если человек сам раскрыл неопределенному количеству лиц свои персональные данные, но не дал согласие оператору на их распространение, то доказать законность использования персональных данных должен каждый, кто их распространит без разрешения.

10. ОТВЕТСТВЕННОСТЬ

За нарушение этих правил предусмотрена ответственность по статье 13.11 Кодекса об административных правонарушениях — «Нарушение законодательства Российской Федерации в области персональных данных».

Источник: Центр защиты прав СМИ

Leave a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *