Основные нормы ФЗ № 152
Изучая закон «О персональных данных» (152-ФЗ), следует в первую очередь разобраться в терминологии, которая в нем отражена. Так, ключевыми понятиями, которые содержит соответствующий источник права, можно считать:
- собственно «персональные данные» — определяемые как любая информация, касающаяся физического лица;
- «оператор персональных данных» — организация или физлицо, осуществляющие обработку ПД;
- «информационная система» — ресурс, на котором размещаются ПД.
Можно отметить, что в законе приведена в достаточной мере широкая трактовка понятия ПД — нет каких-либо четких критериев их определения. Это, как считают многие юристы, значительно способствует повышению уровня защищенности личной информации граждан, поскольку, в силу положений закона, практически все ее виды могут быть классифицированы как персональные данные.
Уведомление об изменении персональных данных: новый срок
Все, кто обрабатывает персональные данные, являются операторами персональных данных. Такие организации отправляют в
Роскомнадзор уведомление о сборе ПД и уведомление об изменении представленной информации.
Новое в персональных данных в 2023 году — это сроки подачи уведомлений. Ранее отправлять уведомление об изменении
представленных персональных данных операторам нужно было в течение 10 дней с момента их корректировки. С 1 марта
2023 года этот срок увеличен. Теперь, если ПД изменились, оператору можно отправить соответствующее уведомление в
Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. При представлении
используется форма из приложения № 2 приказа Роскомнадзора от 28.10.2022 № 180.
Пример заполнения формы из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180
Законно ли направление мне рекламы без моего согласия?
Прежде чем направить вам рекламные материалы, оператор обязан взять у вас согласие:
- на получение рекламных материалов, т.е. вы должны разрешить ему высылать их;
- на обработку ПД в целях продвижения товаров, работ или услуг, т.е. вы должны разрешить ему обрабатывать ваши данные (Ф.И.О., номер телефона, e-mail) для получения рекламной рассылки.
Обычно мы не замечаем, как даем эти согласия. Например, в магазине вы заполняете анкету для получения бонусной карты, что влечет согласие на рекламную рассылку; на сайте при заполнении формы обратной связи или при оформлении заказа вы ставите галочку напротив текста, который выражает ваше согласие ().
Если вы не хотите сталкиваться со спамом, рекомендую внимательно следить за тем, что вы подписываете или оформляете на сайте.
Краткий обзор ФЗ-152 «О персональных данных»
Информация о гражданах РФ относится к персональным данным лиц и защищается одноименным законом. Кроме того, закон о персональных данных защищает все права и свободы человека, его интересы, связанные с личной информацией о нем в причинно-следственном отношении. Как информацию о вас защитить, чтобы сохранить и не нарушить ваши интересы, права и свободы.
Закон устанавливает и контролирует правила сбора личных данных, их обработки, хранения и возможной передачи. В нем можно найти информацию о случаях, в которых личная информация может передаваться, или когда личная информация не может быть получена, т.е. за лицом сохраняется право ее не разглашать.ФЗ 152 полноправно действует с 23.01.2007 года. До этой даты персональные данные лиц были фактически не защищены, поскольку отсутствовал соответствующий закон, который бы устанавливал правила и контролировал их исполнение, связанных с получением, хранением и передачей личных данных.Существуют определенные требования к обработке персональных данных, их также можно найти в законе.
Ответственность за нарушение
Сохранность личных данных, правильный сбор информации, передача ее третьим лицам, а также уведомление самого лица о том, что сотрудник сохраняет ваши персональные данные, ведет ответственный в организации человек, это может быть сотрудник отдела кадров или же любой другой назначенный человек, в том числе оператор.
Если оператор (бухгалтер, сотрудник отдела кадров, банковский служащий или другое назначенное лицо) допустил утечку информацию, или же информация была случайно разглашена, ответственность за нее несет он, а не субъект данной информации.
Штраф за разглашение информации возлагается на каждый случай утечки, а не единожды на лицо, допустившее данную оплошность. В среднем штраф составляет от 500 до 1000 руб. с оператора, или же от 5000 до 10 000 руб. с организации.
Одна годовая проверка документации может выявить огромное количество нарушений, каждое из которых будет оштрафовано и обойдется юридическому лицу немалой суммой из бюджета организации.
В соответствии с Кодексом об административных нарушениях, если у юридического лица отсутствует Положение о личных данных персонала или клиентов, то при нарушении трудового кодекса организация может быть привлечена к административной ответственности. В таком случае сумма единовременных штрафов будет намного больше.Уполномоченным органом, контролирующим выполнение закона о персональных данных, является Роскомнадзор. Если предписания этого госоргана не выполняются, на предприятие может быть наложен штраф в размере 20000 руб. Игнорирование запроса Роскомнадзора о персональных данных обойдется организации в 5 000 руб.
Оператора, который был назначен ответственным за работу над личными данными, могут привлечь к административной ответственности, дисциплинарной, материальной, гражданско-правовой или даже к уголовной.
Субъект и оператор персональных данных
В федеральном законе № 152 «О персональных данных» упоминаются 2 понятия — субъект и оператор персональных данных. Ниже мы расскажем, кто это такие.
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Другими словами, оператор персональных данных — это человек или компания, которая занимается обработкой персональных данных.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор персональных данных несет ответственность в случае нарушения закона о защите персональных данных.
Субъект персональных данных — это любой человек, данные которого обрабатывает оператор персональных данных. К примеру, если вы зарегистрировались на сайте, то вы являетесь субъектом персональных данных, а владелец сайта — оператором.
Выполнение требований 152-ФЗ в банковской сфере
Основная статья: СТО БР ИББС
Поправка от 25 июля 2011 года (261-ФЗ) к 152-ФЗ «О персональных данных» наделила Банк России правами на разработку отраслевых нормативных документов по отдельным вопросам, касающимся обработки персональных данных, что узаконило СТО БР ИББС в качестве отраслевого стандарта обеспечения безопасности персональных данных. Кроме того, было также утверждено право Банка России на разработку отраслевой модели угроз безопасности ПДн (которой являются РС БР ИББС-2.4-2010).
Однако ряд положений СТО БР ИББС вступил в конфликт с новой версией закона «О персональных данных»:
- федеральный закон не даёт возможность операторам ПДн использовать не сертифицированные, но одобренные руководством организации, средства защиты информации (п.7.4.2 СТО БР ИББС-1.0-2010);
- под понятие информационной системы персональных данных, приведённое в законе, подпадают все автоматизированные банковские системы, обрабатывающие персональные данные, без исключения (п. 7.10.9 СТО БР ИББС-1.0-2010 исключает из понятия ИСПДн АБС, реализующие банковские платёжные технологические процессы).
Техническая сторона вопроса защиты персональных данных, согласно 19 статье 152-ФЗ, устанавливается Правительством РФ, а не нормами СТО БР ИББС, что также противоречит основной идее создания отраслевого стандарта.
В ближайшее время статус СТО БР ИББС будет уточнён подзаконными нормативными актами Правительства, ФСТЭК, ФСБ, а также информационными письмами Банка России.
Что такое обработка персональных данных?
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Примеры:
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Обработка персональных данных: образцы всех документов 2022
Работодатель – оператор персональных данных
Защита и обработка персональных данных регулируется Федеральным законом от 27.07.2006 N 152-ФЗ.
Персональные данные люди передают многим юридическим лицам (например, банкам, магазинам или салонам красоты).
Работодатель также признается оператором персональных данных. Однако уведомлять об их обработке Роскомнадзор не надо, поскольку данные используются только в рамках трудовых отношений (ст. ст. 3, 22 Закона N 152-ФЗ). Вместе с этим, на работодателе лежит ответственность за корректную организацию системы обработки и защиты персональных данных своих сотрудников.
Поскольку без этой информации не сможете принять его на работу. Если по должности обязательно образование, можете обрабатывать данные диплома или аттестата сотрудника.
А если для работы нужен медосмотр, сможете также запросить информацию о состоянии его здоровья (ст. 213 ТК).
