Защита персональных данных в социальных сетях 2021

Страховое право

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Защита персональных данных в социальных сетях 2021». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Содержание
1. Как ужесточились требования к работе с персональными данными в 2021 году
2. Персональные данные из соцсетей, можно ли использовать в работе?
3. Персональные данные в 2021: как компаниям с ними работать и не получать штрафы
4. О публикации и защите персональных данных в 2021 — что изменится в 152-ФЗ
5. Стоп, контент: новые обязанности владельцев соцсетей и права пользователей
6. Распространять персональные данные граждан по-старому больше не получится
7. Изменения в законе о персональных данных

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

  • ФИО;
  • контактные данные;
  • перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Как ужесточились требования к работе с персональными данными в 2021 году

Пробегусь по пунктам новой статьи 10.1 Закона «О персональных данных». Это она определяет особенности публикации персональных данных. Подумайте заранее, как реализовать в вашей деятельности эти новшества.

Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Это может выглядеть так: согласен на публикацию ФИО, не согласен на публикацию даты рождения. Посмотрим, что скажет РКН. Совершенно точно придется поломать голову над формулировками.

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, один сайт написал про чиновника, второй сделал рерайт новости, третий — просто ее перепостил. Чиновник обиделся и написал жалобу в РКН.

В этом примере доказывать, что есть общественный интерес персональным данным чиновника будут все три сайта. Вряд ли у них будет согласие на распространение ПД чиновника. А других законных оснований нет.

В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, произошел слив базы данных банка в сеть. Кто-то их скопировал и опубликовал. Значит он будет доказывать законность распространения этой информации. Не знаю, получится ли у него это.

Персональные данные из соцсетей, можно ли использовать в работе?

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

Тот же пример: намудрили непонятного в форме согласия — публиковать нельзя.

Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Многозначительно промолчать в ответ на вопрос: «даете свое согласие на публикацию ваших данных на нашем сайте?» — означает нет.

В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

Например, человек может разрешить опубликовать свои ФИО и возраст в отзывы на товар. Но тут же запретить передавать кому-нибудь еще. Например, вашему рекламному агентству. И ограничить человека в этом праве нельзя.

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

  • в течение трех рабочих дней с момента обращения;

  • или в срок, указанный в постановлении суда;

  • или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).

Появляется новое основание, за несоблюдение которого могут оштрафовать (раньше за это не наказывали рублем). Невыполнение обязанности по соблюдению конфиденциальности ПДн влечет наложение штрафа:

  • на граждан — в размере от 10 до 20 тысяч рублей;
  • на должностных лиц — от 40 до 100 тысяч рублей;
  • на индивидуальных предпринимателей — от 100 до 300 тысяч рублей;
  • на юридических лиц — от 300 до 500 тысяч рублей.

Организация, физическое или юрлицо, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия владельца ПДн, если это не предусмотрено федеральным законом.

Любая передача ПДн (распространение, предоставление, доступ) является незаконной без согласия владельца ПДн и является нарушением конфиденциальности его ПДн.

Если ПДн сотрудников были переданы без их письменного согласия, то во-первых, это противозаконно, а во-вторых, за подобные действия будут штрафовать.

Вот типовые ситуации, которые будут подпадать под данную статью:

1. Передача ПДн работников третьим лицам:

  • в банк для целей выплаты заработной платы и иных материальных выплат, а также перечисления подотчетных средств;
  • в охранное предприятие в целях взаимодействия и реагирования;
  • в медицинские организации в целях проведения медицинских осмотров;
  • в страховые компании по договорам добровольного медицинского страхования;
  • в образовательные организации в объеме превышающем требования закона об образовании;
  • в целях организации командировок и участия в выставках;
  • в других целях, напрямую не связанных с должностными обязанностями сотрудника.

2. Передача ПДн клиентов, представителей клиентов, поставщиков, партнеров третьим лицам в целях:

  • организации мероприятий, маркетинговых акций, рекламы;
  • размещения отзывов, рекламных акций на сайте компании и других общедоступных источниках;
  • сбор персональных данных через онлайн-каналы (мессенджеры, социальные сети, формы обратной связи на сайте, онлайн-консультанты) без применения средств защиты, обеспечивающих их конфиденциальность при передаче через интернет.

