09.09.2021
ГлавнаяАрбитражные делаПодписка о неразглашении персональных данных 2021

Подписка о неразглашении персональных данных 2021

Автор:  Арбитражные дела  Нет комментариев

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Подписка о неразглашении персональных данных 2021». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Содержание
1. Новое в Законе «О персональных данных» 2021. Что нас ждет?
2. Новые правила с 2021 года
3. Персональные данные в 2021: как компаниям с ними работать и не получать штрафы
4. Изменения в законе о персональных данных с 1 сентября 2021 года
5. Распространять персональные данные граждан по-старому больше не получится
6. Изменения в законе о персональных данных
7. Новые правила обработки персональных данных в 2021 году
8. Когда отказ адвоката от подписки нельзя считать отказом от защиты

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

  • ФИО;
  • контактные данные;
  • перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Пробегусь по пунктам новой статьи 10.1 Закона «О персональных данных». Это она определяет особенности публикации персональных данных. Подумайте заранее, как реализовать в вашей деятельности эти новшества.

Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Это может выглядеть так: согласен на публикацию ФИО, не согласен на публикацию даты рождения. Посмотрим, что скажет РКН. Совершенно точно придется поломать голову над формулировками.

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, один сайт написал про чиновника, второй сделал рерайт новости, третий — просто ее перепостил. Чиновник обиделся и написал жалобу в РКН.

В этом примере доказывать, что есть общественный интерес персональным данным чиновника будут все три сайта. Вряд ли у них будет согласие на распространение ПД чиновника. А других законных оснований нет.

Новое в Законе «О персональных данных» 2021. Что нас ждет?

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

Тот же пример: намудрили непонятного в форме согласия — публиковать нельзя.

Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Многозначительно промолчать в ответ на вопрос: «даете свое согласие на публикацию ваших данных на нашем сайте?» — означает нет.

В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

Например, человек может разрешить опубликовать свои ФИО и возраст в отзывы на товар. Но тут же запретить передавать кому-нибудь еще. Например, вашему рекламному агентству. И ограничить человека в этом праве нельзя.

Форма документа не регламентирована, а значит может составляться по шаблону, разработанному фирмой самостоятельно. Но следует помнить, что статья 9 ФЗ от 27.07.2006 № 152-ФЗ содержит перечень обязательных требований.

Новые правила с 2021 года

1 марта произошли изменения в ФЗ от 27.07.2006 № 152-ФЗ, которые внес ФЗ от 30.12.2020 № 519-ФЗ.

Рассмотрим основные нововведения.

1. Появился документ «Согласие на распространение ПДн сотрудника».

Теперь, получив от сотрудника согласие на обработку ПДн, компания не может их распространять. Для этих целей необходимо получить от физ. лица отдельный документ, который позволяет оператору распространять данные, например, размещать их на сайте компании, на доске почета, передавать банку и другое. В этом документе важно предоставить сотруднику возможность указать какую именно информацию он разрешает распространять работодателю.

2. Молчание субъекта ПДн не может быть расценено, как согласие на распространение ПДн. Это актуально и для бездействия сотрудника (п. 8 ст. 10.1 Закона № 152-ФЗ).

3. Любые ПДн о физ. лице можно публиковать только при наличии его письменного согласия, даже если лицо самостоятельно их разместило в общедоступном месте (интернет или социальные сети). Раньше такие личные данные можно было распространять без получения согласия от их владельца (п. 2 ст. 10.1 Закона № 152-ФЗ).

Персональные данные в 2021: как компаниям с ними работать и не получать штрафы

Получить согласие на распространение ПДн можно двумя способами:

1. Непосредственно у физ. лица, то есть с личной подписью на бумаге;

2. Через информационную систему Роскомнадзора. Любое физ. лицо может подключиться к системе для того, чтобы указать какие ПДн и кому он разрешает распространять.

Оператор, в свою очередь, также имеет возможность подключиться к данной системе и не получать от конкретного физического лица письменное согласие, а использовать информацию, содержащуюся в системе Роскомнадзора. Это возможность станет доступной с 1 июля 2021 года.

Компаниям и ИП однозначно стоит уделить внимание новшествам, описанным выше, так как штрафные санкции увеличились вдвое.

Начиная с 27 марта 2021 г. за работу с ПДн сотрудников без их письменного согласия ИП ждет штраф от 20 000 до 40 000 руб., организации, при аналогичном нарушении должны будут уплатить от 30 000 до 150 000 руб.

Если же ИП нарушит законодательство повторно, то штраф будет составлять от 100 000 до 300 000 руб., а для компаний — от 300 000 до 500 000 руб. (ч. 2 ст. 13.11 КоАП). Наказание за такое правонарушение может последовать в течение года (ст. 4.5 КоАП РФ).

Подведем итог: правила обработки личных данных касаются абсолютно всех физических и юридических лиц.

В этой связи, работодателям целесообразно брать с сотрудников:

1. согласия на обработку персональных данных;

2. согласия на распространение персональных данных.

Документы составляются в соответствии с требованиями действующего законодательства.

Игнорирование правил обработки и распространения данных может привести к серьезным финансовым потерям.

В программах 1С новый документ «Согласие на распространение персональных данных» на данный момент не реализован. Но и о наличии согласия на обработку персональных данных знают далеко не все бухгалтеры.

Первое, что необходимо знать — это то, что все данные хранятся в карточках физ. лиц. При приеме на работу личные данные субъекта в справочнике «Физические лица» заполняются автоматически на основании справочника «Сотрудники».

Появляется новое основание, за несоблюдение которого могут оштрафовать (раньше за это не наказывали рублем). Невыполнение обязанности по соблюдению конфиденциальности ПДн влечет наложение штрафа:

  • на граждан — в размере от 10 до 20 тысяч рублей;
  • на должностных лиц — от 40 до 100 тысяч рублей;
  • на индивидуальных предпринимателей — от 100 до 300 тысяч рублей;
  • на юридических лиц — от 300 до 500 тысяч рублей.

Организация, физическое или юрлицо, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия владельца ПДн, если это не предусмотрено федеральным законом.

Любая передача ПДн (распространение, предоставление, доступ) является незаконной без согласия владельца ПДн и является нарушением конфиденциальности его ПДн.

Если ПДн сотрудников были переданы без их письменного согласия, то во-первых, это противозаконно, а во-вторых, за подобные действия будут штрафовать.

Вот типовые ситуации, которые будут подпадать под данную статью:

1. Передача ПДн работников третьим лицам:

  • в банк для целей выплаты заработной платы и иных материальных выплат, а также перечисления подотчетных средств;
  • в охранное предприятие в целях взаимодействия и реагирования;
  • в медицинские организации в целях проведения медицинских осмотров;
  • в страховые компании по договорам добровольного медицинского страхования;
  • в образовательные организации в объеме превышающем требования закона об образовании;
  • в целях организации командировок и участия в выставках;
  • в других целях, напрямую не связанных с должностными обязанностями сотрудника.

2. Передача ПДн клиентов, представителей клиентов, поставщиков, партнеров третьим лицам в целях:

  • организации мероприятий, маркетинговых акций, рекламы;
  • размещения отзывов, рекламных акций на сайте компании и других общедоступных источниках;
  • сбор персональных данных через онлайн-каналы (мессенджеры, социальные сети, формы обратной связи на сайте, онлайн-консультанты) без применения средств защиты, обеспечивающих их конфиденциальность при передаче через интернет.

3. Получение ПДн без подтверждения наличия согласия от человека или иных законных оснований у передающей стороны.

4. Предоставление доступа к ПДН внутри организации сотрудникам без должного документального оформления (должностные обязанности и/или локальные нормативные акты).

Ответственность за не обезличивание персональных данных теперь несут не только государственные и муниципальные органы власти, но и все операторы.

По второму изменению в новом КоАП дело касается обезличивания ПДн. Проще говоря, если персональным данным (паспортным, медицинским, контактным данным и т.п) будет присвоен идентификационный номер, то это обезличивает персональные данные, т.к. по одному номеру нельзя определить человека.

В новом КоАП предполагается распространить ответственность за не обезличивание персональных данных с государственных и муниципальных органов власти на всех операторов. Все операторы будут обязаны обезличивать ПДн, которые обрабатывают.

Невыполнение подобных требований влечет предупреждение или наложение административного штрафа для всех операторов ПДн в размере от 3 до 6 тысяч рублей. Штрафы небольшие, но можно предположить, что это только начало.

Изменения в законе о персональных данных с 1 сентября 2021 года

Новый КоАП еще не принят, но вектор внимания уже определен. Для того чтобы нововведения не стали для вас сюрпризом, необходимо в 2021 году провести оценку соответствия процессов обработки и защиты персональных данных требованиям законодательства.

Проводить ее необходимо не реже, чем раз в три года. Это установлено законом.

  • Изучить все источники поступления ПДн в организацию, цели поступления и состав данных. К примеру, нужно понимать, что источники ПДн клиентов и сотрудников разные, и состав ПДн тоже разный.
  • Проанализировать, где и как организация получает ПДн — наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность получения персональных данных, их состав и цели обработки. Получение всех ПДн, которые попадают в организацию, без исключения должны подтверждаться подобными документами: корректно составленное соглашение по обработке ПДн на сайте, с которого компания получает ПДн клиентов, Соглашение по обработке ПДн с сотрудниками.
  • Изучить, какие и чьи ПДн в организации обрабатываются (в разрезе категорий физических лиц). Ориентируясь на ПДн клиентов и сотрудников, видно, что процесс их обработки и хранения разный. Доступ к ПДн сотрудников имеют отдел кадров, бухгалтерия, а к клиентским данным — та же бухгалтерия и коммерческий отдел.
  • Проверить наличие утвержденных локальных нормативных актов, определяющих порядок доступа сотрудников к персональным данным. Документы, в которых прописано, кто и за что отвечает.
  • Проанализировать соответствие процесса обработки локальным нормативным актам. Зачастую на практике бывает несоответствие.
  • Изучить ваших получателей персональных данных: кому, для каких целей и в каком составе передаются персональные данные. Опять же, практика показывает, что в некоторых организациях к ПДн допускаются сотрудники, не имеющие к ним отношения.
  • Проанализировать, на каких условиях передаются ПДн третьим лицам — обязательно наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность передачи персональных данных. Если зачисление зарплаты сотрудникам компании происходит через зарплатный проект банка, то компания обязана с каждым сотрудником, участвующем в зарплатном проекте, подписать соглашение о передаче его ПДн в этот банк.
  • Определить, какие персональные данные стоит обезличивать. К примеру, это данные, чей срок хранения официально вышел, но при этом характеристики клиента имеют ценность без необходимости идентификации физического лица.
  • Определить, какие согласия уже не имеют силы и которые надо скорректировать. Отсутствие отлаженной системы работы с ПДн в прошлом означает, что, возможно, часть документов уже не актуальна.
  • Изучить, как защищаются персональные данные в компании и от кого они реально защищены — только от внешних злоумышленников или от внутренних тоже? Очень часто данные клиентов утекают вместе с увольняющимися сотрудниками коммерческих отделов.
  • Составить годовой план и реализовать его. Необходимо разработать поэтапный план по реализации этих пунктов с учетом объема работы и времени на их выполнения.

Утечка ПДн может обернуться для компании не только финансовыми убытками, но и потерей репутации на рынке и разрывом отношений с партнерами. Поэтому важно изучить законодательство и вовремя принять меры. И здесь есть два пути:

  • делать все самостоятельно (силами организации);
  • доверить выполнение требований закона компаниям, которые могут провести независимый аудит по обработке ПДн и решить выявленные проблемы.

Специфика согласия на обработку персданных, разрешенных к распространению, заключается в том, что оно подтверждает наличие разрешения от субъекта персданных на раскрытие его личной информации неопределенному кругу лиц. Начиная с 1 марта 2021 года такое согласие должно отбираться отдельно от иных согласий субъекта персданных.

