Обзор последней редакции ФЗ-152, изменения на 2020-2019 год. Сфера применения закона о персональных данных.

В марте начали действовать изменения в законе о персональных данных (ПД). Правила стали жестче, а штрафы больше. Предприниматели и юристы рассказывают, как это изменит бизнес.

Как изменился закон о персональных данных 2021

• Появились персональные данные, разрешенные для распространения. Это новый термин, до этого использовали понятие «общедоступные персональные данные». Например, чтобы опубликовать на сайте отзыв довольного клиента, придется получить дополнительное согласие. Раньше было достаточно согласия на обработку, но теперь так нельзя.
• Нельзя распространять данные из открытых источников. Допустим, человек в соцсетях указал фамилию, имя, номер телефона, e-mail. Согласно изменениям в законе, эту информацию нельзя использовать без разрешения субъекта.
• Необходимо обезличить ПД. Раньше так делали только бюджетные организации, использовали не ФИО, а номер. Теперь все хранят персональные данные в обезличенном виде.
• 3 дня на прекращение распространения. Например, у кадрового агентства есть банк резюме для клиентов. Хозяин резюме имеет право потребовать, чтобы анкету не показывали другим. Для этого он напишет заявление, а эйчары обязаны убрать информацию из базы в течение 3 дней. До этого резюме можно было взять на сайте поиска работы и спокойно предлагать клиентам. Теперь для этого придется взять согласие работника.
• Новые правила приема на работу. Кадровики подписывают с новыми работниками соглашение об обработке и распространении данных. Иначе не получится передать информацию даже в банк для оформления зарплатной карты или написать имя сотрудника на сайте компании.
• Передавать информацию без согласия можно только в определенных случаях. Например, в компанию пришли силовики и сказали, что нужны данные человека, который находится в розыске. Для этого согласие не понадобится.

Сооснователь компании «Б-152» Максим Лагутин считает, что закон не доработан, и непонятно, как будет действовать на практике. Но основные изменения можно выделить:

«Основная суть нововведений в том, чтобы человек мог лучше управлять распространением своих персональных данных. Если раньше опубликованные и публичные данные аккаунтов в социальных сетях можно было спокойно собирать и обрабатывать, прикрываясь соответствующей статьей 152-ФЗ «О персональных данных» (хотя еще с 2018 года Роскомнадзор требовал наличие договора с социальной сетью у компании или отдельного согласия на обработку общедоступных данных), то теперь и публикация в общем доступе и использование только с отдельного согласия. При этом человек может поставить условия (какие захочет) на то, как можно, а как нельзя использовать его публичные данные, и в любой момент может сделать их недоступными для распространения»

Новые поправки вводят и штрафы за обработку данных без согласия:

• 6-10 тысяч рублей для граждан;
• 20-40 тысяч рублей для должностных лиц и ИП;
• 30-150 тысяч для организаций.

При повторном нарушении суммы увеличиваются почти в 2 раза.

Почему закон изменили

Жизнь и бизнес переходят в электронное пространство, там теперь располагаются базы с данными пользователей и клиентов. Мошенники постоянно воруют эту информацию. Мемом стали звонки службы безопасности зеленого банка из тюрьмы, но это не всегда смешно. По данным Центробанка в 2020 году кибермошенники украли у россиян 10 миллиардов рублей, а это на 52,2% больше, чем в 2019 году.

Информацию воруют, берут из открытых источников или покупают у операторов через сотрудников. Поэтому государство решило ужесточить закон о персональных данных в 2021 году.

Главный юрист PR-агентства 2L Александр Штыров считает изменения в законе обоснованными:

«В области обработки персональных данных назрела необходимость большей защиты субъекта ПД. Каждый день происходят утечки, поэтому сегодня данные о человеке находят в открытом доступе в сети, причем не всегда ясно, появились они санкционировано, есть ли согласие субъекта, соответствуют ли они действительности. Закон о персональных данных 2021 даст право требовать удаления своих ПД с любого ресурса без необходимости доказывать незаконность получения, неактуальность данных, несоответствие их действительности»

Скорее всего, изменения в законе — это один из этапов ужесточения контроля за личными данными граждан. Одно дело, если телефон человека получает компания, чтобы предложить услуги, и совсем другое, когда номер в руках преступников.

Что делать бизнесу, чтобы не получить штраф

Некоторые юристы отмечают, что в закон о персональных данных 2021 содержит много расплывчатых формулировок. Но есть рекомендации, позволяющие избежать претензий от контролирующих органов:

• Оформить новые соглашения. Закон не имеет обратной силы, но лучше сделать новые соглашения с сотрудниками и контрагентами. В документе стоит прописать, какую информацию можно передавать, а какую нет.
• Назначить ответственных за работу с ПД. Обычно это кадровые сотрудники, но некоторые выбирают бухгалтера или руководителя.
• Разработать документы и локальные акты. Это правила, которые прописывают работу, охрану, условия хранения и передачи ПД, а также цель использования.
• Рассказать сотрудникам о законе. Все работники должны знать, что не имеют права передавать ПД клиентов без согласия. Кроме этого, они узнают, что и их собственные данные тоже не уйдут на сторону.
• Уведомить Роскомнадзор. Любая компания, которая использует персональные данные, становится оператором ПД. Нужно сообщить в РКН, что бизнес использует данные клиентов или партнеров. Летом начнет работу Информационная система ведомства для регулирования этих процессов.

Уведомлять службу не придется, если:

• действует трудовой договор;
• ПД нужны для оформления договора;
• ПД используются для разового пропуска;
• в данных только фамилия, имя и отчество;
• ПД обрабатывают без автоматизированных сервисов.

Если говорить про документы, то нужна форма для согласия о передаче данных. Управляющий директор консультационной группы «ТИМ» Виктор Миронов подчеркивает, что единой формы сегодня нет:

«В июле 2021 года планируют запустить единую информационную систему от РКН. Этот сервис будет регулировать распространение ПД. Пока системы нет и неизвестно, как она будет работать. Поэтому каждый оператор разрабатывает свою форму согласия. Необязательно в письменном виде. По закону допускаются любые варианты, которые подтвердят согласие. Но лучше сделать письменную форму, чтобы избежать сложных ситуаций. Главное, чтобы в бланке была информация, которую требует указать Роскомнадзор»

Кроме этого, предприниматели обеспечивают защиту от кибермошенников. Директор онлайн-бухгалтерии «Небо» Артем Туровец считает, что новый закон не сильно изменит работу бизнеса:

«Я бы не сказал, что бизнес должен сильно готовиться. Да, нужно обложить себя документами, чтобы у Роскомнадзора не было претензий, но это не трудно. А в целом вопрос хранения персональных данных — это больше не про закон, а про репутацию. В нашем сервисе десятки тысяч пользователей, и мы на уровне архитектуры сервиса ведем работу по защите. Мы регулярно видим атаки и попытки взлома, поэтому и без закона действуем. Также бизнес должен построить процессы внутри компании, чтобы доступ к ПД был у минимума сотрудников, и они несли за это ответственность»

Эксперт в области информационной безопасности и CEO компании AtreIdea Сергей Белов считает, что предприниматели столкнуться с некоторыми затратами:

«Дополнительные затраты бизнеса связаны с анализом и модификацией пользовательских соглашений, трудовых договоров и прочих документов, в рамках которых человек дает согласие на обработку персональных данных. При этом обязательная письменная форма согласия отсутствует, что определенно упростит задачу, например, для различных социальных сетей. Затрат может потребовать работа с заявлениями об отзыве согласия на распространение персональных данных. В рамках закона также увеличивается размер штрафов при первом и повторных нарушениях, но суммы далеки от зарубежных практик и едва ли нанесут значимый ущерб»

Как изменения в законе повлияют на работу бизнеса

Пока получается картина, что предпринимателям придется сделать упор на работу с документами. Потому что под действие закона попадают типовые ситуации, когда используются персональные данные:

• Взаимодействие с банками. Отправка данных для оформления зарплаты или других выплат.
• ЧОП. Для оформления пропуска на территорию предприятия или офисного здания.
• Медицинские центры и страховые компании. Осмотры или диспансеризация сотрудников, ОМС.
• Образовательные учреждения. Учеба или повышение квалификации сотрудников.
• Туристическая сфера. При покупке билетов и бронировании проживания в командировках.

