Закон о Персональных Данных (152-ФЗ), Как Не Нарушать и Быть Готовым к Проверкам Роскомнадзора
Серьезной проблемой, как отмечено в Стратегии развития информационного общества в Российской Федерации на 2017−2030 гг., является необходимость соблюдения баланса между своевременным внедрением современных технологий обработки данных с защитой прав граждан, включая право на личную и семейную тайну. В тоже время цифровизация в ряде случаев обеспечивает больше гарантии правообладателям. Так, например, цифровые данные в большей мере защищают конфиденциальную информацию. Так, в частности, «аналоговые удостоверения» — например, водительское удостоверение или паспорт — статичны и монолитны. Поэтому невозможно предъявить лишь одну их часть или графу. А цифровые данные такую возможность предоставляют
В силу вышеизложенных аргументов подготовлен проект Федерального закона «Об основном документе, удостоверяющем личность гражданина Российской Федерации». Согласно данному документу, основным документом, удостоверяющим личность гражданина Российской Федерации будет являться электронная идентификационная карта, содержащая визуальные и электронные носители информации с записанными на них персональными данными владельца, включая биометрические персональные данные. Цифровизация общественных отношений является новым вызовом, но и одновременно новым фактором повышения эффективности системы правовых актов в сфере защиты персональных данных.
Источник: https://www.elibrary.ru/item.asp?id=42539367&
На протяжении последних нескольких лет работе с ПД физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку ПД и увеличены штрафы.
В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка ПД.
Персональные данные - ПД– любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
- организующие и (или) осуществляющие обработку ПД;
- определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД.
Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):
- ФИО
- дата рождения
- адрес
- телефон
- электронный адрес
- фотография
- ссылка на персональный сайт
- ссылка на профиль в социальных сетях
Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных.
Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.
Источник: https://kontur.ru/articles/4816
В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.
Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.
1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ). Введено новое понятие "персональные данные, разрешенные для распространения". Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – "общедоступные персональные данные".
Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив ПД, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор ПД) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект ПД, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся ПД, обрабатываемые оператором.
Рассмотрим новые правила работы с персданными подробнее.
Для распространения данных нужно получить новое согласие
Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.
Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).
Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).
Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):
- например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
- через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).
Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).
Содержание согласия на распространение персональных данных
Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.
Федеральный закон от 24.02.2021 № 19-ФЗ
27 марта 2021 года вступят в силу поправки в КоАП РФ, которыми будут увеличены существующие и введены новые штрафы за нарушения правил обработки персональных данных, то есть любой информации, прямо или косвенно относящейся к конкретному физическому лицу (субъекту персональных данных). Обработка персональных данных – это любые действия с ними, в том числе сбор, запись, хранение, обновление, изменение, блокировка, удаление, уничтожение и т. д. Рассмотрим, что принесут поправки.
Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.
Последний раз административную ответственность в этой сфере усиливали в 2017 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.
Обратите внимание на следующие нововведения:
1. За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.
2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.
Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.
3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.
Предусмотренный ч. 1 ст. 13.11 КоАП РФ штраф за незаконную обработку персональных данных или их обработку в целях, которые несовместимы с целями сбора персональных данных, увеличился вдвое. По новым правилам нарушителей будут штрафовать на сумму:
- от 10 000 до 20 000 руб. – предпринимателей (сейчас – от 5 000 до 10 000 руб.);
- от 10 000 до 20 000 руб. – для должностных лиц (сейчас – от 5 000 до 10 000 руб.);
- от 60 000 до 100 000 руб. – организации (сейчас – от 30 000 до 50 000 руб.).
Кроме того, вводится штраф за повторное такое нарушение. Его размер составит (ч. 1.1 ст. 13.11 КоАП РФ):
- от 4 000 до 12 000 руб. – для граждан;
- от 20 000 до 50 000 руб. – для должностных лиц;
- от 50 000 до 100 000 руб. – для предпринимателей;
- от 100 000 до 300 000 руб. – для организаций.
Вдвое повысят штраф за обработку персональных данных без письменного согласия субъекта персональных данных, когда такое согласие является обязательным. Штраф за такое нарушение составит (ч. 2 ст. 13.11 КоАП РФ):
- от 6 000 до 10 000 руб. – для граждан (сейчас – от 3 000 до 5 000 руб.);
- от 20 000 до 40 000 руб. – для должностных лиц и ИП (сейчас – от 10 000 до 20 000 руб.);
- от 30 000 до 150 000 руб. – для организаций (сейчас – от 15 000 до 70 000 руб.).
Для таких нарушений, совершенных повторно, законодатели также предусмотрели ответственность в виде штрафа (ч. 2.1 ст. 13.11 КоАП РФ):
- от 10 000 до 20 000 руб. – для граждан;
- от 40 000 до 100 000 руб. – для должностных лиц;
- от 100 000 до 300 000 руб. – для предпринимателей;
- от 300 000 до 500 000 руб. – для организаций.
Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.
Напомним, что административное правонарушение считается совершенным повторно, если оно совершено в течение одного года с момента привлечения к ответственности за аналогичное правонарушение (ч. 1 ст. 4.3, ст. 4.6 КоАП РФ).
Еще одно нововведение – увеличение срока давности привлечения к административной ответственности (ст. 4.5 КоАП РФ) по нарушениям в области персональных данных. Если сейчас наказать могут в течение трех месяцев со дня совершения нарушения, по новым правилам наказание может последовать в течение года.
Источник: https://its.1c.ru/db/newscomm/content/473566/hdoc@4f613d84