Корзина
43 отзыва
8 800 201 73 60
Знания для эффективного управления бизнесом!

Новые правила работы с персональными данными в 2021 году

С 1 марта 2021 года передавать персональные данные нужно по-новому. Теперь работодателю недостаточно одного согласия на обработку персональных данных. Новая статья 10.1 Закона от 27.07.2006 № 152-ФЗ «О персональных данных» вводит понятие...

12.04.21

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

 

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

 

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

  • организующие и (или) осуществляющие обработку ПД;
  • определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД. 

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

 

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

  • ФИО 
  • дата рождения
  • адрес
  • телефон
  • электронный адрес
  • фотография
  • ссылка на персональный сайт
  • ссылка на профиль в социальных сетях

 

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

 

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

 

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

 

Что изменилось в обработке персональных данных с 1 марта

Новые изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным (ПД), внес Федеральный закон от 30.12.2020 № 519-ФЗ. Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

  • Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.  
  • Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
  • В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

 

На данный момент у ответственных лиц, отвечающих за защиту персональных данных в организациях возникает много вопросов по самому понятию. 

 

Давайте разберемся, что же такое распространение персональных данных с точки зрения закона.   

 

Распространение персональных данных — частный случай передачи данных наряду с предоставлением и доступом. Это прямо следует из пункта 3 части 1 статьи 3 и части 5 статьи 10.1 Закона от 27.07.2006 № 152-ФЗ «О персональных данных».

 

В части 9 статьи 10.1 Закона от 27.07.2006 № 152-ФЗ «О персональных данных» сказано, что работник вправе запретить передачу своих персональных данных неограниченному кругу лиц.

 

Следовательно, с 1 марта согласие на распространение своих данных сотрудник может дать только работодателю напрямую. 

То есть утверждение о том, что распространение носит публичный характер, а передача — адресный  в корне неверно.  

 

Что указывать в согласии на распространение персданных, закон не определяет. Однако это не значит, что его можно оформлять в свободной форме. Требования к документу дополнительно установит Роскомнадзор, ч. 9 ст. 9 Закона о персданных.

 

В проекте требований исчерпывающий перечень персданных, включая специальные и биометрические. Если будете разрабатывать форму согласия сами, учтите, что вписывать в него все эти данные нельзя — только те, которые нужны для работы.

 

 

Другие новости