Pravo-76.ru

Юридический журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Изменения в 152ФЗ О персональных данных на 2021 год

Закон о персональных данных: что поменялось и как теперь правильно

Без предисловий и вступлений – актуализируем уже существующую статью на эту тему «Политика конфиденциальности» – разберемся с нововведениями и узнаем, как теперь надо делать.

Напомню, персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

То есть, это фамилия-имя-отчество, дата рождения, паспорт/СНИЛС, номер телефона, e-mail и иные идентификаторы в соцсетях и мессенджерах, место проживания, сведения о семейном положении/о родственниках, сведения о зарплате, информация о судимостях, индивидуальные данные (политические и религиозные взгляды, раса, национальность), фото и/или видео, которые позволяют идентифицировать личность, биометрические данные.

Если копнуть немного глубже, то законодатель подразделяет персональные данные на несколько видов:

  • Общедоступные – те данные, на доступ к которым субъект дал свое письменное согласие, а не те, которые находятся в общем доступе, как вы могли подумать =);
  • Специальные – данные, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 ФЗ «О персональных данных») – здесь установлены определенные порядки обработки персональных данных;
  • Биометрические – данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (ст. 11 152-ФЗ) – это генетическая информация, отпечатки пальцев и т.д. – также установлен определенный порядок обработки персональных данных;
  • Иные – это все остальное, например, e-mail, IP-адрес, геолокация.

Иные важные изменения, которые уже вступили в силу

В новой статье 10.1 Закона о персданных, действующей с начала марта, были установлены основные принципы обработки разрешенных к распространению персданных.

Так, в силу серьезности возможных последствий обнародования личных данных закон устанавливает, что молчание или бездействие субъекта персданных ни при каких обстоятельствах не может свидетельствовать о согласии на распространение.

Если личные данные оказались в публичном доступе по желанию самого субъекта или в результате противоправных действий, форс-мажора, то лица, осуществляющие их обработку, должны доказать ее законность.

В случае, если нарушаются законные требования к обработке разрешенных к распространению персданных, то субъект может обратиться с требованием о прекращении такой обработки к любому лицу, обрабатывающему такие данные, или непосредственно в суд.

Ограничения и условия использования персональных данных

Наибольшие затруднения с правовой и технической стороны вызывают изменения 152-ФЗ в части возможности установления субъектом персональных данных в согласии ограничений и условий их использования.

Оператор ПДн обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения (п.1 ст.10.1 ФЗ 152).

Если в согласии прямо не указано, что субъект не установил запретов и условия их использовании или не определил категории и перечень ПДн, к которым такие запреты и условия относятся, оператор ПДн вправе осуществлять их обработку без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц (п.5 ст.10.1 ФЗ 152).

На основании п.9 новой статьи 10.1 ФЗ 152, в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

При этом оператор обязан обеспечить субъекту возможность установления запретов и условий использования персональных данных. Отказ оператора в установлении субъектом персональных данных предусмотренных выше запретов и условий, не допускается.

Более того оператор, оператор обязан в срок не позднее 3 рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения (п.10 ст.10.1 ФЗ 152).

Иными словами, для обеспечения возможности использования третьими лицами опубликованных в общем доступе персональных данных, помимо ознакомления с ними (получения доступа), владелец сайта (оператор ИСПДн) обязан получить согласие субъекта на их распространение. Одновременно оператор должен обеспечить возможность установления запретов и условий использования отдельных категорий и перечня ПДн и опубликовать данную информацию.

Представьте себе сайт для поиска работы, на котором публикуются резюме соискателей, или доску объявлений, где есть контактные данные пользователей. Как обеспечить с 1 марта возможность копирования с них персональной информации пользователей, размещенной в общем доступе?

Выше мы рассмотрели 2 варианта правовых оснований для обработки ПДн: по договору и на основании согласия. Что необходимо сделать в каждом из указанных случаев?

Читать еще:  Министерство социального развития опеки и попечительства Иркутской области

При наличии договора с субъектом ПДн согласие необходимо получать для обеспечения возможности копирования и последующего использования персональных данных неопределенным кругом лиц. Если такой задачи перед администрацией сайта не стоит, можно ограничиться включением в соглашение (договор) с пользователем и политику конфиденциальности, условий о возможности из предоставления заранее определенному кругу лиц (например, агентствам по подбору персонала или работодателям в примере с сайтами поиска работы).

Если владелец сайта по каким-то причинам намерен распространять ПДн пользователей заранее неопределенному кругу лиц (например, любым интернет-пользователям), потребуется выполнить план мероприятий по ограничению копирования третьими лицами персональных данных пользователей до получения тельных согласий, обеспечению возможности установления различных запретов и условий использования таких данных и публикации таких сведений совместно с такими данными.

Полагаем, что операторов, желающих делиться данными со всеми, найдется не много. Поэтому поправки в ФЗ 152 в целом можно воспринимать в положительном ключе для большинства агрегаторов, поскольку они явным образом запрещают парсинг. Для корпоративных сайтов новшества не несут ничего хорошего, т.к. потребуется получать отдельные согласия со всех субъектов, персональные данные которых у них публикуются.

Как изменения в законе повлияют на работу бизнеса

Пока получается картина, что предпринимателям придется сделать упор на работу с документами. Потому что под действие закона попадают типовые ситуации, когда используются персональные данные:

  • Взаимодействие с банками. Отправка данных для оформления зарплаты или других выплат.
  • ЧОП. Для оформления пропуска на территорию предприятия или офисного здания.
  • Медицинские центры и страховые компании. Осмотры или диспансеризация сотрудников, ОМС.
  • Образовательные учреждения. Учеба или повышение квалификации сотрудников.
  • Туристическая сфера. При покупке билетов и бронировании проживания в командировках.

Наверное, больше всего проблем появится в рекламных и маркетинговых акциях. Например, компания получила от партнеров базу мобильных номеров для обзвона. По новым правилам, люди из базы должны дать согласие на это. Поэтому они могут потребовать, чтобы им не звонили и перестали давать контакты на сторону. В принципе они могут пожаловаться и в контролирующие органы.

Сергей Белов считает, что в ближайшее время правила продвижения бизнеса поменяются:

«Ужесточение правил приведет к повышению издержек при работе с персональными данными клиентов и внесет дополнительные ограничения в рекламные возможности. В последующие несколько лет с большой вероятностью мы увидим сокращение рынка рекламных оповещений с помощью e-mail, SMS, звонков. Бизнес станет бережнее работать с клиентами»

С этим согласен и Александр Штыров:

«Необходимо привыкнуть подписывать согласия на обработку ПД. Любая рекламная кампания, маркетинговое мероприятие должны проводится с учетом требований. Поэтому нужно предусмотреть максимальные возможности в форме согласия. Это залог отсутствия штрафов. Кроме того, стоит помнить, что при обращении клиента с требованием удалить персональные данные, лучше сделать это сразу, чтобы не получить штраф»

Закон о персональных данных 2021 не принесет радикальных изменений для бизнеса, но теперь придется аккуратнее работать с любыми данными клиентов и сотрудников.

Специалисты рекомендуют привести в порядок документы и переписать соглашения.

Что изменилось в защите персданных

Глобальных изменений несколько:

  • согласия на обработку персональных данных «по умолчанию» нет, его необходимо оформить документально (исключения — государственный, общественный и публичный интерес);
  • возможность выбора персональных данных для обработки и публикации;
  • возможность установления субъектом запретов на передачу (кроме предоставления доступа) этих персональных данных неограниченному кругу лиц, на обработку или условия обработки;
  • субъект вправе запретить использование своих данных и отозвать согласие.

Объединяет новации самое важное — понятия общедоступных персональных данных больше не существует. В новой редакции статьи 3 ФЗ о персданных указано:

Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом.

Это значит, что оператор персональных данных обязан получить от их владельца четкое согласие на распространение и обработку. Без такого согласия публиковать их запрещено, даже на корпоративных сайтах. Согласие не обязательно дается в письменном виде, оно может быть электронным или устным, но выраженным четко и с доказательствами. Для упрощения получения операторами согласия владельцев Роскомнадзор запустит специальный реестр-информационную систему, с собранной в ней всей информации о данных или отозванных согласиях, сроках и датах и об объеме персональных данных, подлежащих обработке и распространению. Пока такой ИС нет, она находится в разработке. Возможно ее успеют ввести в работу до марта.

Эксперты КонсультантПлюс разобрали, как работать с персданными по новым правилам. Используйте эти инструкции бесплатно.

Читать еще:  Центр тестирования и развития Гуманитарные технологии при МГУ

Как распространять персональные данные в 2021 году

Пробегусь по пунктам новой статьи 10.1 Закона «О персональных данных». Это она определяет особенности публикации персональных данных. Подумайте заранее, как реализовать в вашей деятельности эти новшества.