Приказом Роскомнадзора, вступающем в силу с 1 сентября 2021 года, определены основные положения, которые должны быть отражены в данном документе, в том числе:

  • цели обработки персданных
  • срок действия согласия
  • категории и перечень персданных
  • сведения об информационных ресурсах оператора, на которых персданные будут предоставляться неопределенному кругу лиц

Также в документе субъект персданных может установить запреты или конкретные условия обработки части информации, в частности, запрет на какую-либо обработку персданных неограниченным кругом лиц (кроме непосредственного доступа к ним).

Срок действия требований является ограниченным – до 1 сентября 2027 года.

Также с 1 июля 2021 года будет доступна возможность получать такое согласие через специальную информационную систему Роскомнадзора.

Распространять персональные данные граждан по-старому больше не получится

С 27 марта 2021 года в Кодекс об административных правонарушениях были внесены изменения, касающиеся правонарушений в области обработки персональных данных.

Теперь за любые правонарушения, установленные статьей 13.11 КоАП, больше не может быть назначено предупреждение, нарушителю сразу грозит штраф. За повторное совершение ряда правонарушений предусмотрена повышенная ответственность, при этом срок давности привлечения к административной ответственности в данной области был увеличен до одного года.

Соблюдайте закон и удачи в бизнесе!

Да, если соблюдено одно из указанных условий.

  • На вашем сайте в открытом доступе размещаются ПД.
  • Вы собираете и структурируете ПД, размещенные в открытом доступе.
  • Вы публикуете ПД в печатной или иной форме, при которой ПД находятся в открытом доступе.

    Пример: социальные сети, сайты объявлений, форумы, печатные издания с объявлениями и т.д.

Нет, если соблюдено одно из указанных условий.

  • На вашем сайте размещаются ПД, доступ к которым есть только у зарегистрированных пользователей, т.е. оператор может ограничить и определить круг лиц, имеющих доступ к ПД.

    Эта позиция была устно донесена Роскомнадзором в ходе ответов на вопросы на дне открытых дверей 28 января 2021 г. В отсутствие письменных разъяснений остается довериться данной позиции и надеяться на то, что Роскомнадзор не изменит ее.

    Пример: закрытая корпоративная социальная сеть или сайт-интегратор объявлений, на котором доступ к ПД продавцов можно получить только после регистрации на сайте.

  • Ваша компания распространяет или предоставляет ПД в определенных законом государственных, общественных или публичных интересах независимо от того, что распространение или предоставление ПД запрещено самим лицом2.

    Под государственными, общественными и публичными интересами в основном понимаются вопросы безопасности государства, граждан и т.д. Поэтому сложно придумать реальный случай, когда коммерческая организация могла бы прикрыться данным пунктом закона.

  • Вы являетесь государственным органом власти или органом местного самоуправления, распространяющим ПД в силу выполнения возложенных на вас полномочий3.

Оператор может быть привлечен к административной ответственности. До 27 марта 2021 г. размер штрафа составит:

  • от 5 до 10 тыс. руб. – для индивидуального предпринимателя;
  • от 30 до 50 тыс. руб. – для компании24.

С 27 марта 2021 г. размер штрафов увеличивается:

  • от 10 до 20 тыс. руб. – для индивидуального предпринимателя;
  • от 60 до 100 тыс. руб. – для компании.

Полагаем, самый надежный и менее затратный способ соблюсти требования Закона о персональных данных для тех компаний, чьи сайты содержат ПД субъектов, – закрыть сайты для незарегистрированных пользователей. По крайней мере, до тех пор, пока не сформируется судебная практика и не появится точная позиция Роскомнадзора относительно применения положений Закона о распространении ПД.

Сложнее обстоит дело с компаниями, которые собирают ПД из открытых источников. Такие компании, на наш взгляд, обязаны получать у субъектов:

  • согласие на обработку ПД, если компания хочет обрабатывать ПД без распространения;
  • согласие на распространение, если компания хочет распространять ПД субъекта.

