Что является персональными данными 2021
Персональные данные в 2021 году: как работать, чтобы не нарушить закон
В марте изменился 152-ФЗ «О персональных данных». Теперь появилось понятие данных, которые не только обрабатывают, но и распространяют. Поэтому бизнесу придется изменить некоторые процессы. Рассказываем, все ли так страшно на самом деле.
Кто становится оператором персональных данных?
На самом деле в законе нет четких формулировок, что такое персональные данные. Но все сходятся во мнении, что если бизнес использует фамилию, имя, email пользователя, и по этой информации реально найти человека через поисковые системы, то это персональные данные. Поэтому практически все сайты с формой регистрации попадают под действие нового закона.
Что делать операторам персональных данных?
Основное изменение в том, что раньше брали разрешение на обработку персональных данных, а теперь нужно разрешение и на распространение. Поэтому юристы рекомендуют переписать соглашения с клиентами, с пользователями или сотрудниками, которые подписали до этого. Потому что даже отправка информации в банк, чтобы оформить зарплатную карту — это распространение персональных данных, а для этого нужно согласие. Вот. что еще лучше сделать, чтобы не нарушить закон:
На сайте у каждой формы регистрации лучше поставить кнопку, что пользователь дает согласие на обработку персональных данных.
Далее разместите на ресурсе политику конфиденциальности. Ссылку на документ поставьте около каждой формы обратной связи и кнопок регистрации. Единого образца для этой формы нет. Пока это делается в свободном виде.
В законе написано, что персональные данные необходимо использовать по назначению бизнеса. Например, кадровому агентству понадобятся ФИО и сведения об образовании, а вот паспортные данные не нужны. Сотрудники Роскомнадзора на вебинарах говорят, что это главная ошибка предпринимателей. Поэтому компании лучше разработать нормативные документы, чтобы указать, как собирают данные и с какой целью.
Кроме этого, закон требует назначить сотрудника, который отвечает за то, как в компании собираются и хранятся персональные данные. Назначение оформляют с помощью приказа.
После этого каждая компания обязана направить в Роскомнадзор информацию, что она — оператором персональных данных. По закону это делают до того, как начался сбор данных. Для уведомления зайдите на сайт Роскомнадзора и заполните специальную форму. С 1 июля ведомство обещает сделать специальный электронный сервис для отправки уведомлений.
Роскомнадзор не уведомляют в нескольких случаях:
Вы используете только фамилию, имя и отчество;
Персональные данные нужны для оформления договора;
Данные нужны для заключения трудовых отношений;
Обработка данных выполняется без автоматизированных сервисов.
Почему закон поменялся?
Специалисты уверены, что дело в кибермошенниках, которые активны в последнее время. Например, в 2020 году они украли у россиян 10 миллиардов рублей, а это на 52, 2 % больше, чем в 2019 году. Это происходит и потому, что пользователи активно оставляют данные в сети. Они соглашаются на обработку данных, но затем информация утекает в третьи руки.
Данные используют для обзвона, но это не самое страшное. Плохо, если информация попадает в руки хакеров, которые с ее помощью крадут деньги. В итоге власти решили, что надо ужесточить правила работы с данными, чтобы сайты не раздавали их направо и налево.
Как изменится работа бизнеса?
Роскомнадзор намерен строго спрашивать с предпринимателей правила работы с персональными данными. На сайте ведомства есть план проверок на этот год. Увеличиваются и штрафы за нарушение работы. Например, ИП и ООО могут потерять от 20 000 до 150 000 рублей. Поэтому лучше выполнить все требования закона.
На самом деле все не так страшно. Просто надо понять, что теперь нужно не только согласие на обработку персональных данных, но и разрешение на распространение. Поэтому на сайте без разрешения нельзя опубликовать даже имя и фамилию сотрудника. И если человек в соцсетях написал телефон или email, то нельзя, как раньше, взять эту информацию для маркетинговых действий.
Закон о персональных данных: что поменялось и как теперь правильно
Без предисловий и вступлений – актуализируем уже существующую статью на эту тему «Политика конфиденциальности» – разберемся с нововведениями и узнаем, как теперь надо делать.
Напомню, персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
То есть, это фамилия-имя-отчество, дата рождения, паспорт/СНИЛС, номер телефона, e-mail и иные идентификаторы в соцсетях и мессенджерах, место проживания, сведения о семейном положении/о родственниках, сведения о зарплате, информация о судимостях, индивидуальные данные (политические и религиозные взгляды, раса, национальность), фото и/или видео, которые позволяют идентифицировать личность, биометрические данные.
Если копнуть немного глубже, то законодатель подразделяет персональные данные на несколько видов:
Какие изменения произошли в ФЗ-152 в 2021 году?
На самом деле, ответ на поверхности. Введено новое понятие – «персональные данные, разрешенные субъектом для распространения». Внимательно вчитайтесь в него.
Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом (п. 1.1 ст. 3).
Если простыми словами, то обрабатывать и распространять можно только те персональные данные, на которые субъект дал свое согласие.
Сделано это для того, чтобы третьи лица НЕ могли осуществлять сбор и последующее использование персональных данных в целях, отличных от цели их первоначального распространения (нарушая положения п. 2 ст. 5 ФЗ «О персональных данных», где четко сказано, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей).
Банальный пример – ваша страничка в ВКонтакте, где вы тщательно заполнили профиль (ФИО, дата рождения, номер телефона, e-mail, политические/религиозные взгляды и т.п.). Это все ваши персональные данные, которые вы разместили в общем доступе. И если раньше компании, которые собирали персональные данные из таких общедоступных источников (и потом звонили вам с разными сомнительными предложениями) могли делать это свободно, то теперь нужно обязательно получить ваше согласие на обработку и на распространение ПД.
Также ранее, чтобы требовать у оператора блокировки/удаления своих персональных данных, нужно было ДОКАЗАТЬ, что они являются неполными/устаревшими/неточными/незаконно полученными или не являются необходимыми для заявленной цели обработки.
Теперь же субъект вправе потребовать оператора удалить его персональные данные из общего доступа без объяснения причин. И оператор обязан это сделать.
Новые положения в обработке персональных данных
Теперь поговорим о сложностях, которые создали эти нововведения для операторов ПД.
Оператор персональных данных – государственный/муниципальный орган, юридическое/физическое лицо, самостоятельно или совместно с другими лицами организующие/осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия/операции, совершаемые с ПД (ст. 3 152-ФЗ).
Новые положения определяют, что согласие на обработку персональных данных и согласие на распространение персональных данных – это два разных документа. Какие данные можно обрабатывать и распространять, а какие нет – решает сам субъект ПД.
На практике это означает, что теперь всем операторам персональных данных, которые выкладывают их в общий доступ, необходимо получать два согласия от субъекта.
Сейчас будет слегка запутано, но в итоге все разложим по полочкам. Разберемся в терминологии.
Обработка ПД – это любое действие с персональными данными, например, сбор, хранение, обновление, блокирование/удаление, обезличивание, использование, передача.
Передача ПД – это распространение, предоставление персональных данных.
Предоставление ПД – это раскрытие своих персональных данных определенному кругу лиц.
Распространение ПД – это раскрытие своих персональных данных неопределенному кругу лиц.
Из этих определений становится очевидно, что распространение персональных данных входит в обработку ПД. Тогда зачем два согласия? Давайте разбираться на примере.
Как работают на практике изменения в ФЗ-152
Заходите вы на сайт компании, чтобы что-то заказать, например, тортик =). Оформляя заказ и/или регистрируя личный кабинет, вы даете свое согласие на обработку персональных данных, соглашаетесь с политикой конфиденциальности, принимаете условия пользования сайтом.
И до вступления поправок в 152-ФЗ компания имела возможность распространять ваши ПД третьим лицам без вашего отдельного на то согласия (ведь вы согласились на обработку ПД, а распространение туда входит). И стали вы получать рекламные рассылки, на которые не подписывались, звонки от банков с предложениями взять кредит и т.д.
Теперь компания не имеет права распространять ваши ПД никак и никому. Только если вы сами дадите на это согласие. Обратите внимание, что по идее, даже оставляя отзыв на сайте компании, с вами должны заключить соглашение о распространении персональных данных, в котором вы должны указать, какие конкретно ПД компания может распространять. Например, только ваше фото или e-mail.
Обратите внимание: молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения (п. 8 ст. 10.1 152-ФЗ).
На практике это значит, что, даже ставя галочку напротив поля «Согласен на обработку персональных данных», вы НЕ даете своего согласие на их распространение.
Выразить свое согласие оператору на распространение персональных данных вы можете двумя способами:
И да, не забывайте, что отозвать свое согласие на распространение ПД вы можете в любой момент (п. 2 ст. 9 152-ФЗ). Оператор обязан прекратить распространение ПД в течение 3 рабочих дней с момента получения вашего требования.
А теперь давайте поговорим об исключениях из правил (куда ж без них).
Все исключения, когда оператор может передавать ваши персональные данные без вашего согласия, прописаны в пп. 2 – 11 ст. 6. Чтобы не делать из статьи портянку, приведу лишь несколько примеров:
Представим, что в вашем городе проводят опрос на тему «Устраивает ли вас ваша заработная плата». В опрос будут входить такие вопросы, как нынешний размер вашей зп, место работы, должность. Эта информация относится к персональным данным, но поскольку опрос проводится в статистических целях, то ваши ПД могут обработать без вашего согласия, но с условием их обезличенности.
Чем грозит несоблюдение изменений в ФЗ-152
И вот мы плавно подошли к, пожалуй, самому важному пункту: ответственность операторов ПД за нарушения 152-ФЗ.
За нарушения закона о персональных данных ответственность предусмотрена Кодексом об административных правонарушениях, ст. 13.11. В частности, за обработку персональных данных без согласия субъекта:
| Наложение штрафа на: | При первом нарушении: | При повторном нарушении: |
| Граждане | от 6 до 10 тысяч рублей | от 10 до 20 тысяч рублей |
| Должностные лица | от 20 до 40 тысяч рублей | от 40 до 100 тысяч рублей |
| Юридические лица | от 30 до 150 тысяч рублей | от 300 до 500 тысяч рублей |
| Индивидуальные предприниматели | — | от 100 до 300 тысяч рублей |
А за невыполнение оператором обязанности по опубликованию/обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите персональных данных (другими словами, если вы прячете от всех тексты согласия на обработку ПД, политики конфиденциальности), грозят следующие штрафы:
| Наложение штрафа на: | При первом нарушении: |
| Граждане | от 1,5 до 3 тысяч рублей |
| Должностные лица | от 6 до 12 тысяч рублей |
| Юридические лица | от 30 до 60 тысяч рублей |
| Индивидуальные предприниматели | от 10 до 12 тысяч рублей |
Но помимо административной ответственности, можно напороться и на уголовную, ведь происходит нарушение неприкосновенности частной жизни (ст. 137 УК РФ).
К частной жизни законодатель относит: сведения о происхождении, о месте пребывания или жительства, о личной и семейной жизни (ст. 152.2 ГК РФ).
И за незаконный сбор или распространение сведений о частной жизни лица (без его согласия) или распространение этих сведений в публичном выступлении/публично демонстрирующемся произведении/СМИ наказание от административного штрафа вплоть до 200 тысяч рублей до лишения свободы сроком до 2 лет.
Санкции нехилые, поэтому рекомендую вам озадачиться пересмотром соглашений о персональных данных/политикой конфиденциальности на ваших сайтах и быть готовыми блюсти закон.
А если сомневаетесь, что у вас получится сделать все правильно и грамотно – обращайтесь к нам – поможем подготовить сайт к 152-ФЗ.
Как ужесточились требования к работе с персональными данными в 2021 году
С 1 марта 2021 года действуют новые правила, которые обеспечивают дополнительную защиту персональных данных граждан. Теперь не допускается получение согласия на распространение таких данных «по умолчанию». А с 27 марта в два раза увеличиваются штрафы.
Изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным (ПД), внес Федеральный закон от 30.12.2020 № 519-ФЗ.
Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.
В этой статье рассмотрим следующие вопросы:
Что изменилось в обработке персональных данных с 1 марта
Как прекратить передачу данных, разрешенных для распространения
Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.
Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:
Указанные ПД могут обрабатываться только оператором, которому оно направлено.
Требования к обработке персональных данных
На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.
В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:
Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):
Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.
В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.
Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.
За что и на какие суммы штрафуют в 2021 году
27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.
Последний раз административную ответственность в этой сфере усиливали в 2017 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.
Обратите внимание на следующие нововведения:
1. За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.
2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.
Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.
3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.
При повторном нарушении
При повторном нарушении
При повторном нарушении
Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.
В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?
Что делать владельцу сайта, чтобы избежать штрафов
Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.
Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально.
Например, на сайте Microsoft этот документ называется заявление о конфиденциальности. Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать. А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.
Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ):
Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.
Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе.
Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда.
За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.
Случаи, когда уведомление Роскомнадзора не требуется
Уведомлять Роскомнадзор не нужно, если ПД:
Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.
Конфиденциальность персональных данных: когда ее не нужно обеспечивать
В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:
Когда не нужно получать согласие на обработку персональных данных
Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:
Что такое портал персональных данных
Сегодня все новости, аналитические материалы, важные документы, рекомендации по обработке персональных данных, реестр операторов и другую необходимую информацию можно найти на портале персональных данных. Ответственность за ресурс возложена на Роскомнадзор.
Как еще планируют ужесточить обработку персональных данных
Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.
Министерство предлагает запретить операторам:
Как уточнили в Минцифре, есть только одна причина, по которой обезличенные персональные данные можно использовать без согласия — в исследовательских и статистических целях.
Более детальная информация об обработке персональных данных — в материалах наших экспертов:
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Новые правила обработки и распространения персональных данных с 1 марта 2021 года
Изменения в законе о персональных данных с 1 марта 2021 года
Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.
Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).
Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.
Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени
1. С 1 марта 2021 года изменился порядок обработки персональных данных, разрешенных гражданами для распространения.
2. Согласие на распространение персональных данных теперь оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных.
3. Получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя. Нужно заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.
4. Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора.
5. Гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц.
6. По новым правилам физлицо в любое время может обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа.
7. Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет штраф для ИП и должностных лиц организаций от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Существующий правовой пробел позволял любым третьим лицам осуществлять сбор и последующее бесконтрольное использование общедоступных персональных сведений, в том числе и в социальных сетях. Причем собранные таким образом сведения зачастую используются третьими лицами в целях, отличных от цели их первоначального распространения, – для рассылки рекламы, предложения услуг и т.д.
Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.
Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.
Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.
Согласие на обработку данных, разрешенных к распространению
Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.
Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.
Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.
Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).
В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.
Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.
Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.
Отзыв согласия на обработку и распространение общедоступных персональных данных
Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.
Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).
По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.
При этом требование о прекращении передачи общедоступных данных должно содержать следующие сведения (п. 12 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ):
Причем все вышеуказанные персональные данные могут обрабатываться только оператором, которому было направлено требование. С момента получения оператором персданных указанного требования действие согласия физлица на обработку его общедоступных сведений считается прекращенным.
Получив от физлица требование о прекращении передачи общедоступных сведений, оператор персданных обязан в течение трех рабочих дней изъять эти сведения из общего доступа (п. 14 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ). В противном случае он понесет административную ответственность по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных).
Новые штрафы за нарушение правил обработки персональных данных
Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.
Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.
Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).
Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.
С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.