Veomo.ru

Финансовый журнал
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Закон о защите личной информации граждан

Закон о защите персональных данных

Основные понятия

Операторами персональных данных являются: государственный орган или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (ПДн).

Под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, накопление, систематизацию, уточнение (обновление, изменение), хранение, использование, распространение (в том числе передачу), блокирование, обезличивание, уничтожение персональных данных.

Сфера действия Закона

В соответствии со статьей 1 Закона, сфера его действия распространяется на отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов РФ, иными госорганами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, физическими лицами, юридическими лицами с использованием средств автоматизации или без использования таких средств, если обработка ПДн без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Таким образом, требования Закона «О персональных данных» распространяются фактически на все государственные и коммерческие организации, обрабатывающие в своих информационных системах персональные данные физических лиц (сотрудников, клиентов, партнеров и т. п.), независимо от размера компании и формы собственности.

Основные действия, необходимые для соблюдения Закона

  • Уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.
  • Разработка организационно-распорядительных документов, регламентирующих обработку персональных данных в организации (положение по обработке персональных данных, регламенты, положения по защите персональных данных).
  • Создание системы защиты персональных данных, в т. ч. выполнение требований по инженерно-технической защите помещений.
  • Аттестация или декларирование соответствия информационных систем персональных данных требованиям безопасности информации.
  • Повышение квалификации сотрудников в области защиты персональных данных.

Ответственность за нарушение требований Закона

Статья 24 Закона: «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».

В текущем законодательстве предусмотрены следующие виды ответственности:

«. КоАП РФ. Статья 13.11. Нарушение установленного законом „О персональных данных“ порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

Нарушение установленного законом „О персональных данных“ порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа. »

«. КоАП РФ. Статья 13.14. Разглашение информации с ограниченным доступом

Разглашение информации, доступ к которой ограничен федеральным законом „О персональных данных“ (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса (Ст.14.33 — недобросовестная конкуренция) влечет наложение административного штрафа. »

«. КоАП РФ. Статья 5.39. Отказ в предоставлении гражданину информации

Неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом „О персональных данных“, либо предоставление гражданину неполной или заведомо недостоверной информации — влечет наложение административного штрафа. »

«. УК РФ. Статья 137. Нарушение неприкосновенности частной жизни Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации — наказываются штрафом, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев. »

«. УК РФ. Статья 140. Отказ в предоставлении гражданину информации

Неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан, — наказываются штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет. »

«. УК РФ. Статья 272. Неправомерный доступ к компьютерной информации

Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, — наказывается штрафом, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет. »

Согласно подпункту 4 пункта 3 статьи 23 Закона, уполномоченный орган по защите прав субъектов персональных данных вправе принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Закона.

Предварительный анализ информационных ресурсов предприятия

  1. В первую очередь, необходимо установить перечень персональных данных (ПДн) физических лиц, которые обрабатываются на предприятии. Это могут быть данные работников, клиентов, заказчиков, посетителей, партнеров, контрагентов и т. п.
  2. Также нужно определить цели обработки персональных данных: трудовые отношения с работниками; оформление пропусков для входа на территорию предприятия; договор оказания услуг и т. п.
  3. Сроки обработки и хранения: хранение ПДн должно быть не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению. Необходимо установить перечень ПДн, по которым цели обработки уже достигнуты.
  4. Способы обработки персональных данных: обработка персональных данных может осуществляться с использованием средств автоматизации или без использования таких средств.
  5. Понятие неавтоматизированной обработки ПДн определено в Постановлении Правительства РФ № 687 от 15.09.2008 года «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». На основании данного положения нужно определить перечень персональных данных, обрабатываемых без использования средств автоматизации. В случае обработки ПДн с использованием средств автоматизации на предприятии требуется выявить информационные системы, в которых осуществляется обработка персональных данных (ИСПДн) — например, систему бухгалтерского учета, систему взаимоотношений с клиентами, систему бронирования и реализации, биллинговую систему и т. п.
  6. Состав и объем обрабатываемых персональных данных: в зависимости от состава персональных данных (например, фамилия, имя, отчество, год, месяц, дата и место рождения, адрес и т. п.) определяется категория, к которой они относятся:

  • Категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
  • Категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
  • Категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
  • Категория 4 — обезличенные и (или) общедоступные персональные данные.

Наконец, объем обрабатываемых ПДн — это количество субъектов ПДн, обрабатываемых в каждой информационной системе.

Классификация информационных систем ПДн: информационные системы делятся на: Типовые информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных;

Специальные информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

Подача уведомления в уполномоченный орган

Обработка персональных данных без уведомления

Закон «О персональных данных» разрешает вести обработку персональных данных без подачи уведомления в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных в следующих случаях:

  • если предприятие обрабатывает персональные данные граждан, которых связывают с предприятием трудовые отношения;
  • при наличии договора с субъектом персональных данных, на основании которого персональные данные не распространяются и не предоставляются третьим лицам без согласия субъекта персональных данных и используются предприятием исключительно для исполнения указанного договора;
  • если персональные данные относятся к членам общественного объединения или религиозной организации, действующими в соответствии с законодательством РФ, при условии, что персональные данные не будут распространяться без письменного согласия субъектов персональных данных;
  • если персональные данные являются общедоступными;
  • если персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных;
  • если персональные данные необходимы для однократного пропуска на территорию предприятия;
  • персональные данные включены в информационные системы персональных данных, имеющих статус федеральных автоматизированных информационных систем, а также государственных информационных систем, созданных в целях защиты безопасности государства и общественного порядка;
  • персональные данные обрабатываются без использования средств автоматизации.

Если один или несколько из перечисленных пунктов относится к вашему предприятию, подавать уведомление в Роскомнадзор не нужно.

Подача уведомления в Роскомнадзор

Во всех остальных случаях предприятие обязано подать уведомление в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. На основании уведомления предприятие регистрируется в реестре операторов, осуществляющих обработку персональных данных.

Форма уведомления утверждена Приказом Роскомнадзора № 8 от 17.07.2008 года и содержит следующие основные положения: наименование и адрес местонахождения предприятия; цель обработки персональных данных; категории персональных данных и субъектов персональных данных; правовое основание и способы обработки персональных данных. Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Организационные меры защиты персональных данных

Комплекс мероприятий по обеспечению защиты персональных данных состоит из организационных и технических мер защиты информации. Организационные меры по защите персональных данных включают в себя:

  • Разработку организационно-распорядительных документов, которые регламентируют весь процесс получения, обработки, хранения, передачи и защиты персональных данных (например): положение об обработке персональных данных, положение по защите персональных данных, регламент взаимодействия с субъектами персональных данных, регламент взаимодействия при передаче персональных данных третьим лицам, инструкции администраторов безопасности персональных данных, инструкции пользователей по работе с персональными данными.
  • Перечень мероприятий по защите персональных данных: определение круга лиц, допущенного к обработке персональных данных; организация доступа в помещения, где осуществляется обработка ПДн; разработка должностных инструкций по работе с персональными данными; установление персональной ответственности за нарушения правил обработки ПДн; определение продолжительности хранения ПДн и т. д.

Меры организационного характера осуществляются на предприятии независимо от того, нужно подавать уведомление в Роскомнадзор или нет, обработка ПДн осуществляется с использованием средств автоматизации или без использования таких средств. В каждой организации перечень мероприятий и документов может варьироваться в зависимости от специфики обработки ПДн, организационной структуры и других особенностей конкретного предприятия. Реализация организационных мер защиты информации осуществляется с учетом категорий персональных данных: чем выше категория, тем выше требования их защиты.

Сроки приведения в соответствие

Часть 3 Статьи 25 Закона № 152-ФЗ: «Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.» Таким образом, вновь создаваемые и вводимые в эксплуатацию информационные системы персональных данных должны соответствовать требованиями Закона «О персональных данных».

Государственные органы в сфере обработки персональных данных

Уполномоченными федеральными органами, регулирующими деятельность в сфере обработки персональных данных, являются:

  • Россвязькомнадзор (федеральная служба по надзору в сфере связи и массовых коммуникаций) — осуществляет контроль и надзор за соответствием обработки ПДн требованиям законодательства.
  • ФСТЭК России (федеральная служба по техническому и экспортному контролю) — устанавливает методы и способы защиты информации в информационных системах в пределах своих полномочий.
  • ФСБ РФ (Федеральная служба безопасности РФ) — устанавливает методы и способы защиты информации в информационных системах в пределах своих полномочий (регулирует сферу использования криптографических средств защиты информации).

Как адаптировать сайт под требования закона ФЗ-152 «О защите персональных данных»

В связи с изменениями в ст.13.11 КоАП с 1 июля 2017 г.

Алексей Кондратов
Сооснователь и руководитель юридического отдела сервиса 152ФЗ.РФ, специалист в области защиты персоальных данных, юридического сопровождения стартапов и судебной защиты бизнеса.

Образование: юридический факультет Поморского государственного университета. Ранее работал на позиции CEO в компании «Иски Онлайн».

С 1 июля 2017 года вступили в силу изменения в российском Кодексе Административных правонарушений. Увеличились размеры взысканий за нарушения по закону №152-ФЗ «О защите персональных данных», изменились некоторые формулировки. Новые правила заставили многих владельцев сайтов забеспокоиться о том, насколько их ресурсы соответствуют нормам закона. Пробуем разобраться.

Начнем с небольшой вводной информации. 152-ФЗ – первый в России современный закон о персональных данных. Он начал разрабатываться в 2000 году и вступил в силу 27 июля 2006 года. Основным положением закона стало обязательное согласие человека на обработку информации о нем в любых целях. Во время разработки 152-ФЗ были введены два новых термина, которыми закон оперирует до сих пор – субъект персональных данных и оператор персональных данных. Легко догадаться, что субъект – человек, личность которого можно установить, используя определенную информацию. Оператором же может стать как физическое, так и юридическое лицо, которое имеет доступ к личным данным субъекта. Последнее определение крайне важно для нас, поэтому остановимся на нем подробнее.

Кто по закону 152-ФЗ считается оператором персональных данных?

Органы государственной власти и муниципального управления, суды, образовательные и медицинские учреждения, работодатели, любые компании и организации, предоставляющие персональные услуги: банки, юридические фирмы, операторы мобильной связи, строительные компании, интернет-ресурсы – всё это операторы персональных данных, поскольку они в разной мере имеют доступ к личной информации людей.

Какие персональные данные пользователей могут быть на вашем сайте?

Чаще всего под персональными данными (ПДн) понимаются:

  • имя,
  • фамилия,
  • возраст,
  • место рождения,
  • фото,
  • адрес проживания,
  • номер телефона.

Также к персональным данным относятся сведения:

  • о семейном положении,
  • религиозных, философских и политических взглядах,
  • интимной жизни,
  • состоянии здоровья.

Обезличенные персональные данные и автоматически собираемая информация:

  • e-mail,
  • IP-адрес,
  • геолокация,
  • файлы cookie.

Какие есть формы сбора персональных данных на сайте?

  • Форма регистрации.
  • Форма заказа.
  • Форма обратной связи.
  • Кнопка «Заказать обратный звонок».
  • Форма подписки на e-mail рассылку.

Размеры штрафов после изменений 1 июля 2017 года

Номер статьи

Возможные нарушения

Размер штрафа

Для физ. лиц – до 3 т.р.

Для юр. лиц – до 50 т.р.

Для физ. лиц – до 5 т.р.

Для юр. лиц – до 75 т.р.

ч. 3 ст.13.11 КоАП

Для физ. лиц – до 1.5 т.р.

Для ИП – до 10 т.р.

Для юр. лиц – до 30 т.р.

ч. 4 ст.13.11 КоАП

Для физ. лиц – до 2 т.р.

Для ИП – до 15 т.р.

Для юр. лиц – до 40 т.р.

ч. 5 ст.13.11 КоАП

Для физ. лиц – до 2 т.р.

Для ИП – до 20 т.р.

Для юр. лиц – до 45 т.р.

ч. 6 ст.13.11 КоАП

Для физ. лиц – до 2 т.р.

Для ИП – до 20 т.р.

Для юр. лиц – до 50 т.р.

! При совершении уголовного преступления к штрафу прибавляются дополнительные меры взыскания, в том числе блокировка ресурса и арест нарушителя.

Как это работает?

Чтобы выявить нарушения, Роскомнадзор проводит плановые, внеплановые (по заявлениям граждан) и документарные (с запросом документов) проверки сайтов. Например, в ходе проверки в 2016 году «Тамбовскую городскую юридическую компанию» оштрафовали за размещение формы обратной связи без сопроводительных документов, а зимой 2017 года за подобные нарушения были оштрафованы несколько астраханских сайтов.

Как избежать штрафа и блокировки сайта: 5 шагов

  1. Перенесите базы данных на российские сервера. Это требование закона N149-ФЗ «Об информации, информационных технологиях и о защите информации». Нарушение закона может привести к блокировке ресурса – так, например, прекратила свою деятельность на территории России деловая социальная сеть LinkedIn.
  2. Составьте два документа – «Политику обработки персональных данных» и «Пользовательское соглашение». Обратите внимание, что публичная оферта заменяет документ о политике конфиденциальности. Крайне важно, чтобы документы не содержали в себе фактических и юридических ошибок. Лучше всего доверить эту работу профессиональному юристу. В 9 статье закона указано, что виртуальный документ равнозначен документу на бумажном носителе, поэтому никаких физических документов не потребуется.
  3. Подключите форму с согласием на обработку ПДн и обязательным чекбоксом ко всем полям сбора персональных данных на сайте.
  4. Убедитесь, что страница с «Политикой обработки персональных данных» доступна для прочтения каждому пользователю сайта.
  5. Отправьте бумажное и электронное уведомление в Роскомнадзор по установленной форме – ее можно найти на сайте Роскомнадзора. В соответствии со 22 статьей закона этот пункт является обязательным.

Если вы сомневаетесь в своей юридической компетенции или просто не хотите тратить много времени на формальности, есть более простое и практичное решение проблемы – сервис 152фз.рф. Это простое, дешевое и быстрое решение для Вашего сайта и бизнеса.

Среди наших предложений, Вы, наверняка, сможете подобрать удобное Вам. Если Вы не хотите затягивать с решением проблемы, то можете перейти к выбору тарифного плана уже сейчас. Возникающие юридические вопросы можно задать ниже в форме комментариев.

Подпишитесь на нашу email рассылку

Мы будем присылать Вам письма не чаще 1 — 2 раз в месяц.

Защита персональных данных. Три изменения для пользователей и интернет-ресурсов с 1 марта 2021 года

В конце 2020 года Госдума приняла закон ФЗ-519, который позволяет потребовать удалить общедоступные персональные данные. Пользователи сети сами могут устанавливать условия использования сведений о них и запрещать их передачу третьим лицам. Как эти изменения способны сказаться на работе социальных сетей и иных интернет-ресурсов?

  • ‍ Общедоступные персональные данные. Что это, можно ли сейчас их использовать без согласия пользователя
  • ❗ Изменения с 1 марта 2021 года
    • Суть нововведений. Что изменится для пользователей
  • ⚡ Ответственность операторов после вступления закона в силу
  • ‍ Мнение эксперта: как нововведения повлияют на работу соцсетей и других интернет-ресурсов
  • ❓ Часто задаваемые вопросы

‍ Общедоступные персональные данные. Что это, можно ли сейчас их использовать без согласия пользователя

Общедоступными являются данные, которые пользователь чаще всего публикует о себе сам и которые доступны неограниченному кругу лиц. В число общедоступных данных входит информация о пользователе из его профиля в соцсетях и на сайтах объявлений, в частности:

  • ФИО;
  • город проживания;
  • телефон;
  • электронная почта;
  • личные фото.

Все эти сведения могут использоваться, например, для сбора досье о человеке, настроек таргетированной рекламы и пр.

По состоянию на конец января 2021 года на основании части 1 статьи 7 Закона ФЗ-149 «Об информации, информационных технологиях и о защите информации» общедоступная информация включает общеизвестные сведения и иные данные, доступ к которым не ограничен (включая сведения из интернета). Законодательно предусмотрена презумпция открытости такой информации, что означает, что любое лицо может использовать указанные сведения по своему усмотрению. Под запретом находится только распространение полученных данных.

Данные факты подтверждает пункт 1 статьи 152.2 Гражданского кодекса, согласно которому, если информация о частной жизни гражданина была раскрыта им самим или по его воле, то это не признается нарушением правил использования таких сведений без дополнительного согласия гражданина.

❗ Изменения с 1 марта 2021 года

Через принятие Федерального закона 519-ФЗ будут внесены изменения в ФЗ «О персональных данных». Нововведения в практику работы с общедоступными данными будут проходить в два этапа:

  • основная часть поправок начнет действовать с 1 марта 2021 года;
  • вторая часть – с 1 июля 2021 года.

Суть нововведений. Что изменится для пользователей

Для пользователей принятие закона повлечет за собой три важнейших изменения:

  1. Пользователь должен будет давать согласие соцсетям на распространение общедоступных данных. Например, он сможет сам определять, какую информацию оставить общедоступной, а какую – сделать закрытой. Например, человек может согласиться, что сторонние компании и третьи лица увидят его имя и место работы, но может выступать против доступа к своим фото. Такое согласие не устанавливается по умолчанию по факту заполнения профиля. Пользователь должен будет предоставить разрешение на каждое конкретное действие: передачу данных третьим лицам, публикацию фото и информации в открытом доступе и пр. Стоит отметить, что зарегистрированным пользователям новое согласие оформлять не потребуется. Изменения распространятся только на новые регистрации. Но при изменении пользовательского соглашения компании согласие на его принятие нужно будет получать ото всех пользователей.
  2. Закон запретит компаниям собирать общедоступные сведения из профилей человека в соцсети, даже если они открыты. Например, рекрутеры не смогут подбирать персонал по соцсетям или на основании размещенного в открытом доступе резюме, сведения из профиля соцсетей не будут учитываться при формировании кредитного рейтинга и пр. Если, конечно, сами пользователи не согласятся сделать эту информацию общедоступной.
  3. Граждане могут потребовать удаления любой персональной информации о себе из сети без объяснения причин, а если оператор не выполнит такое требование добровольно, то это сделает Роскомнадзор – и одновременно выпишет оператору крупный штраф за нарушение законодательства.

Для сравнения: сейчас процедура удаления персональной информации более сложная. Необходимо доказывать, что сведения используются неправомерно – например, содержится фейковая или оскорбительная информация. Теперь никакие доказательства собирать не нужно, как и объяснять мотивы своего поступка.

Также сегодня при удалении профиля в соцсети информация перестает быть видимой другим пользователям, но сведения о действиях пользователя на ресурсе сохранятся и могут использоваться любым способом. После законодательных изменений абсолютно все данные пользователя должны быть удалены.

Для удаления сведений на интернет-ресурсе пользователь должен напрямую обратиться к оператору или передать данные через систему Роскомнадзора. Оператор должен будет прекратить обработку персональных данных в течение трех дней или в срок, который прописан в решении суда.

⚡ Ответственность операторов после вступления закона в силу

Закон начнет действовать с 1 марта 2021 года и распространится на все интернет-ресурсы, использующие общедоступные данные, которые представлены на российском рынке, включая сайты иностранного происхождения.

Оператором, который обрабатывает информацию о пользователях, становится владелец интернет-площадки или социальной сети (пока закон не уточняет перечень операторов персональных данных). Сами операторы данных выступали против принятия законопроекта об изменении обработки данных пользователей из-за усложнения работы с общедоступными данными – в частности, Яндекс, Mail.ru Group, Газпромбанк, Сбербанк, мобильные операторы и др. По их мнению, само понятие «общедоступные данные» после принятия закона фактически исчезнет.

После внедрения изменения операторы не смогут распространять персональные данные пользователей без их личного согласия.

Для передачи и отзыва согласия может использоваться специальная информационная система Роскомнадзора – она должна начать работать в ближайшее время. Также в обязанность операторов вменяется удаление профилей пользователей по первому требованию. Пользователи не обязаны объяснять причины, по которым они решили удалить информацию.

При игнорировании требований законодательства операторам грозит административная ответственность по статье 13.11 Кодекса об административных правонарушениях. На основании пункта 8 указанной статьи штраф для оператора может достигать от 1 до 6 млн р., а при повторном правонарушении – до 18 млн р.

‍ Мнение эксперта: как нововведения повлияют на работу соцсетей и других интернет-ресурсов

Новый закон предоставляет пользователям полный контроль за персональными данными. После внедрения нововведения можно ожидать, что пользователи будут более ответственно подходить к вопросу размещения информации о себе в открытом доступе.

Сегодня граждане редко читают пользовательское соглашение и просто ставят отметку в пункте «Разрешаю обработку», тем самым разрешая третьим лицам собирать и распространять информацию о себе. Поэтому в сети опубликовано чрезмерно много личной информации о пользователях. Теперь оператор должен не просто предложить поставить галочку, а по пунктам спросить, какие данные можно передать сторонним компаниям.

Но практика применения данного закона пока не до конца ясна, так как нет исключений для использования персональных данных. Возможно, закон приведет к злоупотреблениям со стороны государственных чиновников и звезд, которые потребуют удалять информацию о себе, в какой форме она бы ни подавалась. Хотя в законе и есть оговорка о том, что на информацию, публикуемую в государственных и общественных интересах, действие закона не распространяется. Но интернет-ресурсам в данном случае придется доказывать, что опубликованная ими информация представляет общественный интерес.

Непонятна и судьба реестров, где содержится общедоступная информация – в частности, ЕГРИП и ЕГРЮЛ, где раскрываются сведения без согласия самих пользователей.

❓ Часто задаваемые вопросы

Нужно обратиться к оператору персональных данных или воспользоваться сервисом Роскомнадзора, который заработает в ближайшее время. С учетом последних поправок в законодательство объяснение причин решения удаления сведений о себе не требуется.

Теперь у вас появится больше рычагов для контроля и управления персональными данными. При желании вы сможете заблокировать все возможности для «слежки» за вами.

Персональные данные: март 2021 года – что НЕ надо делать многим работодателям

Е. А. Юрова
автор статьи, консультант Аскон по трудовому праву

В связи с ростом криминального интереса к данным граждан защита персональных данных (далее по тексту – ПД) приобретает особое значение, что находит отражение и в изменениях законодательства.

В частности, Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» был изменен в 2020 году пять раз, и очередная новация вступила в силу 1 марта 2021 года.

В статье рассмотрим два значимых изменения 2020 года, касающихся трудовых отношений и имеющих действующий юридический статус.

Несанкционированный доступ к персональным данным – какие пробелы исправить работодателю

Федеральный закон от 30.12.2020 N 515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности» изменил 29 декабря 2020 года пункт 6 части 2 статьи 19. Оператора персональных данных, т.е. работодателя и его полномочные лица (в частности: кадровиков, бухгалтеров, системных администраторов), обязали обратить особое внимание на факты несанкционированного доступа к персональным данным и принимать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных, а также меры по реагированию на инциденты в них.

Многие работодатели это делали, делают и будут делать без напоминания регулятора, но это новшество обязывает обратить внимание на:

  • технологии обнаружения несанкционированного доступа,
  • поведение работников, привыкших «делиться» данными своей учетной записи с соседями по кабинету, по трудовой функции,
  • элементарные сообщения специализированных программ (наличие таковых) и документирование их отработки,

К сожалению, перечисленное является бытовым, привычным проявлением несанкционированного доступа к персональным данным, повсеместно распространенным, с которым бороться сложно. Но новшество касается именно этих «дыр» в политике обработки данных работодателем, в информационной безопасности персональных данных юридического лица.

Персональные данные, разрешенные работником для распространения

Вторым новшеством, которое касается некоторых работодателей, можно назвать введение Федеральным законом от 30.12.2020 N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» нового правового понятия: «Персональные данные, разрешенные субъектом персональных данных для распространения». Это понятие расширило перечень специальных категорий ПД, установленных статьей 10 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

Специальной категорией ПД являются персональные данные, разрешенные субъектом персональных данных для распространения, какими считаются данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законодательством о ПД.

Немногие работодатели предоставляют неограниченному кругу лиц доступ к своей информации, доступ к ПД работников. Соответственно, немногие работодатели должны актуализировать свою деятельность, свои локальные акты, приводя их в соответствие с обновлениями, вступившими в силу 1 марта текущего года.

Те же работодатели, которые предоставляют доступ к ПД работников неограниченному кругу лиц, должны получить согласие субъекта ПД, к содержанию которого будут установлены единые требования.

Данные требования устанавливаются уполномоченным органом по защите прав субъектов персональных данных. В настоящий момент единые требования проходят общественные обсуждения в отношении текста проекта нормативного правового акта и независимую антикоррупционную экспертизу (https://regulation.gov.ru/projects#npa=112660).

Обратите внимание, что работодателям нужно будет актуализировать локальные акты после утверждения единых требований к содержанию согласия на обработку персональных данных, разрешенных их субъектом для распространения.

Кстати сказать, пунктом 2 статьи 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» работодателю как оператору ПД позволено осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных во многих случаях отношений работник – работодатель. В том числе и в случае наличия разрешенных субъектом персональных данных ПД для распространения.

Названные два из пяти изменений 2020 года Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» являются улучшением, защитой прав работника. Новшества обязывают работодателя актуализировать локальные акты. Согласно статье 12 Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ в случаях, когда вступает в силу закон, устанавливающий более высокий уровень гарантий работникам по сравнению с установленным локальным нормативным актом, локальный акт или его часть просто прекращают свое действие. Именно поэтому следует обратить внимание на текст положения о защите персональных актов и привести его в соответствие с действующим законодательством.

Тем более, что 27.03.2021 актуализированы нормы Кодекса Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ, усугубляющие ответственность оператора персональных данных, ответственность должностных лиц, принимающих участие в процедурах обработки ПД.

В частности, новации статьи 13.11 КоАП за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных предусматривает наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от шестидесяти тысяч до ста тысяч рублей, с увеличением величины штрафа за повторность.

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть, влечет наложение административного штрафа на граждан в размере от шести тысяч до десяти тысяч рублей; на должностных лиц — от двадцати тысяч до сорока тысяч рублей; на юридических лиц — от тридцати тысяч до ста пятидесяти тысяч рублей. И это не предел.

Образовательное мероприятие по теме

Лектор: Наталия Юрьевна Неверовская, управляющий партнер Unicomlegal Russia, Санкт-Петербургское отделение. Судья Полномочного международного экономического суда при Ленинградской областной ТПП, а также третейский судья при Санкт-Петербургской Торгово-Промышленной Палате

Персональные данные: что учесть работодателям в 2021 году

Найдите решение по своей ситуации в КонсультантПлюс. Активируйте пробный доступ к системе на 3 дня прямо сейчас.

Е. А. Юрова
автор статьи, консультант Аскон по трудовому праву

Присоединяйтесь к нам в социальных сетях

Поможем не забыть сделать главное

Посмотрите актуальные чек-листы для бухгалтера, специалиста по кадрам и юриста.

#Юрист #Специалист по кадрам #Бюджетник #Новости законодательства #Персональные данные #Управление персоналом

Возможно, вам будут интересны эти темы:

Начал действовать новый порядок ведения и хранения трудовых книжек. Теперь ряд сроков нужно измерять в рабочих днях, а от сотрудников требовать меньше подписей.

Новые требования к аптечкам первой помощи действуют с 1 сентября в течение 6 лет.

Контролировать тех, кто принимает на работу иностранцев, смогут только в форме внеплановых документарных или выездных проверок.

Что нужно знать о 152 фз о защите персональных данных после изменений в 2020 года

Федеральный закон №152 «О защите персональных данных» был принят Государственной думой в 2006 году. С 1 июля 2020 года вступают новые поправки в данное законодательство, в частности произойдет увеличение штрафных санкций. Далее будут подробно описаны основные положения данного закона, а также комментарии к статьям.

Общая суть

Процесс обработки персональных данных заключается в сборе, хранении, систематизации и удалении информации.

Какие положения регулирует данный закон:

  • сбор, хранение и обработка персональных данных должна осуществляться в добровольном порядке. Гражданину должно быть предоставлено право выбора, соглашаться на обработку данных или нет;
  • исполнение данного постановления должно быть направлено на защиту и свободу граждан России, отхождения недопустимы;
  • обработка и хранение персональных данных следует осуществлять в рамках действующего законодательства. Должны быть соблюдены сроки и требования.

Какие положения не регулируются законодательством:

  • обработка данных не используется для личных целей физических лиц;
  • обработка и хранение информации, связанной с государственной тайной;
  • данные, полученные в результате проведения судебного разбирательства;
  • информация, которая относится к деятельности органов судебной власти.

Цель (закона ст 2)

Цель Федерального закона №152 прописана в ст. 2 и заключается в регулировании сферы обработки персональных данных человека, например, в средствах массовой информации и телекоммуникации.

Он призван защищать права и свободы каждого гражданина, проживающего на территории Российской Федерации, а также не допустить проникновение в личную и частную жизнь третьих лиц.

Основные термины

Стоит знать о том, что персональные данные подразделяются на несколько категорий, которые подлежат сбору в соответствии с постановлением, сюда можно отнести следующие:

  1. расовые;
  2. религиозные;
  3. национальные;
  4. политические,
  5. философские и другие убеждения.

При этом необходимо заметить, что их сбор должен проводиться исключительно с согласия гражданина.

Каким-либо образом узнать дополнительные категории весьма затруднительно. В большинстве случаев это частная информация, которая касается непосредственного физического лица: военных, государственных служащих, работников, трудящихся на государственных предприятиях и компаниях.

Все те аспекты информации, которые гражданин держит в тайне, находятся под защитой закона №152.

Что входит в перечень ПД:

  • фамилия, имя и отчество гражданина;
  • актуальные паспортные данные;
  • фактический адрес проживания и регистрации;
  • данные о составе семьи;
  • паспорт здоровья или медицинская книжка;
  • документы, относящиеся к пенсионному страхованию;
  • сведения, где и когда гражданин проходил военную службу;
  • дипломы об образовании;
  • информация о трудовой деятельности человека. Как правило, используется трудовая книжка. В некоторых случаях делается запрос на бывшее место работы.

Процесс обработки персональных данных заключается в сборе, хранении и систематизации информации о каждом гражданине.

Какие были внесены изменения в последнюю редакцию

Последние изменения 152 фз о защите персональных данных внесенные в 2020 году были внесены в статью 19, которая касается сбора и анализа персональных данных.

Также подверглись увеличению штрафные санкции, которые будут налагаться в случае не соблюдения требований закона. При этом был изменен список нарушений.

Нюансы и правила обработки в 2020

Также необходимо отметить, что персональные данные обрабатываются согласно критериям, утвержденным в данном законе. Далее будут подробно рассмотрен перечень условий:

  • обработка данных может происходить только с согласия гражданина России, навязывание или утаивание недопустимо;
  • хранение и сбор информации осуществляется исключительно для достижения целей, прописанных в действующем законодательстве;
  • обработка информации используется для осуществления правосудия и исполнения административных актов;
  • в ситуациях, когда для жизни и здоровья гражданина угрожает опасность, сбор персональных данных производится принудительно.

Правила хранения ПД на территории РФ

На сегодняшний день законом установлены следующие положения, регулирующие хранение персональных данных на территории Российской Федерации:

  • за хранение персональных данных отвечает ответственный сотрудник (оператор);
  • хранение информации должно производиться по специально разработанному регламенту в соответствии с Федеральным законом;
  • необходимо соблюдать цели закона и ознакомить гражданина с актом о сборе, хранении и обработке персональных данных;
  • необходимо соглашение, которое будет подписано гражданином в случае, если он согласен с обработкой персональных данных;
  • гражданин России имеет право знать, каким образом на предприятии ведется учет, хранение, сбор, систематизация и уничтожение персональной информации;
  • базы персональных данных должны быть актуальны, поэтому требуется своевременно их обновлять, например, если сотрудник изменил фамилию или место жительство;
  • требуется защитить персональные данные от рук злоумышленников. Необходимо создать систему защиту информации. Если конфиденциальная информация гражданина попадет в руки третьих лиц, то это является административным правонарушением;
  • необходимо четко исполнять условия, предписанные действующим законодательством. Уничтожение информации производится в течении 30 дней с момента ее получения, если в договоре не прописано иное условие.

Будьте бдительны. Условия хранения и правила обработки персональных данных проверяются уполномоченными ведомствами, Трудовой инспекцией и сотрудниками Федеральной службы по надзору в средствах массовой коммуникации (Роскомнадзор).

Особенности передачи третьему лицу

На основании Федерального закона №152 гражданин может согласиться на передачу данных третьим лицам только в том случае, если находиться в полном сознании и понимании своих действий. Принуждение или утаивание сбора информации недопустимо.

При этом, если человек согласился на обработку, он может от нее отказаться в любое время, причины такого решения не учитываются. Отказ необходимо написать по специально установленному заявлению подданному на имя руководителя.

Необходимо отметить, что в некоторых ситуациях отказаться не представляется возможным, например, когда обработка ПД является обязательным условиям для трудоустройства на работу.

Исключения:

  • запрос информации о гражданине из судебной инстанции;
  • запрос по требованию полиции или прокуратуры;
  • при оказании медицинской помощи;
  • если лицо получило тяжкие телесные травмы, которые угрожают жизни и здоровью.

Стоит заметить, что передача персональных данных третьим лицам в кредитных учреждениях происходит на основании личной росписи гражданина и не входит в перечень исключений.

Комментарии специалиста

Для полного понимания данного Федерального закона необходимо подробно изучить его с комментариями.

Основные ошибки

Основные ошибки, которые может совершить работодатель в процессе хранения и обработки персональных данных:

  • работодатель не обеспечил доложенное хранения ПД, и как следствие они попали в недобросовестные руки;
  • необходимо обязательно выдавать сотрудникам организации расчетные листы;
  • работодатель затягивает с предоставлением данных о трудовом стаже;
  • работодатели игнорирует обновление и поддержание актуальной информационной базы;
  • ни в коем случае нельзя каким-либо образом демонстрировать личную информацию о сотрудниках;
  • любые конфиденциальные данные, касающиеся сотрудника, ни в коем случае нельзя предоставлять третьим лицам, например, фирмам по взысканию долгов.

Ответственность за нарушение закон

Ответственность, предусмотренная Административным кодексом Российской Федерации за нарушение Федерального закона №152:

  • обработка персональных данных, идущая в разрез с целями, указанными в законе. Санкции по данному деянию варьируются от предупреждения до материальной ответственности. Для физических лиц от 1 тыс. рублей до 3 тыс. рублей. Для юридических лиц, от 30 тыс. рублей до 50 тыс. рублей. Для должностных лиц от 5 тыс. рублей до 10 тыс. рублей;
  • обработка ПД без согласия гражданина, а также нарушение в сбора и хранения данных;
  • оператор не выполняет предписанных законом требований и обязанностей по сохранению информации;
  • оператор не предоставляет гражданину информацию, касающуюся обработки его ПД.

Видео: Что необходимо знать

А как же сайты

Веб-сайты есть практически у большинства крупных компаний, претензии Роскомнадзора обычно направлены к ним из-за нарушения сбора персональных данных. Чаще всего замечаниям подвергается нецелевая обработка. Для примера приведем простую ситуацию, когда на сайте какой-либо компании от гражданина требуют предоставить номер телефона или паспортные данные.

Важно знать, что подобная информация (место жительство, телефон, паспортные данные) не нужно указывать в форме регистрации на ресурсах. Это противоречит требованиям и целям закона. Форма регистрации может содержать в себе следующие поля: электронная почта, имя и пол пользователя.

Для сотрудников компаний, например, в мессенджерах или в социальных сетях лучше всего убрать личную информацию, это влечет за собой открытие конфиденциальных данных посторонним лицам. Таким образом, если сетевой ресурс занимается нецелевым сбором, то это может попасть под административные санкции (штраф или предупреждение).

В этом материале были рассмотрены нюансы ФЗ №152, а также ответственность за его нарушение. Для того, чтобы не попасть под административное наказание, необходимо четко выполнять требования, предписанные в законе.

голоса
Рейтинг статьи
Читать еще:  Депортация и выдворение
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector