Как нужно обрабатывать персональные данные с 1 марта 2021 года: изменения

Федеральный закон от 30.12.2020 № 519-ФЗ внёс с 01.03.2021 изменения в Закон о персональных данных касаемо разрешённых работником, покупателем, клиентом, посетителем и др. для распространения личных данных. Из этой статьи узнаете, какие особенности обработки таких персональных данных нужно учитывать с 1 марта 2021 года.

Новый статус для некоторых персональных данных и понятие

Федеральный закон от 30.12.2020 № 519-ФЗ с 01.03.2021 дополнил Закон «О персональных данных» от 27 июля 2006 года № 152-ФЗ (далее – Закон № 152-ФЗ) положениями о «персональных данных, разрешенных субъектом персональных данных для распространения».

Этот такие персональные данные, доступ неограниченного круга лиц к которым предоставил сам субъект путем дачи согласия на их обработку, для распространения в порядке, предусмотренном Законом № 152-ФЗ.

Поправки направлены на создание механизмов защиты прав и свобод субъектов персональных данных, чьи персональные данные участвуют в общедоступном обороте.

Дело в том, что действовавшая до 01.03.2021 редакция Закона № 152-ФЗ позволяла третьим лицам осуществлять сбор и последующее неконтролируемое использование указанных таких персональных данных на интернет-сайтах:

  • в целях, отличных от цели их первоначального распространения;
  • с ориентиром на иные целевые аудитории, что нарушает принцип целеполагания (ст. 5 Закона о персональных данных).

Какие особенности нужно учитывать

Особенности обработки разрешенных субъектом для распространения персональных данных определяет новая ст. 10.1 Закона № 152-ФЗ.

Согласие на обработку персональных данных, разрешенных субъектом для распространения, оформляют отдельно от иных его согласий на обработку его персданных. При этом оператор в форме согласия обязан обеспечить возможность определить перечень персональных данных по каждой их категории.

СИТУАЦИЯ

ПОСЛЕДСТВИЕ

Сам человек раскрыл свои персональные данные неопределенному кругу без дачи оператору согласия Обязанность доказывать законность последующего распространения или иной обработки таких данных лежит на каждом лице, осуществившем их распространение или иную обработку
Персональные данные раскрыты неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы

СИТУАЦИЯ

РЕШЕНИЕ

Из согласия не следует, что субъект согласился с распространением персональных данных Такие персональные данные оператор, которому они предоставлены субъектом, обрабатывает их без права распространения
Из согласия не следует, что субъект не установил запреты и условия на обработку персональных данных

В согласии не указаны категории и перечень персональных данных, для обработки которых субъект устанавливает условия и запреты

Такие персональные данные обрабатывают без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий неограниченному кругу лиц

Рассматриваемое согласие на обработку персональных данных может быть предоставлено оператору 2 способами:

  • непосредственно;
  • через ресурс Роскомнадзора (с 01.07.2021).

ИМЕЙТЕ В ВИДУ

Молчание или бездействие лица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных им для распространения.

В согласии на обработку разрешенных для распространения персональных данных, субъектом вправе установить запреты на:

  • передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц;
  • обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

Оператор не может отказать в установлении лицом запретов и условий.

Отметим, что на обработку персональных данных в государственных, общественных и иных публичных интересах запреты распространяться не могут.

Срок публикации оператором условий согласия – 3 рабочих дня с момента его получения.

Передача (распространение, предоставление, доступ) персональных данных, разрешенных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать:

  • Ф.И.О. (при наличии);
  • контактную информацию (номер телефона, адрес электронной почты или почтовый адрес);
  • перечень персональных данных, обработка которых подлежит прекращению.

Указанные в таком требовании персональные данные может обрабатывать только оператор, которому оно направлено.

Действие согласия прекращается с момента поступления оператору требования.

В случае несоблюдения правил ст. 10.1 Закона № 152-ФЗ субъект вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения:

  • к любому лицу, обрабатывающему их;
  • или в суд.

Из закона вытекает, что субъекту не нужно доказывать факт неправомерной обработки персональных данных на каком-либо ресурсе или интернет-сайте (до 01.03.2021 такая обязанность была).

Нарушитель обязан прекратить использование персональных данных:

  • в течение 3-х рабочих дней с момента получения требования;
  • в срок, указанный во вступившем в законную силу решении суда (если не указан, то 3 раб. дня с момента вступления в силу).

Все перечисленные выше правила не применяются в случае обработки персональных данных при выполнении возложенных законом на федеральные/региональные органы исполнительной власти, органы местного самоуправления функций, полномочий и обязанностей.

Образец согласия на обработку

С 01.03.2021 установлено, что требования к содержанию Согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливает уполномоченный орган по защите прав субъектов персональных данных. То есть, Роскомнадзор.

Его приказ от 24.02.2021 № 18 с 1 сентября 2021 года утверждает такие требования.

Напомним, что согласие субъект предосталяет оператору, осуществляющему обработку персональных данных.

По требованиям Роскомнадзора, согласие должно включать следующую информацию:

  1. Ф.И.О. (при наличии) субъекта персональных данных на русском языке (в русской транскрипции для иностранца и лица без гражданства).
  2. Контактная информация – номер телефона, адрес электронной почты или почтовый адрес.
  3. Полное и сокращенное наименование или Ф.И.О. (при наличии) и адрес оператора, получающего согласие субъекта. А также ИНН, ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС, регион, населенный пункт.
  4. Цель (цели) обработки персональных данных (формулировка строго по закону).
  5. Категории (общие, специальные, биометрические) и перечень персональных данных, на обработку которых дано согласие.
  6. Категории и перечень перс. данных, для обработки которых субъект устанавливает условия и запреты, а также их перечень.
  7. Срок действия согласия (определенный период времени или дата окончания срока). При этом не может быть бессрочным и автоматической пролонгации.
  8. Сведения об информационных ресурсах оператора, посредством которых будет предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта.
  9. Условия, при которых полученные персональные данные оператор, осуществляющий их обработку, может передавать только по своей внутренней сети для строго определенных сотрудников либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных).

Таким образом, осталось без изменений обязательное условие получения согласия субъекта на обработку его персональных данных, сделанных им общедоступными. При этом тоже в силе исключения в отношении обработки персональных данных в государственных, общественных и иных публичных интересах.

Ответственность

Благодаря рассмотренным изменениям в Закон № 152-ФЗ с 1 марта 2021 года заработала ч. 1 ст. 13.11 КоАП РФ, по которой теперь могут штрафовать за обработку персональных данных:

  • в случаях, не предусмотренных законодательством РФ в этой области;
  • несовместимую с целями сбора персональных данных.

Административный штраф составляет:

  • на граждан – от 2000 до 6000 рублей;
  • на должностных лиц – от 10 000 до 20 000 рублей;
  • на юридических лиц – от 60 000 до 100 000 рублей.

Статьей 152.1 ГК РФ предусмотрено, что обнародование и дальнейшее использование изображения гражданина (в т. ч. его фотографии, а также видео или произведения изобразительного искусства, в которых он изображен) допустимы только с его согласия.

Обнародование изображения человека – это действие, которое впервые делает данное изображение доступным для всеобщего сведения путем его опубликования, публичного показа либо любым другим способом, включая размещение в Интернете (постановление Пленума ВС РФ от 23.06.2015 № 25).