3. Получение ПДн без подтверждения наличия согласия от человека или иных законных оснований у передающей стороны.

4. Предоставление доступа к ПДН внутри организации сотрудникам без должного документального оформления (должностные обязанности и/или локальные нормативные акты).

Персональные данные в 2021: как компаниям с ними работать и не получать штрафы

Ответственность за не обезличивание персональных данных теперь несут не только государственные и муниципальные органы власти, но и все операторы.

По второму изменению в новом КоАП дело касается обезличивания ПДн. Проще говоря, если персональным данным (паспортным, медицинским, контактным данным и т.п) будет присвоен идентификационный номер, то это обезличивает персональные данные, т.к. по одному номеру нельзя определить человека.

В новом КоАП предполагается распространить ответственность за не обезличивание персональных данных с государственных и муниципальных органов власти на всех операторов. Все операторы будут обязаны обезличивать ПДн, которые обрабатывают.

Невыполнение подобных требований влечет предупреждение или наложение административного штрафа для всех операторов ПДн в размере от 3 до 6 тысяч рублей. Штрафы небольшие, но можно предположить, что это только начало.

Новый КоАП еще не принят, но вектор внимания уже определен. Для того чтобы нововведения не стали для вас сюрпризом, необходимо в 2021 году провести оценку соответствия процессов обработки и защиты персональных данных требованиям законодательства.

Проводить ее необходимо не реже, чем раз в три года. Это установлено законом.

  • Изучить все источники поступления ПДн в организацию, цели поступления и состав данных. К примеру, нужно понимать, что источники ПДн клиентов и сотрудников разные, и состав ПДн тоже разный.
  • Проанализировать, где и как организация получает ПДн — наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность получения персональных данных, их состав и цели обработки. Получение всех ПДн, которые попадают в организацию, без исключения должны подтверждаться подобными документами: корректно составленное соглашение по обработке ПДн на сайте, с которого компания получает ПДн клиентов, Соглашение по обработке ПДн с сотрудниками.
  • Изучить, какие и чьи ПДн в организации обрабатываются (в разрезе категорий физических лиц). Ориентируясь на ПДн клиентов и сотрудников, видно, что процесс их обработки и хранения разный. Доступ к ПДн сотрудников имеют отдел кадров, бухгалтерия, а к клиентским данным — та же бухгалтерия и коммерческий отдел.
  • Проверить наличие утвержденных локальных нормативных актов, определяющих порядок доступа сотрудников к персональным данным. Документы, в которых прописано, кто и за что отвечает.
  • Проанализировать соответствие процесса обработки локальным нормативным актам. Зачастую на практике бывает несоответствие.
  • Изучить ваших получателей персональных данных: кому, для каких целей и в каком составе передаются персональные данные. Опять же, практика показывает, что в некоторых организациях к ПДн допускаются сотрудники, не имеющие к ним отношения.
  • Проанализировать, на каких условиях передаются ПДн третьим лицам — обязательно наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность передачи персональных данных. Если зачисление зарплаты сотрудникам компании происходит через зарплатный проект банка, то компания обязана с каждым сотрудником, участвующем в зарплатном проекте, подписать соглашение о передаче его ПДн в этот банк.
  • Определить, какие персональные данные стоит обезличивать. К примеру, это данные, чей срок хранения официально вышел, но при этом характеристики клиента имеют ценность без необходимости идентификации физического лица.
  • Определить, какие согласия уже не имеют силы и которые надо скорректировать. Отсутствие отлаженной системы работы с ПДн в прошлом означает, что, возможно, часть документов уже не актуальна.
  • Изучить, как защищаются персональные данные в компании и от кого они реально защищены — только от внешних злоумышленников или от внутренних тоже? Очень часто данные клиентов утекают вместе с увольняющимися сотрудниками коммерческих отделов.
  • Составить годовой план и реализовать его. Необходимо разработать поэтапный план по реализации этих пунктов с учетом объема работы и времени на их выполнения.

Утечка ПДн может обернуться для компании не только финансовыми убытками, но и потерей репутации на рынке и разрывом отношений с партнерами. Поэтому важно изучить законодательство и вовремя принять меры. И здесь есть два пути:

  • делать все самостоятельно (силами организации);
  • доверить выполнение требований закона компаниям, которые могут провести независимый аудит по обработке ПДн и решить выявленные проблемы.

По словам Марины Хадиной, директора по развитию Talantix, чтобы избежать рисков, рекрутер как менеджер проекта по внедрению программ должен учесть следующие моменты:

  1. Обратите внимание, как система запрашивает согласие на обработку персональных данных. Если резюме приходят из разных источников, то во многих случаях должно быть предусмотрено согласие на обработку ПД, разрешенных к распространению. Если есть сомнения, что сторонний онлайн-ресурс не собирает согласия с соискателей, тогда лучше дополнительно запросить его.
  2. Посмотрите, как оформлено согласие на обработку ПД. Должны быть указаны цели сбора — трудоустройство и кадровый резерв.
  3. Соблюдаются ли в системе требования по локализации данных — например, серверы Talantix располагаются на территории РФ. В данном случае система может выступать как первичная база данных, при этом вторичная база может находиться за пределами России, что актуально для зарубежных компаний.
  4. С точки зрения техтребований — есть ли у центра обработки данных, где размещается инфраструктура системы, лицензия на техническую защиту информации, разработана ли модель защиты от киберугроз.
  5. Проверьте, предусмотрены ли регулярные обновления системы с учетом изменений в законодательстве.

Законодатели отметили, что закон о распространении ПД — только начало большой работы по ужесточению правил обращения с персональными данными. Но это не должно стать проблемой для компаний, если они следят за автоматизированными решениями и предложениями по хранению и обработке данных, так как крупные провайдеры держат руку на пульсе, чтобы помочь HR-сообществу и бизнесу учесть эти и другие нововведения.

Вступил в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

Нововведения:

  • За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалось предупреждение.
  • Ранее повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь выделяется и штрафы по нему в несколько раз выше, чем за первичное нарушение.
    Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 до 100 тысяч рублей, за повторное — от 100 до 300 тысяч рублей.
  • Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то теперь увеличен до одного года.
Основание Размер штрафа
Обработка персональных данных в случаях, не предусмотренных законодательством и несовместимая с целями сбора персональных данных.
  • Для физлиц: предупреждение или штраф от 2 000 до 6 000 руб.
  • Для должностных лиц: предупреждение или штраф от 10 000 до 20 000 руб.
  • Для юрлиц: предупреждение или штраф от 60 000 до 100 000 руб.

При повторном нарушении

  • Для физлиц: от 4 000 до 12 000 руб.;
  • Для должностных лиц: от 20 000 до 50 000 руб.;
  • Для ИП: от 50 000 до 100 000 руб.;
  • Для юрлиц: от 100 000 до 300 000 руб.
Обработка персональных данных без письменного согласия субъекта.
  • Для физлиц: от 6 000 до 10 000 руб.
  • Для должностных лиц: от 20 000 до 40 000 руб.
  • Для юрлиц: от 30 000 до 150 000 руб.

Уведомлять Роскомнадзор не нужно, если персональные данные:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  • являются общедоступными;
  • включают только ФИО субъектов персональных данных;
  • нужны для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включены в федеральные автоматизированные информационные системы персональных данных, государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физическим, так и к юридическим лицам. Однако юридическим лицам следует предпринять ряд дополнительных мероприятий.

Да, если соблюдено одно из указанных условий.

  • На вашем сайте в открытом доступе размещаются ПД.
  • Вы собираете и структурируете ПД, размещенные в открытом доступе.
  • Вы публикуете ПД в печатной или иной форме, при которой ПД находятся в открытом доступе.

    Пример: социальные сети, сайты объявлений, форумы, печатные издания с объявлениями и т.д.

Нет, если соблюдено одно из указанных условий.

  • На вашем сайте размещаются ПД, доступ к которым есть только у зарегистрированных пользователей, т.е. оператор может ограничить и определить круг лиц, имеющих доступ к ПД.

    Эта позиция была устно донесена Роскомнадзором в ходе ответов на вопросы на дне открытых дверей 28 января 2021 г. В отсутствие письменных разъяснений остается довериться данной позиции и надеяться на то, что Роскомнадзор не изменит ее.

    Пример: закрытая корпоративная социальная сеть или сайт-интегратор объявлений, на котором доступ к ПД продавцов можно получить только после регистрации на сайте.

  • Ваша компания распространяет или предоставляет ПД в определенных законом государственных, общественных или публичных интересах независимо от того, что распространение или предоставление ПД запрещено самим лицом2.

    Под государственными, общественными и публичными интересами в основном понимаются вопросы безопасности государства, граждан и т.д. Поэтому сложно придумать реальный случай, когда коммерческая организация могла бы прикрыться данным пунктом закона.

  • Вы являетесь государственным органом власти или органом местного самоуправления, распространяющим ПД в силу выполнения возложенных на вас полномочий3.

Оператор может быть привлечен к административной ответственности. До 27 марта 2021 г. размер штрафа составит:

  • от 5 до 10 тыс. руб. – для индивидуального предпринимателя;
  • от 30 до 50 тыс. руб. – для компании24.

С 27 марта 2021 г. размер штрафов увеличивается:

  • от 10 до 20 тыс. руб. – для индивидуального предпринимателя;
  • от 60 до 100 тыс. руб. – для компании.

Полагаем, самый надежный и менее затратный способ соблюсти требования Закона о персональных данных для тех компаний, чьи сайты содержат ПД субъектов, – закрыть сайты для незарегистрированных пользователей. По крайней мере, до тех пор, пока не сформируется судебная практика и не появится точная позиция Роскомнадзора относительно применения положений Закона о распространении ПД.

Сложнее обстоит дело с компаниями, которые собирают ПД из открытых источников. Такие компании, на наш взгляд, обязаны получать у субъектов:

  • согласие на обработку ПД, если компания хочет обрабатывать ПД без распространения;
  • согласие на распространение, если компания хочет распространять ПД субъекта.

Компаниям, которые распространяют ПД не в интернете, также необходимо получать у субъекта согласие на распространение, даже в том случае, если распространение ПД необходимо для исполнения договора в интересах субъекта.

1 Федеральный закон от 30 декабря 2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”».

2 Часть 11 ст. 10.1 Закона о персональных данных (далее – Закон).

3 Часть 15 ст. 10.1 Закона.

4 Пункт 1 ч. 1 ст. 6 Закона.

5 Пункт 5 ч. 1 ст. 6 Закона.

6 Часть 3 ст. 20 Закона.

7 Часть 5 ст. 21 Закона.

8 Пункт 1.1 ч. 1 ст. 3 Закона.

9 Часть 1 ст. 10.1 Закона.

10 Часть 9 ст. 9 Закона.

11 Часть 1 ст. 10.1 Закона.

12 Часть 9 ст. 10.1 Закона.

13 Часть 6 ст. 10.1 Закона.

14 Часть 8 ст. 10.1 Закона.

15 Часть 10 ст. 10.1 Закона.

16 Часть 4 ст. 10.1 Закона.

17 Часть 5 ст. 10.1 Закона.

18 Часть 12 ст. 10.1 Закона.

19 Часть 13 ст. 10.1 Закона.

20 Часть 14 ст. 10.1 Закона.

21 Часть 2 ст. 10.1 Закона.

22 Пункт 10 ч. 1 ст. 6 Закона.

23 Определение Верховного Суда РФ от 29 января 2018 г. № 305-КГ17-21291.

24 Часть 1 ст. 13.11 КоАП РФ.

О публикации и защите персональных данных в 2021 — что изменится в 152-ФЗ

Согласие на распространение ПД надо получать отдельно от общего согласия на обработку ПД.

При получении согласия офлайн в письменной форме человеку надо предложить заполнить два бланка: первый ─ общее согласие на обработку ПД, второй ─ согласие на распространение.

В интернете для получения согласия обычно используют чекбокс со ссылкой на текст соответствующего документа. С 1 марта надо будет размещать два чекбокса: один ─ на общее согласие, второй ─ на распространение.

Кроме этого, в законе сказано, что человек еще должен выбрать, какие именно данные о себе он разрешает распространять. Пока непонятно, как технически настроить такой выбор на сайте. Возможно, придется рядом с каждым видом ПД предусматривать отдельные чекбоксы.

Такой формат может, конечно, повлиять на конверсию. И если вам не хочется заморачиваться с настройками под закон о ПД, подумайте, возможно, стоит отказаться от распространения данных.

Согласие может быть отозвано в любой момент без указания причин.

Это неудобно для отдельных проектов. Например, психолог предлагает бесплатные консультации при условии размещения записи беседы на своем сайте или соцсетях. Перед консультацией получены согласия на обработку и распространение ПД. А после размещения ролика клиент передумывает. Психолог вынужден удалить видео.

Даже если вы получили согласие, нет гарантии, что человек не отзовет его. И сделать с этим ничего не получится ─ удалять данные придется.

Иногда посетители сайта или соцсетей сами оставляют информацию о себе ─ пишут в комментариях имена, почты и даже телефоны. В таких случаях владельцу сайта надо доказать, что все, кто разместил личные данные на сайте, дали согласие на распространение.

Если у вас нет согласия, лучше удалите или отредактируйте подобные комментарии.

Это относится к случаям после 1 марта 2021 года ─ даты вступления в силу поправок в закон № 152-ФЗ, так как обратной силы закон не имеет.

С 1 марта 2021 года перед размещением данных о людях в публичном пространстве, нужно получить у них отдельное согласие. На интернет-ресурсах, кроме «Согласия на обработку ПД», придется размещать еще и «Согласие на распространение ПД». Также надо решить, каким образом люди будут давать разрешение, например, с помощью отдельного чекбокса.

Новая редакция ст.13.11 КоАП со штрафами за нарушение закона о ПД уже действует, поэтому будьте аккуратнее.

Стоп, контент: новые обязанности владельцев соцсетей и права пользователей

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

  1. ФИО;
  2. контактные данные;
  3. перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

На протяжении последних нескольких лет работе с персональными данными физлиц уделяется особое внимание. Ключевые изменения произошли в 2017 году, когда Федеральный закон от 07.02.2017 № 13-ФЗ внес поправки в ст. 13.11 КоАП. Тогда был заметно расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных (ПД) и увеличены штрафы.

В Федеральном законе от 27.07.2006 № 152-ФЗ даются определения трем ключевым понятиям, вокруг которых часто и возникают споры: персональные данные, оператор и обработка персональных данных.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами:

  1. организующие и (или) осуществляющие обработку ПД;
  2. определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физлицу, то к ПД относятся (вместе и даже по отдельности):

  1. ФИО
  2. дата рождения
  3. адрес
  4. телефон
  5. электронный адрес
  6. фотография
  7. ссылка на персональный сайт
  8. ссылка на профиль в социальных сетях

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Следовательно, если вы каким-то образом получаете такие данные в любом сочетании, то являетесь оператором персональных данных. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и др.

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

Каждая категория операторов так или иначе сталкивается с обработкой ПД. Физлица используют ПД клиентов. ИП запрашивают эти данные, нанимая специалистов на работу, или собирают ПД на сайте, в интернет-магазине. К юрлицам применяется расширенный список требований по оформлению необходимых документов и требование о назначении ответственного за организацию обработки ПД. Самые жесткие требования предъявляются к государственным и муниципальным органам, которые работают с огромным массивом ПД граждан.

Уведомлять Роскомнадзор не нужно, если ПД:

  1. относятся к субъектам, которых связывают с оператором трудовые отношения;

  1. получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;
  2. являются общедоступными;
  3. включают только ФИО субъектов ПД;
  4. нужны для однократного пропуска субъекта ПД на территорию, на которой находится оператор, или в иных аналогичных целях;
  5. включены в федеральные автоматизированные информационные системы ПД, государственные информационные системы ПД, созданные в целях защиты безопасности государства и общественного порядка;
  6. обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физлицам, так и к юрлицам. Однако юрлицам следует предпринять ряд дополнительных мероприятий — организационных, правовых и технических.

В соответствии с ч. 2 ст. 22 Федерального закона № 152-ФЗ обеспечение конфиденциальности персональных данных не требуется:

  1. в случае обезличивания ПД;
  2. в отношении общедоступных ПД;
  3. если данные включают только ФИО субъектов ПД;
  4. для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
  5. если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
  6. если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Согласно п. 2-11 ч. 1 ст. 6. Федерального закона № 152-ФЗ согласие не требуется в случаях, когда обработка ПД:

  1. осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
  2. осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
  3. осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
  4. необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
  5. необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
  6. осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
  7. осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.

Распространять персональные данные граждан по-старому больше не получится

Минцифры предложило еще больше усовершенствовать законодательство в сфере персональных данных и регламентировать политику обработки обезличенных данных. Необходимость таких мер связана с тем, что уже сейчас стали доступны технологии, позволяющие деобезличивать данные и определять по ним конкретного человека.

Министерство предлагает запретить операторам:

  1. использовать какую-либо дополнительную информацию, с помощью которой можно определить принадлежность персональных данных конкретному субъекту;
  2. помимо обезличенных данных передавать третьим лицам информацию, позволяющую идентифицировать человека;
  3. деобезличивать данные, за исключением случаев, когда необходимо защитить жизнь или здоровье человека.

Как уточнили в Минцифре, есть только одна причина, по которой обезличенные персональные данные можно использовать без согласия — в исследовательских и статистических целях.

В первой версии проекта приказа Роскомнадзор предлагал обязать интернет-площадки получать согласие пользователей на размещение и распространение персональных данных через свою платформу сбора согласий или через свою единую информационную систему (ЕИС). В случае регистрации через ЕИС Роскомнадзора данные верифицировались бы через портал госуслуг и передавались другим ведомствам при необходимости, говорилось в первой версии проекта приказа. При этом в документе никак не рассматривался вопрос защиты персональных данных россиян.

В ноябре 2020 года вступил в силу приказ Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан «Об утверждении правил сбора, обработки персональных данных». Правила распространяются на отношения, возникающие между собственниками, операторами, субъектами, а также третьими лицами в процессе сбора и обработки персональных данных. Подробнее здесь.

В конце ноября 2020 года Европейский Союз представил новые правила, позволяющие компаниям получать доступ к обезличенным публичным и личным данным. Это позволит европейским компаниям конкурировать с американскими и азиатскими технологическими гигантами и поощрит инновации в таких областях, как защита климата и здоровья. Подробнее здесь.

1 ноября 2019 года стало известно, что компания Accenture опросила 8 тыс. человек в Канаде, Франции, Германии, Италии, Испании, Швеции, Великобритании и США, чтобы выяснить, каков их опыт взаимодействия с цифровой рекламой и что определяет предпочтения пользователей, когда дело доходит до взаимодействия с брендами, розничными продавцами и провайдерами сервисов.

Почти 69% потребителей признались, что перестанут взаимодействовать с брендом, если сбор компаниями их персональных данных станет слишком агрессивным.

71% участвовавших в опросе ответили, что испытывают дискомфорт в случае, когда бренды располагают той информацией о них и их семьях, которую пользователи не предоставляли сознательно.

Более 75% участвовавших в опросе ответили, что чувствуют себя некомфортно при сборе данных с помощью микрофона или голосового ассистента, а 51% отметили, что количество инвазивной рекламы растет.

В то же время 73% респондентов готовы делиться большим количеством информации о себе в случае, если бренды прозрачно расскажут о ее дальнейшем использовании. Отмечается также, что лояльность в этом случае выросла – в 2018 году аналогичный показатель составлял 66%.

По мнению авторов исследования, одна из задач брендов – показать потребителям ценность их персональной информации, убедить, что бренд не злоупотребляет ею и выбирает наиболее комфортный и эргономичный способ сбора данных.

В то же время 87% потребителей сказали, что для них важно совершать покупки у бренда или розничного продавца, который «понимает меня». Чтобы достичь этого, авторы исследования советуют брендам сосредоточиться на каждом взаимодействии с клиентом на его пути: от веб-сайтов и мобильных приложений до физических магазинов. Accenture призывает маркетологов ставить интересы людей на первое место.

В январе 2017 года немецкий производитель корпоративного программного обеспечения SAP раскритиковал ужесточение требований к защите данных в Европе. По мнению компании, новый закон убьет стартапы.

В апреле 2016 года Европейский парламент одобрил реформу о конфиденциальности данных. Новые правила регулируют стандарты обработки данных в области полицейского и правового сотрудничества, создание единого уровня защиты данных по всему Евросоюзу, а также возможность предоставлять гражданам контроль над их личными данными в сети.

Согласно исследованию Cifas, некоммерческого агентства по коллективному использованию данных и предотвращению мошенничества в этой сфере, в 2016 г. случаи хищения личных данных в Великобритании достигли беспрецедентно высокого уровня[7].

В 2016 г. были отмечены рекордные 172 919 случаев мошенничества с персональными данными – больше чем в любой год из предшествующих. Это подтверждается статистикой национальной базы данных о мошенничестве Cifas, где зарегистрировано 227 таких случаев. На сегодняшний день случаи мошенничества с персональными данными составляют более половины всех случаев мошенничества, зарегистрированных Cifas, при этом 88% из них совершались онлайн.

Мошенники используют разнообразные методы, чтобы завоевать доверие жертвы: кража почты, хакерские атаки, получение информации в «темной паутине», получение персональных данных в социальных сетях, либо методами «социальной инженерии», когда злоумышленнику, выдающему себя за сотрудника банка, полиции или проверенного ритейлера, удается убедить жертву раскрыть личные данные.

Изменения в законе о персональных данных

В новой статье 10.1 Закона о персданных, действующей с начала марта, были установлены основные принципы обработки разрешенных к распространению персданных.

Так, в силу серьезности возможных последствий обнародования личных данных закон устанавливает, что молчание или бездействие субъекта персданных ни при каких обстоятельствах не может свидетельствовать о согласии на распространение.

Если личные данные оказались в публичном доступе по желанию самого субъекта или в результате противоправных действий, форс-мажора, то лица, осуществляющие их обработку, должны доказать ее законность.

В случае, если нарушаются законные требования к обработке разрешенных к распространению персданных, то субъект может обратиться с требованием о прекращении такой обработки к любому лицу, обрабатывающему такие данные, или непосредственно в суд.

С 27 марта 2021 года в Кодекс об административных правонарушениях были внесены изменения, касающиеся правонарушений в области обработки персональных данных.

Теперь за любые правонарушения, установленные статьей 13.11 КоАП, больше не может быть назначено предупреждение, нарушителю сразу грозит штраф. За повторное совершение ряда правонарушений предусмотрена повышенная ответственность, при этом срок давности привлечения к административной ответственности в данной области был увеличен до одного года.

Соблюдайте закон и удачи в бизнесе!

09:30-10:00 Регистрация. Приветственный кофе-брейк
Сессия 1 Тенденции в сфере правовой защиты информации
10:00-12:00
  • Законный интерес как основание обработки персональных данных: сравнение правовых основ и пределов использования в России и Европе

Александра Орехович, директор по правовым инициативам, ФРИИ

  • Требования GDPR: оценка эффективности и истории успешных применений

Александр Булавинов, эксперт, Росатом

  • Информационное воспитание: правила обработки конфиденциальной информации

Дмитрий Зыков, руководитель практики правовой защиты информации, Юридическая компания «Пепеляев Групп»

  • По секрету всему свету: как защитить фирму от разглашения коммерческой тайны. Право или обязанность хранить молчание?

Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных, Клифф

  • Распространение персональных данных по новым правилам: как разработать новую форму согласия и работать с ней

Михаил Хохолков, ведущий юрист, INTELLECT; член рабочей группы Роскомнадзора по направлению «Персональные данные»; член экспертного совета по законодательству о рекламе ФАС РФ

  • Профилактика утечки данных. Почему к сообщениям о громких утечках важно подключать юристов?

Татьяна Войтас, заместитель директора по правовым вопросам, Avito
12:00-12:30 Кофе-брейк
Сессия 2 Архитектура работы с персональными данными: просто о сложном
12:30-14:30
  • Правовые основания обработки персональных данных: проблемы и предложения

Марина Яруллина, начальник отдела защиты конфиденциальной информации департамента информационной безопасности, МТС

  • Новые правила передачи персональных данных из Европы в Россию

Алексей Грибанов, юрисконсульт, Яндекс

  • Соискатель. Работник. Бывший сотрудник. Обработка, хранение и уничтожение персональных данных

Алена Чернышова, руководитель направления правового сопровождения персональных данных компании, Oзон

  • Обработка и хранение персональных данных при проведении рекламных кампаний: советы юристам

Инга Толокнова, начальник юридического департамента, Canon Россия и СНГ

  • Legal design в выработке политики конфиденциальности компании. Обзор лучших кейсов

Максим Зиновьев, руководитель отдела по защите персональных данных Б-152, CIPP/E

  • Сделки с персональными данными: приемы и хитрости при составлении договоров

Станислав Румянцев, специалист, Городисский и Партнеры
14:30-15:30 Ланч
Сессия 3 Несоблюдение требований законодательства: ответственность и судебная практика
15:30-17:30
  • Проверки Роскомнадзора: чек-лист по прохождению и последние изменения подходов

Александра Николаева, начальник отдела правовой поддержки цифровых сервисов и сопровождения проектов, X5 Group

Артем Дмитриев, руководитель практики по защите данных, PwC в России

  • Социальная инженерия как риск утечки банковской тайны: правовые аспекты, судебная практика

Это любая информация о физическом лице, позволяющая его определить. Закон перечисляет следующие пункты:

  • ФИО;
  • дата и место рождения;
  • паспорт, СНИЛС, ИНН;
  • адрес постоянной и временной регистрации;
  • образование;
  • телефон;
  • электронный адрес;
  • профили в социальных сетях и мессенджерах;
  • идентифицирующие личность фотографии и видеоматериалы;
  • семейное положение и состав семьи;
  • судимости;
  • размер доходов;
  • профессиональные навыки;
  • личностные характеристики;
  • раса и национальность;
  • взгляды в политике, религии, философии;
  • сексуальная ориентация;
  • здоровье;
  • биометрия, ДНК, отпечатки пальцев, особые приметы.

Обработка персональных данных — любые действия с вышеперечисленными фактами, регламентируемые статьей 13.11 КоАП и редакциями от 07.02.2017 № 13-ФЗ и 30.12.2020 N 519-ФЗ. К ним относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Согласно новым требованиям субъект получил право ограничить оператора в использовании данных без указания причин (раньше требовались доказательства, что они приобретены незаконно, устарели, недействительны и прочее), и тот должен прекратить действия в течение трех рабочих дней, по истечении которых пользователь может обратиться в суд. Санкция — от 3 000 до 75 000 рублей. Оператор может только обрабатывать, но не распространять информацию. За каждое отдельное нарушение взимается отдельный штраф. Срок ответственности увеличивается до одного года.

С 27 марта 2021 операторы не получают в качестве санкций предупреждения — они упразднены. Теперь нарушителей сразу штрафуют. Суммы — от 6 000 до 150 рублей; при повторном инциденте, который теперь считается самостоятельным составом нарушения, цифры повысятся до 300-500 тысяч.


Похожие записи:

Добавить комментарий

Ваш адрес email не будет опубликован.