О публикации и защите персональных данных в 2021 — что изменится в 152-ФЗ
Приняты поправки в 152-ФЗ в части распространения ПДн неограниченному кругу лиц. 30.12.2020 г. Президентом подписан № 519-ФЗ «О внесении изменений в Федеральный закон 152-ФЗ», который вступит в силу с 1.03.2021 года (кроме абз.10 п.5 ст.1). Полностью действие нового закона о персональных данных начнется 1.07.2021 года.
Требования к защите персональных данных становятся все жестче — скоро в два раза увеличат штрафы. Невозможно пройти проверку РКН, если нет знаний о том, что такое персональные данные и как их правильно обрабатывать. Пройдите наш специальный дистанционный курс и проходите проверки без ошибок. |
Санкции в сфере защиты персональных данных ужесточаются. Новый закон о конфиденциальности личных данных строго охраняет неприкосновенность информации о субъекте ПД.
Подумайте об этом, когда будете выкладывать фотографии мероприятий компании в Инстаграм, ВК, Одноклассники, другие соцсети и на корпоративные сайты. Давайте подробнее рассмотрим в чем эти изменения.
Скачайте образцы документов для работы:
Требования к содержанию согласия на распространение ПД |
Общедоступные данные или разрешенные для распространения?
Из обращения убирается понятие «общедоступные персональные данные» — п.10 признан утратившим силу. Окончательно утверждена норма — любую личную информацию о субъекте можно размещать только с его прямого согласия.
Важно!
Новое положение закона — персональные данные, к которым возможен доступ любых лиц — это ПД, разрешенные их владельцем для распространения. |
Внесены изменения в закон о персональных данных в части особенности обработки личных сведений, разрешенных владельцем для распространения. Пункт 1.1 статьи 3 №152-ФЗ теперь звучит так:
ПД, разрешенные субъектом для распространения, — это те ПД, к которым самим субъектом ПД предоставлен доступ неограниченного круга лиц.
Доступ предоставляется путем дачи согласия на обработку ПД, которые разрешены субъектом для распространения в порядке, предусмотренном настоящим ФЗ. |
Этот пункт закона о данных в интернете означает, что размещать где-либо сведения о человеке без его согласия нельзя — ни на корпоративном сайте, ни на своей страничке в Одноклассниках или другой соцсети — нигде.
Каким должно быть согласие субъекта на разрешение распространять свои ПД? Об этом нам говорит новая часть № 9, введенная в 9 статью №152-ФЗ — требования к содержанию согласия устанавливаются уполномоченным органом по защите прав субъектов ПД.
Соответствующий проект приказа, на основании поправок в закон о персональных данных, регламентирующий, какую информацию должно содержать согласие, уже разработан Роскомнадзором.
Важно!
Изменения в защите персональных данных не коснулись требования пункта 1 ст. 9 — формы согласия. Она может быть любой, позволяющей подтвердить его получение. То есть обязательной письменной формы нет (только в случаях, предусмотренных законами). |
Как обрабатывать ПД, разрешенные субъектом для распространения
Этому посвящена новая статья закона №152-ФЗ — ст.10.1 о распространении персональных данных в интернете.
Важно!
Согласие на обработку ПД, которые разрешены субъектом для распространения оформляется отдельно. |
- 1. Оператор должен предоставить возможность субъекту ПДн определить список тех ПД, которые он разрешает распространять по каждой категории ПД.
- 2. Если сам субъект раскроет свои личные данные, но не предоставит согласие, обязанность доказать правомерность их распространения лежит на всех лицах, которые распространили эти сведения.
Пример
Это может коснуться публикаций — если в одном источнике опубликована информация, содержащая ПД, то доказать правомерность ее использования должны будут все издания, перепечатавшие эти сведения. Таким образом, все источники информации обязаны спрашивать у героев своих публикаций, какие данные о них можно публиковать и передавать третьим лицам. |
- 3. Примерно то же, что и предыдущий пункт ( №2), но источник ПД — нарушения, преступления или обстоятельства непреодолимой силы.
- 4-5. Эти пункты говорят о корректности формулировок. В согласии должно быть четко сформулировано, на что конкретно согласен субъект. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий ПД и их перечня — такие сведения можно только обрабатывать без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
Совет
В согласии должно быть абсолютно понятно, что можно делать с ПД, а что нельзя. Если что-то вызывает сомнения — лучше ничего не публиковать. |
- 6. Очень интересный пункт, определяющий, каким образом получать это согласие от субъекта. Их два:
- непосредственно от субъекта;
- с использованием инфосистемы РКН (новые требования Роскомнадзора должны разработать к лету 2021, так как этот пункт вступит в силу 1.07.2021 г).
Важно!
Таким образом, с марта и до июля мы имеем единственный способ получения ПД, разрешенных для распространения — непосредственно от субъекта. |
- 7. Пункт 7 также, скорее всего, будет известен к лету.
- 8. Повторяем сказанное — согласие должно быть абсолютно понятным и однозначным. Пункт 8 регламентирует, что молчание или бездействие субъекта не может быть расценено как согласие.
- 9. Этот пункт регламентирует право субъекта устанавливать запрет на условия обработки или передачу своих ПДн. Ограничивать его в этом праве оператор не может.
- 10. Оператор обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом в течении 3 дней после получения согласия.
Совет
Пока неизвестно, где публиковать эту информацию. Подождем комментарии Роскомнадзора. |
- 11. Нельзя запретить публикацию ПДн, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
- 12-13. Субъект ПД может в любой момент потребовать запретить распространение своих ПД. В статье перечислены сведения о субъекте ПД, которые должны содержаться в соответствующем требовании.Действие согласия прекращается с получением оператором такого требования.
- 14. Обратиться с запретом на распространение своих персональных данных субъект может к любому лицу, обрабатывающему его ПД при несоблюдении установок ст. 10.1 или обратиться в суд. Распространение ПД должно прекратиться в течение:
- 3 рабочих дней с момента обращения;
- в срок, указанный в постановлении суда;
- 3 рабочих дней с момента вступления решения суда в законную силу.
- 15. Требования ст.10.1 не распространяются на случаи обработки ПД органами власти.
Закон вступает в силу 1 марта 2021 г., за исключением нормы о предоставлении оператору согласия на обработку ПДн, разрешенных для распространения, через информсистему уполномоченного органа. Данное положение применяется с 1 июля 2021 г.
И снова о штрафах за персональные данные
Госдума ужесточает штрафы за незаконную обработку персональных данных, увеличивая их размер в два раза. Поправки вносят в ст. 13.11 КОаП «Нарушение законодательства РФ в области персональных данных» — законопроект № 1061159-7.
Обработка ПД в случаях, не предусмотренных законодательством, повлечет за собой следующие штрафы:
- 2000— 6 000 рублей для граждан;
- 10 000 — 20 000 для должностных лиц;
- 60 тыс. — 100 тыс. для юрлиц.
Также вводится норма об ужесточении наказания, если нарушение повторится:
- 4 000 — 12 000 рублей для граждан;
- 20 000 — 50 000 для должностных лиц;
- 50 тыс. —100 тыс. для предпринимателей;
- 100 тыс. — 300 тыс. для юрлиц.
Скачать № 519-ФЗ «О внесении изменений в Федеральный закон 152-ФЗ»
Вы не пропустите важных изменений закона, если подпишетесь на кадровый обзор. |
- Комментарии