Главное Свежее Вакансии   Проекты
353 0 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Как ужесточились требования к работе с персональными данными в 2021 году

С 1 марта 2021 года действуют новые правила, которые обеспечивают дополнительную защиту персональных данных граждан. Теперь не допускается получение согласия на распространение таких данных по умолчанию. А с 27 марта в два раза увеличиваются штрафы.

Изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным (ПД), внес Федеральный закон от 30.12.2020 № 519-ФЗ.

Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.

Что изменилось в обработке персональных данных с 1 марта?


Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

  1. Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
  2. Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
  3. В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Как прекратить передачу данных, разрешенных для распространения?


Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

  1. ФИО;
  2. контактные данные;
  3. перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Требования к обработке персональных данных.


На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

  1. организующие и (или) осуществляющие обработку ПД;
  2. определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

  1. ФИО
  2. дата рождения
  3. адрес
  4. телефон
  5. электронный адрес
  6. фотография
  7. ссылка на персональный сайт
  8. ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

За что и на какие суммы штрафуют в 2021 году?


27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

Последний раз административную ответственность в этой сфере усиливали в 2017 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.

Обратите внимание на следующие нововведения:

1. За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.

2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.

Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.

3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.

Размер штрафа за обработку ПД в случаях, не предусмотренных законодательством и несовместимая с целями сбора ПД.

  1. Для физлиц: предупреждение или штраф — от 2 000 до 6 000 руб.
  2. Для должностных лиц: предупреждение или штраф — от 10 000 до 20 000 руб.
  3. Для юрлиц: предупреждение или штраф — от 60 000 до 100 000 руб.

При повторном нарушении:

  1. Для физлиц: от 4 000 до 12 000 руб.;
  2. Для должностных лиц: от 20 000 до 50 000 руб.;
  3. Для ИП: от 50 000 до 100 000 руб.;
  4. Для юрлиц: от 100 000 до 300 000 руб.

Обработка ПД без письменного согласия субъекта :

  1. Для физлиц: от 6 000 до 10 000 руб.
  2. Для должностных лиц: от 20 000 до 40 000 руб.
  3. Для юрлиц: от 30 000 до 150 000 руб.

При повторном нарушении:

  1. Для граждан: от 10 000 до 20 000 руб.;
  2. Для должностных лиц: от 40 000 до 100 000 руб.;
  3. Для ИП: от 100 000 до 300 000 руб.;
  4. Для юрлиц: от 300 000 до 500 000 руб.

Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПД, или сведениям по защите ПД:

  1. Для физлиц: 1 500 до 3 000 руб.
  2. Для должностных лиц: от 6 000 до 12 000 руб.
  3. Для юрлиц: от 30 000 до 60 000 руб.
  4. Для ИП: от 10 000 до 20 000 руб.

Непредоставление субъекту ПД информации по их обработке:

  1. Для физлиц: предупреждение или штраф — от 2 000 до 4 000 руб.
  2. Для должностных лиц: предупреждение или штраф — от 8 000 до 12 000 руб.
  3. Для юрлиц: предупреждение или штраф — от 40 000 до 80 000 руб.
  4. Для ИП: предупреждение или штраф — от 20 000 до 30 000 руб.

Невыполнение требования субъекта ПД или его представителя об уточнении, блокировке, уничтожении (если ПД неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки):

  1. Для физлиц: предупреждение или наложение штрафа в размере от 2 000 до 4 000 руб.
  2. Для должностных лиц: предупреждение или штраф — от 8 000 до 20 000 руб.
  3. Для юрлиц: предупреждение или штраф — от 50 000 до 90 000 руб.
  4. Для ИП: предупреждение или штраф — от 20 000 до 40 000 руб.

При повторном нарушении:

  1. Для граждан: от 20 000 до 30 000 руб.
  2. Для должностных лиц: от 30 000 до 50 000 руб.
  3. Для ИП: от 50 000 до 100 000 руб.
  4. Для юрлиц: от 300 000 до 500 000 руб.

Неисполнение обязанности по сохранности ПД, что привело к неправомерному или случайному доступу к ПД и стало причиной их уничтожения, изменения, блокирования, копирования:

  1. Для физлиц: от 1 500 до 4 000 руб.
  2. Для должностных лиц: от 8 000 до 20 000 руб.
  3. Для юрлиц: от 50 000 до 100 000 руб.
  4. Для ИП: от 20 000 до 40 000 руб.

Невыполнение государственным или муниципальным органом обязанности по обезличиванию ПД; несоблюдение требований по обезличиванию ПД:

  1. Для должностных лиц: предупреждение или наложение административного штрафа — от 6 000 до 12 000 руб.

Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.

В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?

Что делать владельцу сайта, чтобы избежать ШТРАФОВ?


Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.

Например, на сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.

Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):

  1. ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  2. наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
  3. цель обработки ПД;
  4. перечень ПД, на обработку которых субъект дает согласие;
  5. наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
  6. перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
  7. срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
  8. подпись субъекта ПД.

Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе.

Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда.

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Случаи, когда уведомление Роскомнадзора не требуется


Уведомлять Роскомнадзор не нужно, если ПД:

  1. относятся к субъектам, которых связывают с оператором трудовые отношения;

  1. получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  2. являются общедоступными;
  3. включают только ФИО субъектов ПД;
  4. нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
  5. включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
  6. обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

Конфиденциальность персональных данных: когда ее не нужно обеспечивать


В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  1. в случае обезличивания ПД;
  2. в отношении общедоступных ПД;
  3. если данные включают только ФИО субъектов ПД;
  4. для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
  5. если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
  6. если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда не нужно получать согласие на обработку персональных данных?


Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:

  1. осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
  2. осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
  3. осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
  4. необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
  5. необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
  6. осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
  7. осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.

Что такое портал персональных данных?


Сегодня все новости, аналитические материалы, важные документы, рекомендации по обработке персональных данных, реестр операторов и другую необходимую информацию можно найти на портале персональных данных. Ответственность за ресурс возложена на Роскомнадзор.

Как еще планируют ужесточить обработку персональных данных?


Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.

Министерство предлагает запретить операторам:

  1. использовать какую-либо дополнительную информацию, с помощью которой можно определить принадлежность персональных данных конкретному субъекту;
  2. помимо обезличенных данных передавать третьим лицам информацию, позволяющую идентифицировать человека;
  3. деобезличивать данные, за исключением случаев, когда необходимо защитить жизнь или здоровье человека.

Как уточнили в Минцифре, есть только одна причина, по которой обезличенные персональные данные можно использовать без согласия — в исследовательских и статистических целях.

Хотите автоматизировать 80 % работы бухгалтера и не допускать ошибок — подключайтесь к нашему сервису интернет бухгалтерии. Вы избавитесь от рутины и будете успевать намного больше. По сложным вопросам учёта вы сможете бесплатно получать

#обработка_персональных_данных

0
В избр. Сохранено
Авторизуйтесь
Вход с паролем