Наверное, больше всего проблем появится в рекламных и маркетинговых акциях. Например, компания получила от партнеров базу мобильных номеров для обзвона. По новым правилам, люди из базы должны дать согласие на это. Поэтому они могут потребовать, чтобы им не звонили и перестали давать контакты на сторону. В принципе они могут пожаловаться и в контролирующие органы.

Сергей Белов считает, что в ближайшее время правила продвижения бизнеса поменяются:

«Ужесточение правил приведет к повышению издержек при работе с персональными данными клиентов и внесет дополнительные ограничения в рекламные возможности. В последующие несколько лет с большой вероятностью мы увидим сокращение рынка рекламных оповещений с помощью e-mail, SMS, звонков. Бизнес станет бережнее работать с клиентами»

С этим согласен и Александр Штыров:

«Необходимо привыкнуть подписывать согласия на обработку ПД. Любая рекламная кампания, маркетинговое мероприятие должны проводится с учетом требований. Поэтому нужно предусмотреть максимальные возможности в форме согласия. Это залог отсутствия штрафов. Кроме того, стоит помнить, что при обращении клиента с требованием удалить персональные данные, лучше сделать это сразу, чтобы не получить штраф»

Закон о персональных данных 2021 не принесет радикальных изменений для бизнеса, но теперь придется аккуратнее работать с любыми данными клиентов и сотрудников.

Специалисты рекомендуют привести в порядок документы и переписать соглашения. 

Как ужесточились требования к работе с персональными данными в 2021 году

Изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным (ПД), внес Федеральный закон от 30.12.2020 № 519-ФЗ.

Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.

В этой статье рассмотрим следующие вопросы:

Что изменилось в обработке персональных данных с 1 марта

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

• Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.  
• Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
• В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Как прекратить передачу данных, разрешенных для распространения

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта. 

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию: 

• ФИО; 
• контактные данные;
• перечень персональных данных, обработку которых нужно прекратить. 

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Требования к обработке персональных данных

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.

2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП.

Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

• организующие и (или) осуществляющие обработку ПД;
• определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД. 

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

• ФИО 
• дата рождения
• адрес
• телефон
• электронный адрес
• фотография
• ссылка на персональный сайт
• ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.   

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине.

К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД.

Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

За что и на какие суммы штрафуют в 2021 году

27 марта вступает в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

Последний раз административную ответственность в этой сфере усиливали в 2017 году. Но с конца марта суммы штрафов не просто увеличатся в два раза.

Обратите внимание на следующие нововведения:

1.   За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалась такая санкция, как предупреждение.

2. До 27 марта 2021 года повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь будет выделяться, а штрафы по нему будут в несколько раз выше, чем за первичное нарушение.

Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 000 до 100 000 руб., а за повторное — от 100 000 до 300 000 руб.

3. Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то с 27 марта 2021 года будет увеличен до одного года.

