Закон о Персональных Данных (152-ФЗ), Как Не Нарушать и Быть Готовым к Проверкам Роскомнадзора

В этом году вступили в силу изменения в Федеральный закон "О персональных данных" - (далее - ПД).
Одним из негативных последствий интенсификации инновационного развития страны и, соответственно, расширения использования искусственного интеллекта, облачных технологий, технологий больших данных, интернета вещей и других информационных технологий, является усиление угрозы несанкционированного доступак информации о личной жизни граждан и ее неправомерного использования. 

Базовое положение, содержащееся в ст. 23 Конституции РФ, конкретизировано системой нормативных актов, важнейшими из которых, очевидно, являются Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Трудовой кодекс РФ и ряд других законов.

Новые поправки обязали банки передавать данные, собранные со своих клиентов в единую биометрическую систему. Доступ к такой системе получат государственные органы, нотариусы, а также иные организации, оказывающие услуги физическим лицам. Начинает формироваться база биометрических данных, где будут храниться полученные голоса. Для распространения таких данных нужно получить новое согласие непосредственно на распространение ПД, иначе оператор не имеет права передавать их иным лицам.
Это не касается передачи ПД государственным структурам: военкомату, ФНС, ФСС, полиции, следственным органам и т. д., куда ПД можно передавать им без согласия.
Требования к содержанию нового согласия на распространение ПД устанавливаются Роскомнадзором.
Субъект ПД может самостоятельно выбирать, какие именно личные данные и на каких условиях может распространять оператор, получивший к ним доступ.
А вы давали уже такое согласие? Были ли у вас проблемы, когда вы не желали такого распространения?
#персональныеданные#закониплрядок#адвокатыекб#закон

С появлением автоматизированной обработки персональных данных и их размещением в открытых информационных сетях ситуация изменилась: возникла возможность несанкционированного использования баз данных, в том числе и в криминальных целях, т. е. опасность нежелательного для гражданина разглашения конфиденциальной информации

Серьезной проблемой, как отмечено в Стратегии развития информационного общества в Российской Федерации на 2017−2030 гг., является необходимость соблюдения баланса между своевременным внедрением современных технологий обработки данных с защитой прав граждан, включая право на личную и семейную тайну. В тоже время цифровизация в ряде случаев обеспечивает больше гарантии правообладателям. Так, например, цифровые данные в большей мере защищают конфиденциальную информацию. Так, в частности, «аналоговые удостоверения» — например, водительское удостоверение или паспорт — статичны и монолитны. Поэтому невозможно предъявить лишь одну их часть или графу. А цифровые данные такую возможность предоставляют

В силу вышеизложенных аргументов подготовлен проект Федерального закона «Об основном документе, удостоверяющем личность гражданина Российской Федерации». Согласно данному документу, основным документом, удостоверяющим личность гражданина Российской Федерации будет являться электронная идентификационная карта, содержащая визуальные и электронные носители информации с записанными на них персональными данными владельца, включая биометрические персональные данные. Цифровизация общественных отношений является новым вызовом, но и одновременно новым фактором повышения эффективности системы правовых актов в сфере защиты персональных данных.

Источник: https://www.elibrary.ru/item.asp?id=42539367&

На протяжении последних нескольких лет работе с ПД физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку  ПД и увеличены штрафы.

Именно для минимизации угроз была разработано понятие «персональные данные». Оно представляет собой любую информацию, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»). Всего же в настоящее время действует 131-й федеральный закон, содержащий в том или ином объеме информацию о персональных данных.

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка ПД.

Персональные данные - ПД– любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

  • организующие и (или) осуществляющие обработку ПД;
  • определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД. 

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Как указал президент Всемирного экономического форума в Давосе К. Шваб, «четвертая промышленная революция изменит не только то, что мы делаем, но и то, кем мы являемся. На нас, на индивидуумов, это окажет многоплановое влияние, скажется на нашей идентичности и различных гранях ее проявления: на наши представления о неприкосновенности частной жизни»

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

  • ФИО 
  • дата рождения
  • адрес
  • телефон
  • электронный адрес
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных.

Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

Источник: https://kontur.ru/articles/4816

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

Основой отечественного законодательства в сфере персональных данных являются международные договоры, важнейшим из которых является Конвенция о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г.

1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ). Введено новое понятие "персональные данные, разрешенные для распространения". Речь идет о распространении персональных данных неограниченному кругу лиц. Этот новый термин, по сути, пришел на смену прежнему – "общедоступные персональные данные".

Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив ПД, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор ПД) будет подразумеваться лицо, которое обрабатывает персональные данные. Под субъектом персональных данных (далее – субъект ПД, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся ПД, обрабатываемые оператором.

Рассмотрим новые правила работы с персданными подробнее.

Для распространения данных нужно получить новое согласие

Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ –  письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ). Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).

Серьезной проблемой, как отмечено в Стратегии развития информационного общества в Российской Федерации на 2017−2030 гг., является необходимость соблюдения баланса между своевременным внедрением современных технологий обработки данных с защитой прав граждан, включая право на личную и семейную тайну.

Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).

Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):

  • например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
  • через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).

Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).

Содержание согласия на распространение персональных данных

Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ). На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.

Серьезной проблемой, как отмечено в Стратегии развития информационного общества в Российской Федерации на 2017−2030 гг., является необходимость соблюдения баланса между своевременным внедрением современных технологий обработки данных с защитой прав граждан, включая право на личную и семейную тайну.

Федеральный закон от 24.02.2021 № 19-ФЗ

27 марта 2021 года вступят в силу поправки в КоАП РФ, которыми будут увеличены существующие и введены новые штрафы за нарушения правил обработки персональных данных, то есть любой информации, прямо или косвенно относящейся к конкретному физическому лицу (субъекту персональных данных). Обработка персональных данных – это любые действия с ними, в том числе сбор, запись, хранение, обновление, изменение, блокировка, удаление, уничтожение и т. д. Рассмотрим, что принесут поправки.

 Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

Последний раз административную ответственность в этой сфере усиливали в 2017 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.

Обратите внимание на следующие нововведения:

1.   За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.

2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.

Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.

3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.

Предусмотренный ч. 1 ст. 13.11 КоАП РФ штраф за незаконную обработку персональных данных или их обработку в целях, которые несовместимы с целями сбора персональных данных, увеличился вдвое. По новым правилам нарушителей будут штрафовать на сумму:

  • от 10 000 до 20 000 руб. – предпринимателей (сейчас – от 5 000 до 10 000 руб.);
  • от 10 000 до 20 000 руб. – для должностных лиц (сейчас – от 5 000 до 10 000 руб.);
  • от 60 000 до 100 000 руб. – организации (сейчас – от 30 000 до 50 000 руб.).

Кроме того, вводится штраф за повторное такое нарушение. Его размер составит (ч. 1.1 ст. 13.11 КоАП РФ):

  • от 4 000 до 12 000 руб. – для граждан;
  • от 20 000 до 50 000 руб. – для должностных лиц;
  • от 50 000 до 100 000 руб. – для предпринимателей;
  • от 100 000 до 300 000 руб. – для организаций.

Вдвое повысят штраф за обработку персональных данных без письменного согласия субъекта персональных данных, когда такое согласие является обязательным. Штраф за такое нарушение составит (ч. 2 ст. 13.11 КоАП РФ):

  • от 6 000 до 10 000 руб. – для граждан (сейчас – от 3 000 до 5 000 руб.);
  • от 20 000 до 40 000 руб. – для должностных лиц и ИП (сейчас – от 10 000 до 20 000 руб.);
  • от 30 000 до 150 000 руб. – для организаций (сейчас – от 15 000 до 70 000 руб.).

Для таких нарушений, совершенных повторно, законодатели также предусмотрели ответственность в виде штрафа (ч. 2.1 ст. 13.11 КоАП РФ):

  • от 10 000 до 20 000 руб. – для граждан;
  • от 40 000 до 100 000 руб. – для должностных лиц;
  • от 100 000 до 300 000 руб. – для предпринимателей;
  • от 300 000 до 500 000 руб. – для организаций.

Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.

Напомним, что административное правонарушение считается совершенным повторно, если оно совершено в течение одного года с момента привлечения к ответственности за аналогичное  правонарушение (ч. 1 ст. 4.3, ст. 4.6 КоАП РФ).

Еще одно нововведение – увеличение срока давности привлечения к административной ответственности (ст. 4.5 КоАП РФ) по нарушениям в области персональных данных. Если сейчас наказать могут в течение трех месяцев со дня совершения нарушения, по новым правилам наказание может последовать в течение года.

Источник: https://its.1c.ru/db/newscomm/content/473566/hdoc@4f613d84

 

 

Яндекс.Метрика