Компаниям, которые распространяют ПД не в интернете, также необходимо получать у субъекта согласие на распространение, даже в том случае, если распространение ПД необходимо для исполнения договора в интересах субъекта.

1 Федеральный закон от 30 декабря 2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”».

2 Часть 11 ст. 10.1 Закона о персональных данных (далее – Закон).

3 Часть 15 ст. 10.1 Закона.

4 Пункт 1 ч. 1 ст. 6 Закона.

5 Пункт 5 ч. 1 ст. 6 Закона.

6 Часть 3 ст. 20 Закона.

7 Часть 5 ст. 21 Закона.

8 Пункт 1.1 ч. 1 ст. 3 Закона.

9 Часть 1 ст. 10.1 Закона.

10 Часть 9 ст. 9 Закона.

11 Часть 1 ст. 10.1 Закона.

12 Часть 9 ст. 10.1 Закона.

13 Часть 6 ст. 10.1 Закона.

14 Часть 8 ст. 10.1 Закона.

15 Часть 10 ст. 10.1 Закона.

16 Часть 4 ст. 10.1 Закона.

17 Часть 5 ст. 10.1 Закона.

18 Часть 12 ст. 10.1 Закона.

19 Часть 13 ст. 10.1 Закона.

20 Часть 14 ст. 10.1 Закона.

21 Часть 2 ст. 10.1 Закона.

22 Пункт 10 ч. 1 ст. 6 Закона.

23 Определение Верховного Суда РФ от 29 января 2018 г. № 305-КГ17-21291.

24 Часть 1 ст. 13.11 КоАП РФ.

Согласие на распространение ПД надо получать отдельно от общего согласия на обработку ПД.

При получении согласия офлайн в письменной форме человеку надо предложить заполнить два бланка: первый ─ общее согласие на обработку ПД, второй ─ согласие на распространение.

В интернете для получения согласия обычно используют чекбокс со ссылкой на текст соответствующего документа. С 1 марта надо будет размещать два чекбокса: один ─ на общее согласие, второй ─ на распространение.

Кроме этого, в законе сказано, что человек еще должен выбрать, какие именно данные о себе он разрешает распространять. Пока непонятно, как технически настроить такой выбор на сайте. Возможно, придется рядом с каждым видом ПД предусматривать отдельные чекбоксы.

Такой формат может, конечно, повлиять на конверсию. И если вам не хочется заморачиваться с настройками под закон о ПД, подумайте, возможно, стоит отказаться от распространения данных.

Согласие может быть отозвано в любой момент без указания причин.

Это неудобно для отдельных проектов. Например, психолог предлагает бесплатные консультации при условии размещения записи беседы на своем сайте или соцсетях. Перед консультацией получены согласия на обработку и распространение ПД. А после размещения ролика клиент передумывает. Психолог вынужден удалить видео.

Даже если вы получили согласие, нет гарантии, что человек не отзовет его. И сделать с этим ничего не получится ─ удалять данные придется.

Иногда посетители сайта или соцсетей сами оставляют информацию о себе ─ пишут в комментариях имена, почты и даже телефоны. В таких случаях владельцу сайта надо доказать, что все, кто разместил личные данные на сайте, дали согласие на распространение.

Если у вас нет согласия, лучше удалите или отредактируйте подобные комментарии.

Это относится к случаям после 1 марта 2021 года ─ даты вступления в силу поправок в закон № 152-ФЗ, так как обратной силы закон не имеет.

С 1 марта 2021 года перед размещением данных о людях в публичном пространстве, нужно получить у них отдельное согласие. На интернет-ресурсах, кроме «Согласия на обработку ПД», придется размещать еще и «Согласие на распространение ПД». Также надо решить, каким образом люди будут давать разрешение, например, с помощью отдельного чекбокса.

Новая редакция ст.13.11 КоАП со штрафами за нарушение закона о ПД уже действует, поэтому будьте аккуратнее.

Напомню, что в текущей версии закона, в общедоступные источники персональных данных могут включаться сведения о субъекте с его письменного согласия.

Из новой статьи закона мы видим, что согласие на распространение персональных данных может быть предоставлено субъектом:

  • непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

Формулировки не подразумевают сбора письменных согласий операторами, что значительно упрощает сам процесс. Т.е. достаточно того, что субъект персональных данных соглашается с согласием размещенным на сайте. Но к оформлению таких согласий нужно подойти со всей серьезностью, т.к. как я уже описал выше, к самим согласиям будут предъявляться более жесткие требования.

Что касается специальной информационной системы РКН, предназначенной для сбора согласий на распространение персональных данных, то ее нет. Т.е. регулятор закладывает такую возможность, но когда реализует непонятно. Поэтому имеет смысл ориентироваться на согласия данные непосредственно субъектом оператору. Тем более, что молчание или бездействие субъекта ПДн ни при каких обстоятельствах не могут считаться согласием на распространение персональных данных.

Как и любое правило, требования нововведенной статьи имеют исключения. Установленные субъектом запреты на распространение его персональных данных могут быть проигнорированы оператором, если случаи обработки ПД касаются государственных, общественных или иных публичных интересов, определенных законодательством РФ.

Также требования новой статьи не применяются, если:

  • Обработка персональных данных производится в целях выполнения норм законодательства РФ.
  • Обработка производится федеральными или региональными органами исполнительной власти или же органами местного самоуправления для исполнения своих функций, полномочий и обязанностей.

Передача персональных данных, разрешенных субъектом для распространения, должна быть прекращена по требованию субъекта. В данном случае, ничего нового требования статьи не содержат, т.к. оператор и так должен прекратить обработку ПДн субъекта, если тот пишет соответствующий отзыв ранее данного согласия. Данное требование должно включать в себя ФИО субъекта, контактную информацию, а также перечень персональных данных, распространение которых подлежит прекращению. Соответственно, действие ранее данного согласия прекращается в течение трех дней с момента поступления оператору подобного требования или в срок, указанных во вступившем в законную силу решения суда, если субъект обратился в суд.

Помимо новой статьи закона, вводятся изменения в уже существующие и связанные с общедоступными источниками информации. В частности претерпела изменение статья 18. Если раньше Оператор освобождался от обязанности предоставлять субъекту персональных данных сведения, полученные из общедоступных источников информации, то теперь закон ссылается на все вышеописанные требования новой статьи.

Ровно тоже произошло и со статьей 22 152-го Федерального закона. В которой говорится об уведомлении Роскомнадзора. В старой версии закона говорится о том, что Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку ПД, полученных из общедоступных источников информации. В новой же версии Оператор должен учитывать все условия и запреты отраженные в вводимой статье.

На самом деле последние два описанных изменения, на мой взгляд, не накладывают каких –то дополнительных условий на оператора. Т.к. в большинстве случаев оператор и так должен был предоставить обрабатываемые данные субъекта по его запросу и уведомить РКН о своей деятельности как оператора.

Закон уже подписан, но требования вступают в силу с 1 марта 2021г. Поэтому рекомендую заранее подготовиться и разработать шаблон согласия на распространение, которое Вы будете использовать.

    Изменения в законе о персональных данных

    Появилось новое понятие, пришедшее на смену «Общедоступные источники персональных данных», при этом сами общедоступные источники никуда не делись. Оператору нужно оформлять отдельным документом согласие на распространение персональных данных субъекта. Субъект ПД может устанавливать запреты на распространение своих персональных данных или их части. Должна появиться информационная система, оператором которой будет РКН. В этой ИС можно будет получить согласие на распространение персональных данных своих субъектов.

    Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

    Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

    Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

    Это любая информация о физическом лице, позволяющая его определить. Закон перечисляет следующие пункты:

    • ФИО;
    • дата и место рождения;
    • паспорт, СНИЛС, ИНН;
    • адрес постоянной и временной регистрации;
    • образование;
    • телефон;
    • электронный адрес;
    • профили в социальных сетях и мессенджерах;
    • идентифицирующие личность фотографии и видеоматериалы;
    • семейное положение и состав семьи;
    • судимости;
    • размер доходов;
    • профессиональные навыки;
    • личностные характеристики;
    • раса и национальность;
    • взгляды в политике, религии, философии;
    • сексуальная ориентация;
    • здоровье;
    • биометрия, ДНК, отпечатки пальцев, особые приметы.

    Обработка персональных данных — любые действия с вышеперечисленными фактами, регламентируемые статьей 13.11 КоАП и редакциями от 07.02.2017 № 13-ФЗ и 30.12.2020 N 519-ФЗ. К ним относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

    Согласно новым требованиям субъект получил право ограничить оператора в использовании данных без указания причин (раньше требовались доказательства, что они приобретены незаконно, устарели, недействительны и прочее), и тот должен прекратить действия в течение трех рабочих дней, по истечении которых пользователь может обратиться в суд. Санкция — от 3 000 до 75 000 рублей. Оператор может только обрабатывать, но не распространять информацию. За каждое отдельное нарушение взимается отдельный штраф. Срок ответственности увеличивается до одного года.

    С 27 марта 2021 операторы не получают в качестве санкций предупреждения — они упразднены. Теперь нарушителей сразу штрафуют. Суммы — от 6 000 до 150 рублей; при повторном инциденте, который теперь считается самостоятельным составом нарушения, цифры повысятся до 300-500 тысяч.

    Персонал бюджетной организации, имеющий доступ к информации о сотрудниках, обязан подписать документ, который предусматривает неразглашение персональных данных. Это понятие включает в себя:

    1. Свободу и защиту прав работников, что контролируется федеральным законодательством. Семейные тайны и личная жизнь сотрудников являются тайной и не должны разглашаться третьим лицам.
    2. Бумажное закрепление в виде приказа данных прав, в котором прописывают число работников, имеющих право доступа к сведениям о сотрудниках предприятия.

    В оформленном документе работники предоставляются и снимают с себя право:

    • передавать такую информацию персонала третьим лицам;
    • использовать контактные данные и любые сведения о работниках с целью извлечения выгоды;
    • скрывать информацию о том, что кто-то пытается получить данные о персонале.

    Такой доступ имеют многие:

    • главный бухгалтер — для начисления зарплаты, удержания НДФЛ;
    • менеджер по работе с клиентами — доступ к информации о клиентах компании;
    • начальник отдела кадров — при оформлении человека на работу;
    • руководитель компании — при ознакомлении с личными делами работающих, с резюме и т. д.

    Обязательство о неразглашении личных данных нужно для того, чтобы директор бюджетной организации смог обозначить ответственность, а при выявлении нарушений — привлечь к ней сотрудников, имеющих доступ к таким данным. Число ответственных лиц может варьироваться в зависимости от размеров организации. На малых предприятиях это может быть один человек (например, главный бухгалтер), на крупных — несколько сотрудников из следующих структурных отделов:

    • бухгалтерии;
    • отдела кадров;
    • отдела продаж и других.

    В зависимости от особенностей деятельности бюджетной организации и ее оргструктуры, этот список может быть увеличен.

    В перечень типовой документации отдела кадров бюджетной организации должна входить форма обязательства о неразглашении персональных данных. Обычно бумага подписывается ответственными лицами в момент приема нового сотрудника на работу.

    К оформлению бланка, ровно как к его формату, никаких особых условий не предъявляется. То есть документ можно делать на бланке с фирменным логотипом и реквизитами или на простом листе бумаги. Текст может быть как печатным, так и рукописным, правда в первом случае его надо распечатать (для простановки в нем нужных подписей). Приказ формируется в одном оригинальном экземпляре, но если требуются дополнительные его копии, то документ можно размножить (например, для передачи в заинтересованные структурные подразделения).

    Новые правила обработки персональных данных в 2021 году

    Защита персональных сведений – одно из важнейших условий обеспечения безопасности гражданина. Она необходима на каждом уровне его взаимодействия с социумом: при устройстве в детский сад, школу, ВУЗ, пользовании медицинскими и социальными услугами, трудоустройстве. Любое учреждение или организация, которая имеет дело с личной документацией человека, должна гарантировать ему сохранение персональной информации и невозможность ее распространения. Таким образом, достигается предотвращение неправомерного использования этих данных, а также их применение в корыстных и иных злонамеренных целях.

