Персональные данные: новое с 2021 года, проверки Роскомнадзора
- Новые нормативные правовые акты по персональным данным
- ПД, разрешенные для распространения – что это?
- Согласие на обработку ПД, разрешенных субъектом ПД для распространения. Сервис Роскомнадзора
- ЛНА по ПД – вносить ли изменения?
- Новое в административной ответственности
- Новый подход к проверкам в законе
- Роскомнадзор – проверки в области ПД
В течение 2021 года произошли значительные изменения в законодательстве по персональным данным. Вступили в силу несколько нормативных правовых актов, затрагивающих данную область. В статье разберем, какие требования приняты на законодательном уровне, что нового в проверках Роскомнадзора.
Новые нормативные правовые акты по персональным данным
1 марта 2021 года вступил в силу Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» за исключением абз.10 п.5 ст.1, который действует с 1 июля 2021 года.
Федеральный закон от 24.02.2021 № 19-ФЗ внёс изменения в КоАП РФ, в том числе и в части административной ответственности за ПД (ст. 13.11). Новые штрафы действуют с 27 марта 2021 года.
Федеральным законом от 31.07.2020 № 248-ФЗ определен новый порядок проведения и прохождения инспекционных проверок, в том числе и Роскомнадзора. Порядок организации и осуществления государственного контроля за обработкой ПД детализирован Постановлением Правительства РФ от 29.06.2021 № 1046. Оба нормативных акта вступили в силу 1 июля 2021 года.
Приказом Роскомнадзора от 24.02.2021 № 18, который вступил в действие 1 сентября 2021 года, утверждены требования к содержанию согласия на обработку ПД, разрешенных субъектом ПД для распространения.
Правила использования информационной системы Роскомнадзора, в том числе порядок взаимодействия субъекта ПД с оператором, установлены Приказом Роскомнадзора от 21.06.2021 № 106, который вступает в силу с 1 марта 2022 года.
ПД, разрешенные для распространения – что это?
Изменения закона сводятся к исключению понятия общедоступных ПД и появлению новой формулировки - персональные данные, разрешенные субъектом персональных данных для распространения (п. 1.1 ст. 3).
Важно ПД, разрешенные субъектом для распространения – это ПД, доступ к которым предоставлен:
|
Каждый человек решает, какие сведения о себе он публикует в свободном доступе, предоставляет неопределенному кругу лиц, т.е. распространяет, и для каких целей. При этом все остальные лица не вправе использовать их по своему усмотрению.
Пример Субъект ПД размещает в сети Интеренет о себе информацию в целях оказания определенных услуг, связанных с его профессиональной деятельностью. Использовать его ПД в других целях, например, для распространения рекламы и др., запрещается. Порядок и особенности распространения ПД установлены новой статьей 10.1 закона. Именно она вывела «распространение» ПД в отдельное действие (операцию) обработки ПД. |
Согласие на обработку ПД, разрешенных субъектом ПД для распространения. Сервис Роскомнадзора
Любые данные о человеке можно распространять только с его прямого согласия. Исключения возможны для случаев, где имеется государственный, общественный и публичный интерес.
Требования к содержанию согласия на обработку ПД, разрешенных субъектом ПД для распространения, определены Роскомнадзором в Приказе от 24.02.2021 №18.
Обратите внимание! Согласие на обработку разрешенных для распространения ПД не может быть включено в единое согласие на обработку ПД или в текст договора. Оно оформляется отдельно. Допускается любая форма, позволяющая подтвердить факт его получения. |
На официальном сайте Роскомнадзора запущен сервис для операторов ПД, позволяющий сформировать шаблон формы согласия. С помощью сервиса в формате конструктора оператор ПД заполняет необходимые поля. Сформированный оператором шаблон будет рассмотрен специалистами Роскомнадзора, и при необходимости оператору будут даны рекомендации по его доработке. Оператор сможет использовать одобренный Роскомнадзором шаблон в качестве формы согласия в своей дальнейшей работе (информация Роскомнадзора 1046 от 01.07.2021)
Согласие может быть предоставлено оператору ПД двумя способами:
- непосредственно,
- посредством информационной системы Роскомнадзора.
С Правилами использования информационной системы Роскомнадзора можно ознакомиться, они утверждены Приказом Роскомнадзора от 21.06.2021 № 106, но начнут действовать с 1 марта 2022 года.
Дополнительно о согласии на обработку ПД, разрешенных субъектом ПД для распространения читайте здесь
Остался недостаточно освещенным вопрос, касающийся обязанности оператора в срок не позднее трех рабочих дней с момента получения согласия опубликовать информацию об условиях обработки разрешенных к распространению ПД, о наличии запретов и условий на обработку (п. 10 ст. 10.1).
