Новые требования к работе с персональными данными

Новые требования к работе с персональными данными

26.04.2021

С 1 марта этого года вступили в силу изменения правил работы с персональными данными, установленные Федеральным законом от 27.07.2006          № 152-ФЗ «О персональных данных».

На смену понятию «общедоступные персональные данные» пришел термин «персональные данные, разрешенные субъектом персональных данных для распространения». Речь идет о персональных данных, к которым предоставлен доступ неограниченного круга лиц. Для предоставления такого доступа, например, размещения на сайте, требуется предварительно получить специальное согласие гражданина. Причем как указано в законе «отдельно от иных согласий субъекта персональных данных на обработку его персональных данных».

Даже если субъект персональных данных сам их раскрыл неопределенному кругу лиц, каждое лицо, осуществившее их распространение или иную обработку, теперь обязано предоставить доказательства законности подобных действий. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных.

Приказом Роскомнадзора от 24.02.2021 № 18 утверждены требования к содержанию согласия на обработку персональных данных, разрешенных для распространения. Документ вступит в силу с 01.09.2021. Согласие должно будет содержать следующую информацию:

1) ФИО гражданина, контактную информацию (номер телефона, адрес электронной почты или почтовый адрес);
2) сведения об операторе. Например, для организации – наименование, адрес, указанный в ЕГРЮЛ, ИНН, ОГРН;
3) сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными;
4) цель (цели) обработки персональных данных;
5) категории и перечень данных, на обработку которых дается согласие: персональные данные (ФИО, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация); специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья и пр.) или биометрические персональные данные.
6) срок действия согласия

Кроме того, по желанию гражданина в согласии могут быть указаны:
– категории и перечень данных, для обработки которых он устанавливает условия и запреты;
– условия, при которых полученные данные могут передаваться оператором только по его внутренней сети, либо с использованием информационно-телекоммуникационных сетей, либо без передачи данных.

Важно учитывать, что по требованию гражданина передачу разрешенных для распространения данных нужно будет прекратить в любое время. В случае несоблюдения новых правил субъект сможет потребовать прекратить передачу данных от любого лица, которое их обрабатывает, или обратиться за защитой своих прав в суд.

Отметим, что Федеральным законом от 24.02.2021 № 19-ФЗ (вступил в силу 27.03.2021) в КоАП РФ внесены поправки об ужесточении административной ответственности за нарушения в области персональных данных. В частности, за нарушения по ст. 13.11 КоАП РФ «нарушение законодательства РФ в области персональных данных» срок давности привлечения к ответственности увеличен с 3 мес. до 1 года. За незаконную обработку личных данных или обработку с нарушением целей сбора такой информации должностных лиц будут штрафовать на сумму от 10 тыс. до 20 тыс. руб., а компании – от 60 тыс. до 100 тыс. руб. До 27 марта за подобное нарушение грозил штраф в меньшем размере или предупреждение. Введен штраф за повторное нарушение: для должностных лиц – от 20 тыс. до 50 тыс. руб., юрлиц – от 100 тыс. до 300 тыс. руб.

Также вдвое увеличены штрафы за обработку персональных данных без письменного согласия гражданина, если оно обязательно. Должностные лица заплатят от 20 тыс. до 40 тыс. руб., а компании – от 30 тыс. до 150 тыс. руб. За не обеспечение неограниченного доступа к политике по обработке персональных данных или к информации о выполняемых требованиях к их защите, штраф составит: для должностных лиц – от 6 тыс. до 12 тыс. руб., юрлиц – от 30 тыс. до 60 тыс. руб. До этого нарушителям грозило предупреждение или штраф, но на сумму вдвое меньше.