    В бумаге перечисляются виды ответственности работника, касающиеся:

    • знания и соблюдения требований, предусмотренных законом по получению, хранению, передаче и обработке информации, которая содержит личные данные;
    • сохранения в тайне полученных сведений;
    • соблюдения нормативных и правовых актов;
    • в ситуации исчезновения либо потери персональных данных о сотруднике организации нужно незамедлительно сообщить об этом руководителю для принятия соответствующих мер.

    Ответственный сотрудник заверяет подписью бумагу, тем самым соглашаясь с названными пунктами. Оригинал документа оставляют на руках у директора предприятия, а копию передают лицу, подписавшему договор.

  • По рейтингу
  • По компании
  • На карте
  • По активности
  • По участию в делах
  • По отзывам
  • Задания юристам
  • Мои проекты
  • Заявки от клиентов
  • Генератор готовых документов
  • Генератор шаблонов

    • Когда отказ адвоката от подписки нельзя считать отказом от защиты

    Защита конфиденциальности информации является обязанностью государства. Именно поэтому принимаются правовые нормы в сфере неразглашения третьим лицам личной информации. Наказание в данной ситуации может быть в виде штрафов и иного рода лишений. Разберёмся подробнее с этим вопросом.

    Для того чтобы разобраться с этими понятиями, необходимо обратиться к федеральному закону РФ «О персональных данных». Так, под персональными понимается данныме любого рода, относящаяся к личным сведениям о том или ином гражданине.

    Статья 7 вышеупомянутого ФЗ раскрывает понятие конфиденциальности персональных данных. Под ней понимается такая защита личных сведений о человеке, при которой лица, получившие к ним доступ, не имеют право разглашать их кому-либо без согласия правообладателя.

    Особое внимание стоит уделить самому федеральному закону. Он был принят 27.07.2006 года. Состоит нормативный правовой акт из преамбулы, глав и статей. Всего в законе 6 глав, последняя из которых посвящена заключительным и переходным положениям.

    Согласно нормам действующего федерального законодательства, разглашением могут считаться следующие действия правонарушителя: разглашение той или иной информации хотя бы одному лицу; опубликование ее в интернете или в средствах массовой информации; опубликование данных в газете; передача их другим лицам для последующего использования и др.

    Нужно учитывать, что ответственность может наступить не только за разглашение, но и за другие незаконные действия с личной информацией. Сюда относится и ее сбор. Под сбором понимается получение личных данных гражданина без его согласия и без подписания им соответствующим образом. Незаконно собранная и в последующем использованная информация порождает более тяжкую ответственность, вплоть до привлечения по уголовной статье.

    Нарушение закона о персональных данных грозит ответственностью как по КОАП РФ (административная), так и по УК Ф (уголовная). Разглашение и использование данных без согласия гражданина должно быть вовремя пресечено. Для этого нужно определить, куда обращаться за защитой?

    Первой инстанцией является полиция. Именно туда можно обратиться и сообщить о том, что данные незаконным образом используются и обрабатываются. Сотрудники полиции имеют право в рамках административного законодательства привлечь гражданина к ответственности.

    Незаконное распространение персональных данных уже рассматривалось выше. Предусмотрено два вида ответственности:

    Что касается распространения по административному законодательству, то в данной ситуации предусмотрена более мягкая ответственность в виде штрафа или же предупреждения. Уголовная ответственность предполагает наложение более строгих санкций и ограничений.

    Помимо административного и уголовного взыскания законом предусмотрена дисциплинарная и гражданская ответственность. Дисциплинарная, в большинстве своем, влечет за собой возникновение таких негативных последствий, как увольнение.

    Гражданская ответственность предполагает взыскание и возмещение причинённых убытков. Допускается также и возмещение причиненного морального вреда.


    Похожие записи:

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *