О публикации и защите персональных данных в 2021 — что изменится в 152-ФЗ

Приняты поправки в 152-ФЗ в части распространения ПДн неограниченному кругу лиц. 30.12.2020 г. Президентом подписан  № 519-ФЗ «О внесении изменений в Федеральный закон 152-ФЗ», который вступит в силу с 1.03.2021 года (кроме абз.10 п.5 ст.1). Полностью действие нового закона о персональных данных начнется 1.07.2021 года.

Санкции в сфере защиты персональных данных ужесточаются. Новый закон о конфиденциальности личных данных строго охраняет неприкосновенность информации о субъекте ПД.

Подумайте об этом, когда будете выкладывать фотографии мероприятий компании в Инстаграм, ВК, Одноклассники, другие соцсети и на корпоративные сайты. Давайте подробнее рассмотрим в чем эти изменения.

Общедоступные данные или разрешенные для распространения?

Из обращения убирается понятие «общедоступные персональные данные» — п.10 признан утратившим силу. Окончательно утверждена норма — любую личную информацию о субъекте можно размещать только с его прямого согласия.

Внесены изменения в закон о персональных данных в части особенности обработки личных сведений, разрешенных владельцем для распространения. Пункт 1.1 статьи 3 №152-ФЗ теперь звучит так:

Этот пункт закона о данных в интернете означает, что размещать где-либо сведения о человеке без его согласия нельзя — ни на корпоративном сайте, ни на своей страничке в Одноклассниках или другой соцсети — нигде.

Каким должно быть согласие субъекта на разрешение распространять свои ПД? Об этом нам говорит новая часть № 9, введенная в 9 статью №152-ФЗ — требования к содержанию согласия устанавливаются уполномоченным органом по защите прав субъектов ПД.

Соответствующий проект приказа, на основании поправок в закон о персональных данных, регламентирующий, какую информацию должно содержать согласие, уже разработан Роскомнадзором.

Как обрабатывать ПД, разрешенные субъектом для распространения

Этому посвящена новая статья закона №152-ФЗ — ст.10.1 о распространении персональных данных в интернете.

•  1. Оператор должен предоставить возможность субъекту ПДн определить список тех ПД, которые он разрешает распространять по каждой категории ПД.
•  2. Если сам субъект раскроет свои личные данные, но не предоставит согласие, обязанность доказать правомерность их распространения лежит на всех лицах, которые распространили эти сведения.

• 3. Примерно то же, что и предыдущий пункт ( №2), но источник ПД — нарушения, преступления или обстоятельства непреодолимой силы.
• 4-5. Эти пункты говорят о корректности формулировок. В согласии должно быть четко сформулировано, на что конкретно согласен субъект. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий ПД и их перечня — такие сведения можно только обрабатывать без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

• 6. Очень интересный пункт, определяющий, каким образом получать это согласие от субъекта. Их два:

• непосредственно от субъекта;
• с использованием инфосистемы РКН (новые требования Роскомнадзора должны разработать к лету 2021, так как этот пункт вступит в силу 1.07.2021 г).

• 7. Пункт 7 также, скорее всего, будет известен к лету.
• 8. Повторяем сказанное — согласие должно быть абсолютно понятным и однозначным. Пункт 8 регламентирует, что молчание или бездействие субъекта не может быть расценено как согласие.
• 9. Этот пункт регламентирует право субъекта устанавливать запрет на условия обработки или передачу своих ПДн. Ограничивать его в этом праве оператор не может.
• 10. Оператор обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом в течении 3 дней после получения согласия.

• 11. Нельзя запретить публикацию ПДн, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
• 12-13. Субъект ПД может в любой момент потребовать запретить распространение своих ПД. В статье перечислены сведения о субъекте ПД, которые должны содержаться в соответствующем требовании.Действие согласия прекращается с получением оператором такого требования.
• 14. Обратиться с запретом на распространение своих персональных данных субъект может к любому лицу, обрабатывающему его ПД при несоблюдении установок ст. 10.1 или обратиться в суд. Распространение ПД должно прекратиться в течение:

• 3 рабочих дней с момента обращения;
• в срок, указанный в постановлении суда;
• 3 рабочих дней с момента вступления решения суда в законную силу.

• 15. Требования ст.10.1 не распространяются на случаи обработки ПД органами власти.

Закон вступает в силу 1 марта 2021 г., за исключением нормы о предоставлении оператору согласия на обработку ПДн, разрешенных для распространения, через информсистему уполномоченного органа. Данное положение применяется с 1 июля 2021 г.

И снова о штрафах за персональные данные

Госдума ужесточает штрафы за незаконную обработку персональных данных, увеличивая их размер в два раза. Поправки вносят в ст. 13.11 КОаП «Нарушение законодательства РФ в области персональных данных» — законопроект № 1061159-7.

Обработка ПД в случаях, не предусмотренных законодательством, повлечет за собой следующие штрафы:

• 2000— 6 000 рублей для граждан;
• 10 000 — 20 000 для должностных лиц;
• 60 тыс. — 100 тыс. для юрлиц.

Также вводится норма об ужесточении наказания, если нарушение повторится:

• 4 000 — 12 000 рублей для граждан;
• 20 000 — 50 000 для должностных лиц;
• 50 тыс. —100 тыс. для предпринимателей;
• 100 тыс. — 300 тыс. для юрлиц.

Скачать № 519-ФЗ «О внесении изменений в Федеральный закон 152-ФЗ»

Скачать Требования к содержанию согласия на распространение ПД, разрешенных для распростанения. Проект приказа РКН.docx