Полный список документов с видами персональных данных, которые они содержат, смотрите в таблице.
Положение о защите персональных данных в 2022 году
Чтобы учесть все новшества законодательства о персональных данных в 2022 году в положении о защите персональных данных работников установите порядок работы с данными, перечень лиц, имеющих к ним доступ, правила хранения личных дел и других кадровых документов, способы защиты электронных документов. Утвердите положение приказом руководителя и ознакомьте с ним работников под роспись (ст. 88 ТК РФ).
Положение о защите персональных данных зачастую называют Положением о работе с персональными данными. Никакой ошибки в этом нет. Суть документа зависит от содержания, а не от названия. Главное, чтобы в Положении были определены: порядок работы с данными, перечень лиц, имеющих к ним доступ, правила хранения личных дел и других кадровых документов, способы защиты электронных документов.
Приведем образец приказа об утверждении положения о защите персональных данных в 2022 году. Образец самого положения, актуальный в 2022 году, вы можете скачать в конце этой статьи.
Приказ о назначении ответственного за перс.данные
Назначьте ответственного за обработку персональных данных, с него и с остальных лиц, имеющих к ним доступ, возьмите обязательство о неразглашении. Приведем примеры этих документов.
Обязательство о неразглашении перс.данных
Если человек (работник организации) имеет доступ к персональным данным работников, то с него нужно взять обязательство о неразглашении этих сведений. Приведем пример обязательства о неразглашении персональных данных сотрудников:
Согласие работника на обработку перс.данных
При приеме на работу оформите согласие работника на обработку персональных данных. Можно сделать отдельный документ или включить условие о согласии в трудовой договор.
Срок действия согласия закон не ограничивает, поэтому можно указать любой срок. Например, до дня его отзыва (ст. 9 Закона N 152-ФЗ). Подробнее об оформлении согласия вы можете прочитать в отдельной статье “Каким должно быть согласие на обработку персональных данных“. В этой же статье вы посмотреть образец согласия, актуальный в 2022 году.
Согласие на передачу персональных данных
Имейте в виду, что персональные данные без согласия работника можно передать третьим лицам только в установленных законом случаях, например, в налоговый орган, ПФР и ФСС. В других ситуациях надо получить письменное согласие работника (ст. 88 ТК РФ).
Актуально на 27 января 2022
Положение о работе с персональными данными (образец)
Актуально на 27 января 2022
Бланк положения о защите персональных данных работников
Основные положения закона о персональных данных с 1 января 2024 года с комментариями
ФЗ №152 в его новой редакции обязывает хранить все персональные данные, касающиеся граждан РФ, на серверах, которые находятся на территории России.
Операторы, работающие с личными данными граждан, должны вести соответствующие записи, собирать информацию и дополнять ее при необходимости только информацией, собранной на территории РФ и хранить ее тоже только на территории РФ.Категорически нельзя использовать ту информацию, которая практически может находиться за пределами России, т.е. берется с источников, находящихся за пределами России. Даже используя сеть интернет, нельзя дополнять личные данные человека информацией с зарубежных сайтов, если эти сайты ведутся не на территории России.В соответствии с данным законом, к персональным данным лица относится или может относиться абсолютно любая информация о лице как-либо с ним связанная. Последняя редакция закона пояснила этот момент гражданам, что к персональным данным относятся не только их полное имя, дата рождения и адрес по регистрации.
Персональные данные граждан относятся к типу информации конфиденциального характера. Любая организация, которая прямо или косвенно использует имена клиентов, реквизиты компаний, с которыми она работает, почтовый индекс кого-либо в своей переписке и т.д., должна позаботиться о полной сохранности этих данных, т.е. обеспечить систему защиты при помощи шифрования или других средств.
Способы обеспечения защиты личных данных компаниями, которых нет в законе 152:
- построение дата-центров (мелкие организации не могут позволить себе данную процедуру в виду ее высокой стоимости реализации);
- обезличивание личной информации (отделить данные от субъекта, при необходимости данные возвращаются на территорию РФ и объединяются с их владельцами);
- скрывать месторасположение иностранного сервера, дублировать информацию о клиентах и отправлять на зарубежные серверы;
Что изменилось с 1 марта 2023 года
Согласно тексту поправок ст.12 152-ФЗ, сама форма уведомления о намерении трансграничной передачи не изменилась. До
1 марта 2023 года Роскомнадзор не мог принимать решения о запрете или ограничении отправки ПД. После 1 марта 2023
года у ведомства такое полномочие появилось. Теперь Роскомнадзор сам принимает решение, может ли зарубежная страна
обеспечить должную защиту персональных данных.
Важно! Операторам, подавшим уведомление о трансграничной передаче до 1 марта 2023 года, не нужно
подавать новое уведомление до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание
новых трансграничных потоков данных.
Решение о запрете или ограничении передачи персональных данных в другие страны
Рекомендуем отправителю заранее убедиться, что его иностранный партнёр может обеспечить конфиденциальность
передаваемой информации и её защиту при обработке. Иначе Роскомнадзор установит запрет. Это может отрицательно
повлиять на бизнес. Важная встреча или сделка сорвётся, и компания потеряет деньги. В некоторые страны передача
личных сведений граждан осуществляется более лояльно.
Что является личной информацией?
К общей личной информации (находятся в паспорте, трудовой книжке, военном билете и т.д.) относятся:
- ФИО;
- место регистрации и место фактического проживания;
- сведения, указанные в паспорте;
- уровень образования и профессиональной классификации;
- ИНН;
- СНИЛС;
- контакты в сочетании с ФИО;
- предыдущая работе;
- состав семьи;
- прохождение военной службы;
- размер доходов.
О том, считается ли ИНН персональными данными и какая еще информация входит в это определение, мы более подробно рассказывали тут.
К биометрическим данным относятся:
- группа крови;
- рост и вес;
- цвет глаз и волос;
- анализ ДНК.
Биометрические системы аутентификации — системы аутентификации, использующие для удостоверения личности людей их биометрические данные.
Личная информация, содержащаяся в медицинских справках:
- национальность и раса;
- религиозные и философские убеждения;
- наличие судимостей;
- состояние здоровья.
Благодаря хранению биометрических данных в паспорте, сравнение предъявителя паспорта и данных, хранящихся в паспорте (фотография лица, отпечатки пальцев и другие) выполняет автоматика.
Какие отношения регулирует
Закон устанавливает правила работы между физическими лицами и юридическими, которые используют персональные данные граждан в своей работе. Задача закона предотвратить разглашение персональных данных лица, поскольку это может привести к нарушению прав, свобод и интересов граждан.
Практически, если вы даете свое согласие на обработку и хранение персональных данных какой-либо организации, например, банку, вы позволяете ему использовать эти данные только в работе, касающейся банковского дела конкретного банка, поскольку вы состоите с этой организацией только в отношениях займа или, например, кредита.
Имеет ли право банк передавать ваши персональные данные другим банкам – нет, подобное нарушение банком недопустимо в соответствии с ФЗ 152, и грозит уголовной ответственностью операторам и самому юридическому лицу.
ФЗ 152 строго ограничивает права всех организаций, которые работают с персональными данными клиентов. Закон обязывает их устанавливать и использовать сложнейшие программы защиты их баз данных. Мелкие организации и фирмы не могут себе позволить подобную роскошь в виду ее высокой стоимостью.Подписывая соглашение об использовании юридическим лицом ваших персональных данных, вы позволяете исключительно ему ваши данные хранить и применять только для своей работы, поскольку вас связывают определенные рабочие отношения. Разглашение личных данных может грозить вам нарушением прав и свобод, а организации немалым штрафом или же привлечением к уголовной ответственности.
Краткая справка по теме статьи:
Как владельцу ПД разрешить их использование?
Основной и во многих случаях единственный способ, с помощью которого владелец ПД может передать в распоряжение оператора свои персональные данные — в письменном виде дать согласие на их обработку. Как правило, оно представляет собой заявление, в котором человек перечисляет ПД, которые готов дать на обработку, указывает способы обработки ПД, которые он одобряет.
Закон «О персональных данных» в некоторых случаях не требует оформления соответствующего согласия — например, если речь идет об оформлении сотрудника на работу. Однако на практике многие компании, нанимающие работников, все же просят их предоставить согласие на обработку ПД. Это во многом связано с тем, что формально не все типы операций с кадровыми документами попадают под исключения, которые содержит закон «О защите персональных данных». Полезно будет рассмотреть их перечень отдельно.
Контроль над исполнением положений ФЗ № 152
Закон «О персональных данных» (152-ФЗ) устанавливает, что контроль над исполнением его положений должен осуществлять компетентный орган власти. Он функционирует на федеральном уровне, и потому, ему подчинены различные региональные ведомства. Данный орган власти имеет право:
- получать у физлиц и организаций сведения, необходимые в целях реализации установленных для него полномочий;
- проверять сведения, включаемые в уведомления об обработке ПД;
- обращаться к другим государственным структурам за содействием в решении поставленных задач;
- предписывать оператору ПД корректировать, блокировать или же уничтожать данные, которые признаны недостоверными или получены в обработку незаконным путем;
- обращаться в судебные органы с исками в пользу защиты владельцев ПД, а также представлять их интересы в процессе слушаний;
- взаимодействовать с органами, выдающими лицензии для операторов ПД, на предмет аннулирования соответствующих разрешительных документов в тех случаях, если лицо, осуществляющее обработку ПД, нарушает требования закона;
- взаимодействовать с прокуратурой и силовыми структурами по вопросам защиты персональных данных граждан;
- предлагать правительству РФ меры по совершенствованию законодательства в области ПД;
- привлекать в административном порядке к ответственности тех лиц, что нарушают нормы ФЗ № 152.
А что мы хотим? Какая должна быть реакция?
Но тут как всегда нам задают вопрос — а что же вы хотите? Утечка уже произошла, ничего не поделаешь. Поэтому мы сели с коллективом и стали сочинять — а чего мы собственно хотим? К выводу, что штраф в 60 тысяч и мелкий промо-код — это явно не то, что мы хотим, мы пришли довольно быстро.
Об этом мы писали еще в расследовании про покупку персональных данных у сотовых операторов — провинившегося сотрудника карают увольнением и мелким штрафом, что как правило даже близко не компенсируют проблемы и потери пострадавшего.
Вообще некоторые предпринятые меры нам даже нравится. Мы, например, считаем, что новая функция Яндекс.Еды, где пользователь может удалить данные о старых заказах, вполне разумная и симпатичная.
Хотя пользователю можно предложить опцию стирать данные через какое-то время. Есть ведь люди, которым не интересно, что именно они ели 5 марта 2018 года.
Идеальная реакция, а какая она?
-
Признавать утечку, описать обстоятельства. С этим многие справляются, но не полностью. У нас все еще много вопросов, как там все в Яндексе устроено, если один человек имел доступ на копирование такой базы клиентов.
-
Сформировать раздел на сайте, где пострадавшие, пресса и любопытные могут наблюдать за ходом расследования, принимаемыми мерами, а также обратиться за компенсацией если утечка имела для них негативные последствия — надо понимать что эти последствия могут возникнуть и сильно после утечки.
-
Персонализация и обратная связь. Пострадавшие от утечки должны получить контакты сотрудника компании, а не робота-автореплая. А что же вы хотите, пострадавших много? Хочу, чтобы интересы пользователей ставились выше экономии средств компании. Нам кажется, что они уже на штрафе сэкономили.
-
Предпринять меры и описать их, возможно, привлечь сторонних экспертов, инициировать обсуждение, поделиться практиками.
И еще у нас есть предложение:
важное, но явно на перспективу, тут быстрого результата мы не ждем. Отношение к хранению данных у российских компаний настолько наплевательское, что разработчики даже пишут к ним обращения
И тем не менее уже сегодня вполне возможно
-
организовывать сбор только необходимой информации пользователя,
-
и применять такие технологии идентификации пользователей, которые даже при краже баз данных не позволяют воспользоваться злоумышленникам чужой личностью.
Про избыточность собираемых данных много говорят сейчас: вот для использования сервиса «Госуслуг» для подачи данных о расходе воды в доме (для расчета оплаты коммунальных услуг) требуется дать полный доступ ко всему массиву данных из профиля пользователя – паспорт, СНИЛС, ИНН, военный билет, пол и пр. Вот так. Уже помянутый «СДЭК» с удивительного масштаба утечками требует полные паспортные данные для получения посылок, в то время как прочие логистические операторы вполне справляются без этого. Практику полного доступа к профилю на «Госуслугах» недавно ввел крупнейший маркетплейс Wildberries, хотя до сих пор много лет неплохо справлялся с продажами и без этого. Все подобные устремления компаний к обладанию полным архивом информации о пользователе не просто вызывают недоумение, но и в таком масштабе просто пугают. Зачем данные военного билета при покупке трусов или при внесении показателей счетчиков?!
Правда, тут отметим, что с 1 сентября в России вступили в силу поправки к закону «О персональных данных», которые как раз и призваны в том числе пресечь практику избыточного сбора данных. Но как он заработает – пока совсем непонятно. Формулировка очень мягкая: продавцам, исполнителям и маркетплейсам нельзя отказать пользователю в оказании услуги, если он отказался предоставлять персональные данные, но есть исключения. И, кажется, нововведение никого не смущает – подготовки изменений в работе каких-либо сервисов мы не заметили.
Что же касается технологий шифрования данных пользователя, то вот прекрасный кейс известного менеджера паролей LastPass: несмотря на то, что его взломали, никакой чувствительной информацией о пользователях злоумышленники поживиться не смогли, поскольку компания использует архитектуру Zero Knowledge. Последние годы много говориться о перспективах использования blockchein технологий для хранения данных. В общем, мы видим, что решения есть, и надеемся, что они будут применяться в сфере защиты персональных данных еще при нашей жизни. Тем более, она всячески на это намекает.
Если утечки данных имели для вас персональные неприятные последствия — делитесь своими историями!
Законодательство
Закон, трактующий определение персональных данных и раскрывающий его содержание, – ФЗ № 152 «О персональных данных» от 27 июля 2006 года.
В отношении персональных данных закон определяет:
- кто может использовать личную информацию гражданина и каким образом;
- права ее обладателя и обязанности оператора, занимающегося ее сбором;
- наказание за несоблюдение закона.
Оператор персональных данных – это юридическое или физическое лицо, государственный или муниципальный орган, обрабатывающие персональную информацию субъекта (физического лица). Закон создает правовую основу обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.
В статьях 23-24 Конституции РФ. В ст. 23 указано, что гражданин имеет право на «неприкосновенность частной жизни, … защиту своего доброго имени». Ст. 24 говорит о невозможности распространения персональной информации гражданина без его согласия, а также о том, что гражданин может «ознакомиться с документами и материалами, затрагивающими его права и свободы».
Другие нормативные акты, в которых встречается понятие конфиденциальных сведений, регламентируют частные случаи, связанные с личной информацией. Глава 14 Трудового кодекса РФ говорит о сведениях работника организации.
Федеральный Закон РФ №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» регламентирует и защищает данные пациента медицинских учреждений.
Обновить согласия на обработку ПД, политику конфиденциальности и локальные акты
Что изменилось в законе.Закон утвердил принципы договора с субъектом персональных данных. Договор не должен:
-
содержать положения, которые ограничивают права и свободы.
-
устанавливать случаи обработки ПД несовершеннолетних, кроме некоторых случаев, например сбора данных образовательными организациями.
-
предусматривать заключение при бездействии лица.
От пользователя требуется активное выражение согласия на сбор и обработку ПД. К примеру, он поставит галочку в чекбоксе, под которым размещена ссылка на текст согласия и политики конфиденциальности.
Вводится дополнительное требование к согласию: оно должно быть предметным и однозначным.