Основание Размер штрафа

Обработка ПД в случаях, не предусмотренных законодательством и несовместимая с целями сбора ПД	Для физлиц: предупреждение или штраф — от 2 000 до 6 000 руб. Для должностных лиц: предупреждение или штраф — от 10 000 до 20 000 руб. Для юрлиц: предупреждение или штраф — от 60 000 до 100 000 руб. При повторном нарушении Для физлиц: от 4 000 до 12 000 руб.; Для должностных лиц: от 20 000 до 50 000 руб.; Для ИП: от 50 000 до 100 000 руб.; Для юрлиц: от 100 000 до 300 000 руб.
Обработка ПД без письменного согласия субъекта	Для физлиц: от 6 000 до 10 000 руб. Для должностных лиц: от 20 000 до 40 000 руб. Для юрлиц: от 30 000 до 150 000 руб. При повторном нарушении Для граждан: от 10 000 до 20 000 руб.; Для должностных лиц: от 40 000 до 100 000 руб.; Для ИП: от 100 000 до 300 000 руб.; Для юрлиц: от 300 000 до 500 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке ПД, или сведениям по защите ПД	Для физлиц: 1 500 до 3 000 руб. Для должностных лиц: от 6 000 до 12 000 руб. Для юрлиц: от 30 000 до 60 000 руб. Для ИП: от 10 000 до 20 000 руб.
Непредоставление субъекту ПД информации по их обработке	Для физлиц: предупреждение или штраф — от 2 000 до 4 000 руб. Для должностных лиц: предупреждение или штраф — от 8 000 до 12 000 руб. Для юрлиц: предупреждение или штраф — от 40 000 до 80 000 руб. Для ИП: предупреждение или штраф — от 20 000 до 30 000 руб.
Невыполнение требования субъекта ПД или его представителя об уточнении, блокировке, уничтожении (если ПД неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)	Для физлиц: предупреждение или наложение штрафа в размере от 2 000 до 4 000 руб. Для должностных лиц: предупреждение или штраф — от 8 000 до 20 000 руб. Для юрлиц: предупреждение или штраф — от 50 000 до 90 000 руб. Для ИП: предупреждение или штраф — от 20 000 до 40 000 руб. При повторном нарушении Для граждан: от 20 000 до 30 000 руб. Для должностных лиц: от 30 000 до 50 000 руб. Для ИП: от 50 000 до 100 000 руб. Для юрлиц: от 300 000 до 500 000 руб.
Неисполнение обязанности по сохранности ПД, что привело к неправомерному или случайному доступу к ПД и стало причиной их уничтожения, изменения, блокирования, копирования	Для физлиц: от 1 500 до 4 000 руб. Для должностных лиц: от 8 000 до 20 000 руб. Для юрлиц: от 50 000 до 100 000 руб. Для ИП: от 20 000 до 40 000 руб.
Невыполнение государственным или муниципальным органом обязанности по обезличиванию ПД; несоблюдение требований по обезличиванию ПД	Для должностных лиц: предупреждение или наложение административного штрафа — от 6 000 до 12 000 руб.

Такое правонарушение, как обработка ПД без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юрлицу придется заплатить штраф до 500 000 руб.

В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?  

Что делать владельцу сайта, чтобы избежать штрафов

Шаг 1. Если у вас на сайте есть какие-либо формы сбора ПД, то под каждую из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Сопроводите предложение «Даю согласие на обработку своих персональных данных» гиперссылкой на документ, в котором прописываются условия обработки ПД. Это может быть как пользовательское соглашение, согласие на обработку ПД, так и договор, политика конфиденциальности, часть оферты — название не столь принципиально. 

Например, на сайте Microsoft этот документ называется заявление о конфиденциальности.

Обратите внимание на то, что в нем есть пункт «Файлы cookie и аналогичные технологии»: если вы их используете, то об этом тоже нужно предупреждать.

А вот на сайте Adidas текст согласия на обработку ПД располагается прямо с формой регистрации, при этом ссылка ведет на политику конфиденциальности компании.   

Шаг 3. Подготовьте текст документа с условиями обработки ПД. Укажите следующую информацию (согласно ст. 9 Федерального закона № 152-ФЗ): 

• ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
• цель обработки ПД;
• перечень ПД, на обработку которых субъект дает согласие;
• наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
• срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
• подпись субъекта ПД.

Если вы составляете пользовательское соглашение на основе чьего-то готового документа, корректируйте цели обработки данных и перечень данных под себя, свой бизнес.