1. Возможность выбора

Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Это может выглядеть так: согласен на публикацию ФИО, не согласен на публикацию даты рождения. Посмотрим, что скажет РКН. Совершенно точно придется поломать голову над формулировками.

2. Последовательные доказательства

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, один сайт написал про чиновника, второй сделал рерайт новости, третий — просто ее перепостил. Чиновник обиделся и написал жалобу в РКН.

В этом примере доказывать, что есть общественный интерес к персональным данным чиновника будут все три сайта. Вряд ли у них будет согласие на распространение ПД чиновника. А других законных оснований нет.

3. Случайно все произошло

В случае если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, произошел слив базы данных банка в сеть. Кто-то их скопировал и опубликовал. Значит, он будет доказывать законность распространения этой информации. Не знаю, получится ли у него это.

4. Четкость формулировок

В случае если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных. Такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

Речь идет о том, что если вы намудрите в своей форме согласия, то обрабатывать персональные данные можно, но только без распространения.

5. Если не следует, то не следует

В случае если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

Тот же пример: намудрили непонятного в форме согласия — публиковать нельзя.

6. Как вручить согласие

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

  • непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

С первым случаем все понятно, со вторым пока непонятно. Потому что Роскомнадзор еще не придумал такую систему. Когда придумает и запустит — непонятно. Если к 1 марта 2021 года не придумает, то единственным способом остается прямая передача согласия субъектом оператору. Это понятно, кэп? )

7. Как будет работать ИС Роскомнадзора

Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

Роскомнадзор все придумает, напишет и нам расскажет. Когда — непонятно.

8. Молчание не является согласием

Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Многозначительно промолчать в ответ на вопрос: «даете свое согласие на публикацию ваших данных на нашем сайте?» — означает « нет » .

9. Отказать запрещать нельзя

В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

Читать еще:  Как подать заявление в полицию о мошенничестве через интернет

Например, человек может разрешить опубликовать свои ФИО и возраст в отзывы на товар. Но тут же запретить передавать кому-нибудь еще. Например, вашему рекламному агентству. И ограничить человека в этом праве нельзя.

10. Отсроченный пункт

Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

Этот пункт вступит в силу с 1 июля 2021 года, если ничего не изменится. Пока я не понял, где оператор должен что-то публиковать, зачем это вообще нужно. «Посмотрим, что скажет Роскомнадзор» (цы).

11. Общественный или публичный интерес

Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

Человеку нельзя запретить публиковать персональные данные в перечисленных случаях. Но наличие нужного интереса должен доказывать оператор, опубликовавший информацию. Четких критериев значимости интересов законодательство не определяет, поэтому нужно каждый случай рассматривать индивидуально.

12. Запретить можно в любой момент

Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

Субъект потребовал удалить информацию, оператор обязан исполнить. Если только нет других случаев обработки персональных данных без согласия субъекта. Например, общественный интерес из пункта 11.

13. Запрет с момента получения требования

Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного выше, в пункте 12.

Ранее выданное согласие превращается в тыкву в момент получения оператором отзыва согласия.

14. Требование нужно выполнить быстро

Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

Помните пример про три сайта и чиновника? Так вот, чиновник может потребовать удалить информацию как с одного, так и со всех трех. Где увидит статью о себе, туда и напишет. А может пойти сразу в суд. Соответственно, каждый сайт должен прекратить публикацию данных чиновника в течение трех дней.

15. . но не всем

Требования статьи 10.1 не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.

Кратко — им можно. Точка.

Выводы

Важно! Статья 15.5 Закона «Об информации. » позволяет Роскомнадзору по решению суда блокировать сайты, которые допускают нарушения законодательства в области персональных данных. А пункт 14 статьи 10.1 Закона « О персональных данных » позволяет оспаривать отказ в удалении персональных данных в суде.

Что делать со старыми согласиями, полученными до 1 марта 2021 года? Они превращаются в тыкву. Для распространения нужно получать отдельное согласие. Но согласие остается возможным для остальных целей.

Когда получать новое согласие? Не раньше, чем Роскомнадзор утвердит его форму. Не позже, чем 28 февраля 2021 года.

Предупреждение: не спешите переподписывать согласия и перезаключать договоры. Прежде проконсультируйтесь со своим юристом!

Что будет, если нарушать

Штраф. С 1 июля 2017 года действуют поправки в ст. 13.11 КоАП.

Помимо штрафов, оператор будет внесен в «Реестр нарушителей прав субъектов персональных данных». А еще придется подготовиться к проверке.

Отнеситесь к персональным данным с ответственностью, чтобы не стать жертвой мошенников.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector