Здравствуйте, в этой статье мы постараемся ответить на вопрос: «152 ФЗ о защите персональных данных изменения 2021». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
Возьмем в качестве наглядного примера вариант сайта, на котором персональные данные публикуются администрацией. В основном, это корпоративные сайты с фотографиями сотрудников компании, их именами, телефонами и электронными адресами, размещаемыми в имиджевых или сервисных целях. У администрации отсутствует договор с сотрудником, предусматривающий обработку его ПДн указанным способом.
В марте начали действовать изменения в законе о персональных данных (ПД). Правила стали жестче, а штрафы больше. Предприниматели и юристы рассказывают, как это изменит бизнес.
Например, у кадрового агентства есть банк резюме для клиентов. Хозяин резюме имеет право потребовать, чтобы анкету не показывали другим. Для этого он напишет заявление, а эйчары обязаны убрать информацию из базы в течение 3 дней. До этого резюме можно было взять на сайте поиска работы и спокойно предлагать клиентам.
И снова о штрафах за персональные данные
С 1 марта 2021 года вступили в силу изменения в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), касающиеся общедоступных персональных данных (ПД). Сейчас вместо них появились «персональные данные, разрешенные к распространению».
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др.
Сейчас Госдума совместно с Правительством готовит не просто поправки в КоАП, а принятие нового кодекса. В части про персональные данные нас ждут два изменения.
Причина тому — ежегодный рост утечек ПДн граждан. Способов использования похищенных данных достаточно много, от банальных рассылок спама до продуманных схем социальной инженерии.
Любая компания, которая использует персональные данные, становится оператором ПД. Нужно сообщить в РКН, что бизнес использует данные клиентов или партнеров.
ПД, разрешенные субъектом для распространения, — это те ПД, к которым самим субъектом ПД предоставлен доступ неограниченного круга лиц.
Например, в компанию пришли силовики и сказали, что нужны данные человека, который находится в розыске.
За последний год на рассмотрение парламентариев было внесено несколько громких законопроектов, связанных с ПД, часть инициатив утвердили. Один из самых обсуждаемых документов, который уже вступил в силу, вносит изменения в порядок обращения с персональными данными граждан. Итак, главное новшество касается регулирования распространения ПД.
Данные используют для обзвона, но это не самое страшное. Плохо, если информация попадает в руки хакеров, которые с ее помощью крадут деньги. В итоге власти решили, что надо ужесточить правила работы с данными, чтобы сайты не раздавали их направо и налево.
Что изменилось в обработке персональных данных с 1 марта
Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет.
Параллельно с бурными дискуссиями о новых законодательных ужесточениях возникло сразу несколько громких дел с зарубежными компаниями, связанных с обработкой персональных данных. Претензии Роскомнадзора заключались в нарушении требований локализации ПД граждан на территории РФ. Обработчиками в рекрутменте выступают те, кого работодатель нанял для поиска новых сотрудников (кадровые агентства, job-сайты, ATS- и CRM-системы). Кстати, если вы сохраняете резюме на свой компьютер, значит, уже занимаетесь обработкой персональных данных.
В этой статье мы подробно разберем все нюансы и расскажем о нововведениях в работе с личными данными в 1С: Бухгалтерии предприятия ред. 3.0.
Теперь появилось понятие данных, которые не только обрабатывают, но и распространяют. Поэтому бизнесу придется изменить некоторые процессы. Рассказываем, все ли так страшно на самом деле.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Что изменилось с 1 сентября в российском рекрутменте: важное новшество в законе о персональных данных.
В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
Оператор ПДн обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения (п.1 ст.10.1 ФЗ 152).
Итак, если вы размещаете информацию о работниках в открытом доступе и еще не получили от них согласие, срочно его запросите.
Ежегодный рост утечек ПДн налицо. Законодатели призывают к ответственности путем повышения штрафов, увеличения числа проверок для того, чтобы компании принимали меры по обеспечению безопасности обрабатываемых ими ПДн.
Основным документом, определяющим порядок ответственности и штрафов за административные нарушения, является КоАП — Кодекс об административных правонарушениях.
Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд.
В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.
Налоговый орган может заблокировать счет организации, если не обеспечен электронный документооборот с ним.
Требования к защите персональных данных становятся все жестче — скоро в два раза увеличат штрафы. Невозможно пройти проверку РКН, если нет знаний о том, что такое персональные данные и как их правильно обрабатывать.
Настоящий Федеральный закон вступает в силу с 1 марта 2021 года, за исключением абзаца десятого пункта 5 статьи 1 настоящего Федерального закона.
А если сотрудник отказывается подписывать его? Какие штрафы ждут организацию за отсутствие этого документа?
Теперь, получив от сотрудника согласие на обработку ПДн, компания не может их распространять. Для этих целей необходимо получить от физ. лица отдельный документ, который позволяет оператору распространять данные, например, размещать их на сайте компании, на доске почета, передавать банку и другое.
Любые ПДн о физ. лице можно публиковать только при наличии его письменного согласия, даже если лицо самостоятельно их разместило в общедоступном месте (интернет или социальные сети). Раньше такие личные данные можно было распространять без получения согласия от их владельца (п. 2 ст. 10.1 Закона № 152-ФЗ).
Принципиальное отличие этих понятий в режиме использования персональных данных, доступ к которым предоставляется третьим лицам.
Информацию воруют, берут из открытых источников или покупают у операторов через сотрудников. Поэтому государство решило ужесточить закон о персональных данных в 2021 году.
Обычно владельцы сайтов осуществляют сбор и последующее использование персональных данных пользователей в целях заключения или исполнения договора. Это самостоятельное основание для обработки ПДн, не требующее отдельного согласия (пп.5 п.1 ст.6 ФЗ 152).
Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.
Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.
С 1 марта 2021 года изменился порядок обработки персональных данных, разрешенных гражданами для распространения.
Согласие на обработку данных, разрешенных к распространению
Новые условия предусматривают получение отдельного согласия субъекта ПДн на их распространение и обработку третьими лицами, тогда как ранее такое согласие предполагалось (достаточно было доказать факт их публикации субъектом ПДн или с его разрешения).
Нужно понимать, что отдельное согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, требуется только для случаев, когда нет иных законных оснований для их обработки.
Этому посвящена новая статья закона №152-ФЗ — ст.10.1 о распространении персональных данных в интернете.
Из обращения убирается понятие «общедоступные персональные данные» — п.10 признан утратившим силу.
Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.
Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.
Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.