Шаг 4. Подготовьте Политику в отношении обработки персональных данных (об этом обязательстве оператора прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ) и разместите ее на сайте в свободном доступе. 

Шаг 5. Подайте уведомление об обработке ПД в Роскомнадзор. Вообще, в соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки ПД. Но лучше поздно, чем никогда. 

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД. 

Случаи, когда уведомление Роскомнадзора не требуется

Уведомлять Роскомнадзор не нужно, если ПД:

• относятся к субъектам, которых связывают с оператором трудовые отношения;

• получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
• являются общедоступными;
• включают только ФИО субъектов ПД;
• нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
• включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;  
• обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

Конфиденциальность персональных данных: когда ее не нужно обеспечивать

В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

• в случае обезличивания ПД;
• в отношении общедоступных ПД;
• если данные включают только ФИО субъектов ПД;
• для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
• если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
• если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Когда не нужно получать согласие на обработку персональных данных

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:

• осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
• осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
• осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
• необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
• необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
• осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
• осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.

Что такое портал персональных данных

Сегодня все новости, аналитические материалы, важные документы, рекомендации по обработке персональных данных, реестр операторов и другую необходимую информацию можно найти на портале персональных данных. Ответственность за ресурс возложена на Роскомнадзор. 

Как еще планируют ужесточить обработку персональных данных 

Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.

Министерство предлагает запретить операторам: 

• использовать какую-либо дополнительную информацию, с помощью которой можно определить принадлежность персональных данных конкретному субъекту;
• помимо обезличенных данных передавать третьим лицам информацию, позволяющую идентифицировать человека;
• деобезличивать данные, за исключением случаев, когда необходимо защитить жизнь или здоровье человека.

• Как уточнили в Минцифре, есть только одна причина, по которой обезличенные персональные данные можно использовать без согласия — в исследовательских и статистических целях.
• Более детальная информация об обработке персональных данных — в материалах наших экспертов:
• Пять базовых принципов закона о персональных данных, о которых нужно знать
• Как подготовиться к плановой проверке ФСБ по персональным данным?
• Проверка Роскомнадзора: как подготовиться и избежать штрафов 

Новый законопроект о персональных данных: как изменилась работа рекрутеров

В эпоху цифровизации персональные данные (ПД) называют информационным товаром и «нефтью XXI века». В 2021 году серьезно изменился порядок обращения с ПД. Законопроект о распространении персданных привел к масштабным изменениям — часть из них вступила в силу в марте, а с 1 сентября 2021 года вводятся новые требования к получению согласия на распространение ПД.

Разбираемся вместе с экспертами в нюансах новых требований закона применительно к рекрутменту. Вопросов много. Как теперь HR-менеджерам работать с личной информацией кандидатов? Какие новшества нужно строго соблюдать и за что компаниям грозят многомиллионные штрафы?

Сперва разберемся, что относится к персональным данным с точки зрения кандидата и работодателя.

Персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных — кандидату). С точки зрения рекрутмента — это почти все сведения, которые собирают о соискателе, субъекте ПД: Ф. И. О., опыт работы, доходы, образование и пр.

Оператор — потенциальный работодатель. Обработчик — тот, кто обрабатывает персональные данные по поручению оператора. Обработчиками в рекрутменте выступают те, кого работодатель нанял для поиска новых сотрудников (кадровые агентства, job-сайты, ATS- и CRM-системы). Кстати, если вы сохраняете резюме на свой компьютер, значит, уже занимаетесь обработкой персональных данных.

ВАЖНО:
У потенциального работодателя как оператора персональных данных должны быть основания для их обработки, самое подходящее — это согласие кандидата. Обработчик не отвечает за сбор согласия, ответственность за это несет работодатель как оператор, даже если компания собирает ПД не напрямую, а через job-сайты.

За последний год на рассмотрение парламентариев было внесено несколько громких законопроектов, связанных с ПД, часть инициатив утвердили. Один из самых обсуждаемых документов, который уже вступил в силу, вносит изменения в порядок обращения с персональными данными граждан.

Итак, главное новшество касается регулирования распространения ПД. С 1 марта 2021 г. вступили в силу изменения в Федеральный закон от 27.07.

2006 №152-ФЗ «О персональных данных», а с 1 сентября 2021 года начинает действовать Приказ Роскомнадзора, в котором прописаны основные требования к форме согласия на обработку ПД.

Главные новшества в законодательстве о персональных данных — 2021
(статья 10.1 Федерального закона «О персональных данных»).

1. Понятие «персональные данные, сделанные общедоступными субъектом персональных данных» заменили на другую формулировку — «персональные данные, разрешенные субъектом персональных данных для распространения».
2. Распространение — действия, направленные на раскрытие персональных данных неопределенному кругу лиц; теперь вид обработки, требующий получения отдельного согласия у кандидата.
3. Оператор перед обработкой данных, полученных из разных источников (социальные сети, сайты по поиску работы), должен проверять наличие согласия или другого основания для обработки таких сведений. Для этого стоит уточнять у владельцев job-сайтов, есть ли согласие на распространение ПД и для каких целей оно получено у соискателя.
4. Оператор должен доказать законность сбора и последующего использования персданных кандидатов из открытых источников.

«Теперь работодатель как оператор должен проверять наличие согласия от кандидата не только на обработку, но и на распространение личной информации о нем, если собирает данные из открытых источников.

Галочки под пользовательским соглашением недостаточно — должен быть отдельный документ, электронная форма на сайте. Эти новеллы всколыхнули и бизнес-сообщество, и юристов.

1 сентября замкнется круг законодательных изменений — приказ Роскомнадзора, вступающий в силу в первый день осени, четко определил, как согласие на распространение персданных должно выглядеть.

Важный нюанс — в документе должны быть поля, где человек может записать, какие ПД он не разрешает распространять или разрешает с определенными условиями. Теперь рекрутеру нужно отслеживать содержание такого согласия», — объясняет Екатерина Метелкина, юрист hh.ru, эксперт по персональных данным.

Работодатель обязан проверять наличие согласия от кандидата не только на обработку, но и на распространение персональных данных, если собирает данные из открытых источников. Галочки под пользовательским соглашением недостаточно: должен быть отдельный документ — согласие.

9 обязательных пунктов в согласии на обработку персональных данных с 1.09.2021

С 2021 года фз-152 «о персональных данных» существенно изменен

В канун Нового года Президент РФ В.В.Путин подписал принципиальные изменения в ФЗ-152 «О персональных данных», вступающие в силу 1 марта 2021 года (Федеральный закон от 30.12.2020 N 519-ФЗ “О внесении изменений в Федеральный закон “О персональных данных”).

Закон в новой редакции полностью переписал нормы статьи 8 закона, приняв отдельную статью 10.1 об особенностях обработки персональных данных при их распространении.

В законе вводится понятие отдельного письменном согласия (письменного) при распространении персональных данных субъектов, и тем самым разграничиваются такие понятия, как «наличие согласия», «согласие в письменной форме».

Форму данного отдельного согласия должен в ближайшее время утвердить Роскомнадзор, а это означает, что каждая организация, размещающая, например, персональные данные своих работников, клиентов, граждан на сайте, иных Интернет ресурсах, обязана после 1 марта получить отдельное согласие и тем самым отказаться от укоренившейся практики так называемых «общих» согласий. Каждая компания, которая использовала персональные данные граждан, взяв их из открытых источников, должна также получить отдельное согласие гражданина (субъекта персональных данных). При этом, если в прошлой редакции статьи 6 ФЗ-152 «О персональных данных» существовала норма, позволяющая любой организации свободно использовать персональные данные граждан, которые они самостоятельно разместили, например, в Интернете, то с 1 марта 2021 года это запрещено. Операторам ПДн теперь придется доказывать, что у них есть законное основание на последующее распространение таких персональных данных.

Законом определены 2 случая предоставления согласия:

• непосредственно от субъекта (работника/гражданина/клиента)
• с использованием информационной системы Роскомнадзора.

Надеемся, что в ближайшие недели мы получим разъяснения от уполномоченного органа в области персональных данных по реализации такого решения, как использование ИС Роскомнадзора.

Закон запрещает используемый сегодня операторами персональных данных подход : «что не запрещено, то разрешено». Отныне организация (оператор персональных данных) не имеет права распространять ПДн по умолчанию или бездействию человека.

Субъект персональных данных вправе установить запреты на передачу своих данных неопределенному кругу лиц, как это часто делают многие операторы в своих согласиях. Сегодня у гражданина часто не остается выбора и он вынужден подписывать такие согласия.

Для оператора законом определен 3-х дневный срок прекращения обработки персональных данных при обращении субъекта персональных данных. Организация в 3-х дневный срок с момента получения согласия обязана опубликовать информацию об условиях обработки о запретах, разрешениях субъектов на распространение их персональных данных.

Федеральный закон от 30.12.

2020 N 515-ФЗ “О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности” вводит требования по внедрению дополнительных мер защиты информационных систем: мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.

Персональные данные в 2021: как компаниям с ними работать и не получать штрафы | Rusbase

Александр Оводов, основатель Ovodov Cybersecurityh, рассказывает, как будут регулировать использование персональных данных в 2021 году и что компаниям обязательно нужно учесть.

Персональные данные в 2021: как компаниям с ними работать и не получать штрафы Дарья Мызникова

С учетом активного перехода компаний в цифру и на удаленную работу, вероятность утечки или хищения персональных данных (ПДн) возрастает, возрастают и репутационные риски и риски внеплановых проверок Роскомнадзора, прокуратуры и ФСБ.

С момента принятия 152-ФЗ «О персональных данных» правительство и Роскомнадзор не раз задавались вопросом — как повысить ответственность операторов ПДн за утечки?

Причина тому — ежегодный рост утечек ПДн граждан. Способов использования похищенных данных достаточно много, от банальных рассылок спама до продуманных схем социальной инженерии. Вот наиболее частые:

• Распространение вирусов и вредоносного ПО через рассылки спама на почту, мессенджеры, соцсети людей, чьи данные были похищены.
• Кража аккаунтов в социальных сетях в целях шантажа, компрометация публичных личностей.
• Проникновение в сеть организаций для хищения ценной информации (клиентская база, ноу-хау, заявки от клиентов) или же шифрования серверов и ПК сотрудников в целях вымогательства денег.
• Предложения о покупке сомнительных лекарств и непроверенных способов лечения на основе полученных медицинских данных.
• Склонение людей к противоправным действиям, пользуясь их слабостями.
• Деяния уголовных элементов, сексуальных маньяков, продавцов наркотиков в отношении детей.
• Социальная инженерия. Мошенники часто представляются сотрудниками банков и манипулируют людьми с целью получения денежных средств или сообщения информации, которая позволит им получить доступ к банковским счетам и картам.

По данным отчета Центрального банка, за первые шесть месяцев 2020 года было зафиксировано более 300 тысяч несанкционированных операций со средствами граждан, совершенных без их согласия. Их объем составил порядка 4 млрд рублей. Это на 39% больше того же периода 2019 года. 

Ежегодный рост утечек ПДн налицо. Законодатели призывают к ответственности путем повышения штрафов, увеличения числа проверок для того, чтобы компании принимали меры по обеспечению безопасности обрабатываемых ими ПДн. 

Unsplash

О законодательстве и штрафах 

Основным документом, определяющим порядок ответственности и штрафов за административные нарушения, является КоАП — Кодекс об административных правонарушениях.

Последнее принятое изменение в КоАП ужесточило ответственность за нарушение требований по локализации ПДн: теперь серверы с данными российских пользователей должны находиться на территории России.