В рамках проведенного Роскомнадзором в августе 2021 года онлайн-семинара было упомянуто, что такая информация подлежит размещению на официальных интернет-ресурсах, принадлежащих оператору, либо иным способом, обеспечивающим неограниченный доступ к указанной информации, к примеру, информационный стенд.
ЛНА по ПД – вносить ли изменения?
Ответ очевиден. Все ЛНА, касающиеся обработки ПД, необходимо привести в соответствие с законодательством. ЛНа должны содержать исчерпывающую информацию, касающуюся обработки ПД в организации, соответственно в них должны быть отражены и новые положения о распространении ПД.
ЛНА могут содержать определенные условия, связанные с распространением ПД, в том числе способы/формы получения согласия. Не ограничивайтесь только письменной формой согласия, предусмотрите возможность его получения в другой форме, позволяющей подтвердить сам факт получения.
Новое в административной ответственности
Административная ответственность в области ПД ужесточилась. С 27 марта 2021 года произошли изменения в составах правонарушений и санкциях. Размеры штрафов увеличились в два раза.
Ранее за совершение некоторых нарушений можно было избежать штрафа, отделавшись предупреждением. Теперь такая норма отсутствует.
Обратите внимание! За нарушения по ст. 13.11 КоАП РФ теперь могут оштрафовать в течение 1 года. Напомним, что до 27.03.2021 срок давности составлял лишь 3 месяца. |
Новый подход к проверкам в законе
Федеральный закон № 248-ФЗ заложил основы нового подхода к контролю и надзору в РФ: предмет регулирования, принципы, предмет и объекты контроля, организация контроля, участники этих процессов, порядок проведения контроля и прочее. Постановление Правительства РФ от 29.06.2021 № 1046 конкретизировало порядок организации и осуществления государственного контроля Роскомнадзором за обработкой ПД.
Федеральный закон № 248-ФЗ направлен на стимулирование добросовестности контролируемых лиц и профилактику рисков причинения ими вреда (ущерба) охраняемым законом ценностям. Таким образом, теперь в приоритете профилактика нарушений, более мягкие контрольно-надзорные мероприятия.
Закреплён широкий перечень профилактических мероприятий (ч. 1 ст. 45), участие в которых является правом, а не обязанностью контролируемых лиц. При этом, взаимодействие возможно только с согласия либо по инициативе проверяемого.
Предусмотрен перечень новых контрольно-надзорных мероприятий, помимо выездной и документарной проверки (ч. 2 и 3 ст. 56).
Важно Сократился срок проведения документарной и выездной проверок с 20 до 10 рабочих дней. |
При осуществлении контроля (надзора) применяется риск-ориентированный подход, введены системы оценки и управления рисками причинения вреда (ущерба) охраняемым законом ценностям.
Появилась возможность отменять решения, которые приняты в результате любого контрольно-надзорного мероприятия, проведенного с грубыми нарушениями. Ранее допускалась отмена только результата проверок.
Федеральный закон 248-ФЗ допустил возможность проведения аккредитованными организациями независимой оценки соблюдения требований законодательства.
Роскомнадзор – проверки в области ПД
Предметом контроля (надзора) является соблюдение операторами обязательных требований в области ПД.
При осуществлении контроля применяется система оценки и управления рисками, установлены критерии отнесения объекта контроля к одной из категорий риска:
- высокий
- значительный
- средний
- умеренный
- низкий.
К какой категории риска относится ваша организация? Попробуйте определить.
В рамках осуществления контроля Роскомнадзором могут проводиться такие профилактические мероприятия, как:
- информирование,
- обобщение правоприменительной практики,
- объявление предостережения,
- консультирование,
- профилактический визит.
Также в контрольных целях проводятся плановые и внеплановые мероприятия: инспекционный визит, документарная или выездная проверки.
Результаты контрольных мероприятий фиксируются в актах.
Обратите внимание! Плановые контрольные мероприятия, за исключением плановых контрольных мероприятий без взаимодействия с проверяемыми, проводятся на основании плана проведения плановых контрольных (надзорных) мероприятий на очередной календарный год, согласованного с органами прокуратуры. |
Урегулированы вопросы применения фотосъемки, аудио- и видеозаписи для фиксации доказательств нарушения обязательных требований.
Подробнейшим образом регламентировано обжалование решений контролирующего органа, действий (бездействия) их должностных лиц.
Вновь мораторий
Правительство РФ вновь, как и последние несколько лет подряд, ввело мораторий на плановые проверки субъектов малого предпринимательства. В 2022 году такие проверки запрещено включать в планы проверок, за этим следит прокуратура РФ.
Однако, не забываем про исключения. Мораторий 2022 года не распространяется на некоторые виды проверок (см. Постановление Правительства РФ от 08.09.2021 № 1520).
- Комментарии