Персональные данные. Основные изменения 2021 года

В конце декабря 2020 года в Федеральный закон «О персональных данных» № 152-ФЗ от 27.07.2006 были внесены значительные изменения. Изменения вступали в силу в два этапа:

• с 1 марта 2021 – основная часть,

• с 1 июля 2021 г. – часть положений.

Основная цель поправок – избежать неконтролируемого использования общедоступных персональных данных на интернет-сайтах в целях, отличных от цели их первоначального распространения.

Появилось новое понятие – персональные данные (далее – ПДн), разрешенные субъектом ПДн для распространения.

Отличительными особенностями таких ПДн является то, что это ПДн, к которым имеет доступ неограниченный круг лиц и они разрешены для распространения субъектом ПДн в установленном законом порядке.

Для обработки таких данных необходимо специальное согласие субъекта этих ПДн, которое нужно оформлять отдельно от других подобных согласий (п. 5 ст. 1 ФЗ № 519-ФЗ). Такое согласие разрабатывается непосредственно оператором либо с помощью информационной системы Роскомнадзора и оформляется на русском языке. Оператор обязан обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии.

Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения по приказу Роскомнадзора № 18 от 24.02.2021, должно включать:

1. ФИО субъекта ПДн (работника), его контактную информацию (номер телефона, адрес электронной почты или почтовый адрес);

2. данные оператора, его информационные ресурсы;

3. цель обработки, категории и перечень ПДн;

4. условия, при которых полученные ПДн могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных работников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных ПДн;

5. срок действия согласия.

Требования к содержанию такого согласия вступили в силу с 01.09.21 и будут действовать до 01.09.27.

Оператор обязан в срок не позднее 3 рабочих дней с момента получения согласия субъекта опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения.

Оператору важно знать, что:

• молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом для распространения;

• если субъект ПДн сам раскрыл третьим лицам информацию о себе и не дал оператору ПДн согласие, то доказывать законность дальнейшей обработки таких сведений обяжут тех, кто этой информацией занимался. Это касается и случаев, когда раскрытие произошло из-за правонарушения, преступления или обстоятельств непреодолимой силы;

• передачу разрешенных для распространения ПДн нужно будет прекратить в любое время по требованию их субъекта;

• в случае несоблюдения новых правил субъект сможет потребовать прекратить передачу ПДн от любого лица, которое их обрабатывает, или обратиться в суд;

• если из предоставленного согласия на обработку ПДн, разрешенных для распространения, не следует, что субъект согласился с распространением ПДн, такие ПДн обрабатываются оператором без права распространения.

С 27.03.2021 ужесточилась административная ответственность за нарушения в области персональных данных, вдвое увеличиваются штрафы (Федеральный закон от 24.02.2021 № 19-ФЗ):

• срок давности привлечения к ответственности теперь составляет 1 год (ранее – 3 месяца);

• суммы штрафов составляют:

штраф за обработку ПДн в случаях, не предусмотренных законодательством либо несовместимых с целями сбора ПДн	на ИП – до 20 000 руб. на ЮЛ – до 100 000 руб. вводится штраф за повторное нарушение
штраф за обработку ПДн без получения согласия субъекта ПДн, если оно должно быть либо если в согласии отсутствуют обязательные сведения	на ИП – до 40 000 руб. на ЮЛ – до 300 000 руб. вводится штраф за повторное нарушение
штраф за необеспечение неограниченного доступа к политике по обработке ПДн или к информации о требованиях к их защите	на ИП – до 20 000 руб. на ЮЛ – до 60 000 руб.
штраф за непредоставление субъекту ПДн информации, касающейся обработки его ПДн	на ИП – до 30 000 руб. на ЮЛ – до 80 000 руб.
штраф за невыполнение оператором в установленные сроки требования субъекта об уточнении ПДн, блокировании или уничтожении	на ИП – до 40 000 руб. на ЮЛ – до 90 000 руб. вводится штраф за повторное нарушение
штраф за несоблюдение условий защиты персональных данных на материальных носителях	на ИП – до 40 000 руб. на ЮЛ – до 90 000 руб.

Из чего состоит пакет документов по персональным данным для работодателя?

1. Политика обработки ПДн.

2. Положение «О персональных данных работников».

3. Приказ о назначении ответственных за обработку ПДн.

4. Приказ об установлении права доступа к ПДн (полный/ограниченный).

5. Обязательство о неразглашении ПДн с работниками, которые имеют доступ к ПДн (согласно Приказу).

6. Согласие на обработку ПДн от работника.

7. Согласие на передачу ПДн третьим лицам (по необходимости).

8. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения (по необходимости).

9. Заявление об отзыве согласия на обработку/передачу/распространение своих ПДн (образец для работника).

10. Уведомление в Роскомнадзор (по необходимости).