Что нужно сделать бизнесу.Доработать тексты договоров с клиентами, согласий, политики обработки ПД и пользовательских соглашений в соответствии с новыми принципами.
Альбина Кудрявцева, юрист для онлайн-школ и онлайн-проектов
Закрепите в согласии чёткую цель сбора персональных данных — это и есть предметность. Например, организация собирает данные и передаёт в банк для начисления зарплаты. Значит, в согласии нужно указать “перечисление заработной платы” в качестве цели и наименование банка. Однозначность подразумевает ясное и конкретное выражение согласия — без вариантов.
Для каждой цели сбора персональных данных пропишите в политике конфиденциальности:
-
категории персональных данных и их субъектов;
-
способы, сроки обработки и хранения;
-
порядок уничтожения ПД.
Целями сбора может быть заключение договора, оказание услуг, рекламная кампания.
Проверьте, чтобы политика конфиденциальности была опубликована на всех страницах сайта, на которых идёт сбор личной информации.
Ответственность. За обработку ПД с нарушением требований к согласию юридическое лицо будет оштрафовано на сумму от 30 до 150 тысяч. За повторное нарушение штраф составит до полумиллиона.
Несоблюдение правил опубликования политики конфиденциальности влечёт для организации штраф до 60 тысяч рублей.
Обновлённый 152-ФЗ основан на принципе экстерриториальности. Он распространяется не только на отечественных операторов, но и на иностранных юридических и физлиц, если они обрабатывают личные данные россиян на основании договора или с их согласия.
Уведомлять Роскомнадзор о начале обработки, изменении или завершении обработки ПД
Что изменилось в законе. Все операторы персональных данных обязаны подать уведомление в Роскомнадзор и вступить в единый реестр операторов. Из этого правила есть исключения, причем с 1 сентября исключений стало меньше. Можно не уведомлять Роскомнадзор, если:
-
Данные обрабатываются в целях защиты безопасности государства и общественного порядка, а также транспортной безопасности.
-
Оператор обрабатывает данные исключительно без средств автоматизации.
Также организации обязаны информировать Роскомнадзор о прекращении обработки ПД или об изменении ранее представленной информации. На выполнение требования закон отводит десять рабочих дней.
Что нужно сделать бизнесу. Если вы собираетесь обрабатывать персональные данные, отправьте уведомление в территориальный орган Роскомнадзора. Удобнее всего сделать это через официальный портал. Можно сформировать бумажный документ и отправить по почте, либо направить онлайн с помощью электронной подписи или Госуслуг.
Не забывайте в 10-дневный срок сообщать госоргану об изменениях в ПД или о прекращении их обработки. Все необходимые формы уведомлений есть в Приложениях к Приказу Роскомнадзора от 30.05.2017 № 94.
Ответственность. За непредставление сведений госорганам предусмотрен штраф: для должностных лиц — от 300 до 500 руб., для организаций — от 3 тысяч до 5 тысяч руб.
Почему могут запретить передавать персональные данные 2023 за границу
Роскомнадзор запретит или ограничит передачу личных сведений граждан в том случае, если указанная причина
отправки не соответствует заявленной. Также ведомство может отказать в отправке ПД, если объём и содержание
имеют расхождения с предусмотренными.
Принимающая сторона должна иметь должные технические средства для защиты получаемой информации. Получатель
обязан гарантировать защиту и должную обработку полученных сведений.
Если цель отправки и величина данных совпадают с указанной, а адресат обеспечивает должную обработку и защиту
прав субъекта ПД, то Роскомнадзор не будет устанавливать запрет на передачу.
Средняя
Средняя степень вреда присваивается, если:
- ПД распространяются на сайте оператора или неограниченному кругу лиц;
- цель обработки ПД отличается от первоначальной;
- используются базы персональных данных других операторов с целью продвижения своих товаров, работ, услуг;
- получено согласие на обработку ПД на сайте оператора, который не предусматривает дальнейшую идентификацию и
аутентификацию субъекта персональных данных; - осуществляется обработка персональных данных с получением согласия на передачу права их обработки третьими
лицам в целях, которые несовместимы с целями сбора таких данных.