Изменения в законе о персональных данных

Изменились требования к распространению персональных данных

С 1 марта 2021 года вступили в действие поправки в закон № 152-ФЗ«О персональных данных». Поправки были внесены законом от 30.12.2020 № 519-ФЗ. 

Основные изменения ─ ввели понятие «Персональные данные, разрешенные субъектом персональных данных для распространения» и установили правила их обработки. 

Кроме этого, с 27 марта 2021 года изменился и КоАП (федеральный закон от 24.02.2021 № 19-ФЗ) ─ были ужесточены наказания за нарушения обработки персональных данных (ПД).

Дальше подробности и объяснение новых правил.

Что такое ПД, разрешенные субъектом ПД для распространения

Подробно о порядке сбора ПД мы писали в этой статье. Там же есть объяснение терминов из закона № 152-ФЗ.

Но чтобы разобраться с нововведениями, повторим: «Субъект ПД» ─ это любой человек, у которого компании или госорганы запрашивают личную информацию.

ПД, разрешенные для распространения ─ это данные, доступ к которым предоставляют неограниченному кругу лиц, но только с согласия субъекта ПД. 

В некоторых случаях данные о человеке распространяют в открытых источниках, например, на сайтах, в соцсетях и т.д. С 1 марта для таких действий нужно получить отдельное согласие.

Примеры распространения ПД:

  • Отзывы ─ пишут, как зовут человека и указывают информацию о нем, например, возраст, должность, город проживания, количество детей и другое.
  • Интервью ─ сам формат предполагает, что о человеке будет рассказано достаточно много.
  • Информация об экспертах на лендингах онлайн-курсов, конференций и т.п.

По-простому, все, что вы сообщаете о человеке на своем сайте, в соцсетях или другом интернет-ресурсе относится к распространению ПД.

Новые требования

Согласие на распространение ПД надо получать отдельно от общего согласия на обработку ПД.

При получении согласия офлайн в письменной форме человеку надо предложить заполнить два бланка: первый ─ общее согласие на обработку ПД, второй ─ согласие на распространение.

В интернете для получения согласия обычно используют чекбокс со ссылкой на текст соответствующего документа. С 1 марта надо будет размещать два чекбокса: один ─ на общее согласие, второй ─ на распространение. 

Кроме этого, в законе сказано, что человек еще должен выбрать, какие именно данные о себе он разрешает распространять. Пока непонятно, как технически настроить такой выбор на сайте. Возможно, придется рядом с каждым видом ПД предусматривать отдельные чекбоксы. 

Такой формат может, конечно, повлиять на конверсию. И если вам не хочется заморачиваться с настройками под закон о ПД, подумайте, возможно, стоит отказаться от распространения данных.

Можно ли делать чекбокс сразу с галочкой?

В законе четко написано ─ согласие не может быть молчаливым или в форме бездействия. Это значит, что человек должен сделать осознанный шаг, когда дает согласие. Поэтому галочка, заранее поставленная в чекбоксе, нарушает закон.

Один из способов получения согласия ─ отправка бланка на email субъекта ПД. Он, в свою очередь, должен распечатать документ, подписать и отправить вам скан или фотографию согласия.

Бывают случаи, когда клиенты присылают отзыв на электронную почту. В такой ситуации надо попросить, чтобы отправитель дополнительно прислал согласие на публикацию отзыва, если там содержаться персональный данные.

Может ли пользователь запретить распространение ПД

Согласие может быть отозвано в любой момент без указания причин.

Это неудобно для отдельных проектов. Например, психолог предлагает бесплатные консультации при условии размещения записи беседы на своем сайте или соцсетях. Перед консультацией получены согласия на обработку и распространение ПД. А после размещения ролика клиент передумывает. Психолог вынужден удалить видео.

Даже если вы получили согласие, нет гарантии, что человек не отзовет его. И сделать с этим ничего не получится ─ удалять данные придется.

В каких случаях необязательно получать согласие на распространение ПД

Есть послабления у СМИ: не считается нарушением закона о ПД, когда журналисты и редакции СМИ распространили какую-то информацию при выполнении своих прямых обязанностей.

Если на вашем сайте часто публикуются интервью, стоит задуматься о регистрации СМИ. Это даст возможность уйти от получения согласия на распространение ПД.

Еще один случай, когда согласие не требуется ─ если в информации, которую предали огласке, заинтересовано общество. Здесь важно не путать любопытство, например, к жизни известных людей, с общественным интересом ─ когда информация напрямую влияет на жизнь, здоровье, благосостояние граждан. Пример ─ распространение сведений о преступниках, которые находятся в розыске.

Что делать, если человек сам оставил информацию о себе

Иногда посетители сайта или соцсетей сами оставляют информацию о себе ─ пишут в комментариях имена, почты и даже телефоны. В таких случаях владельцу сайта надо доказать, что все, кто разместил личные данные на сайте, дали согласие на распространение. 

Если у вас нет согласия, лучше удалите или отредактируйте подобные комментарии.

Это относится к случаям после 1 марта 2021 года ─ даты вступления в силу поправок в закон № 152-ФЗ, так как обратной силы закон не имеет.

Содержание согласия на распространение ПД (пока в проекте)

На сегодняшний день нет утвержденной формы Согласия ─ Приказ Роскомнадзора пока находится на стадии проекта. В нем предусмотрены такие требования к содержанию Согласия:

  • данные субъекта ПД ─ ФИО на русском языке, для иностранцев или лиц без гражданства в русской транскрипции, контакты (телефон, email, почтовый адрес);
  • информация об операторе ПД ─ название организации, ФИО ИП или физлица, адрес, ИНН, коды ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС;
  • цели обработки ПД в формулировках закона № 152-ФЗ;
  • категории ПД, которые субъект разрешает и запрещает распространять;
  • срок, в течение которого действует согласие, при этом нельзя автоматически пролонгировать срок действия, устанавливать бессрочный статус и указывать на событие, наступление которого возможно в долгосрочной перспективе;
  • информация о ресурсах, где будут распространяться данные, вплоть до адреса страницы сайта.

Отдельно остановимся на категориях ПД:

  1. Общие ─ ФИО, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы.
  2. Специальные ─ расовая и национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья и интимной жизни, сведения о судимости. 
  3. Биометрические ─ ДНК, радужная оболочка глаз, отпечатки пальцев, цветная цифровая фотография лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному.

Напомним, что это лишь проект Приказа, возможно,требования к Согласию на распространение сделают проще, хотя бы в части указания сроков и места размещения.

Ответственность за нарушение закона о персональных данных

Если говорит в общем, то с 27 марта 2021 года штрафы повысили, плюс ввели бОльшие штрафы за повторные нарушения. 

Для вашего удобства мы собрали в таблицу, за что и на сколько могут оштрафовать (ст.13.11 КоАП РФ).

НарушениеНа когоПервый раз, тыс. р.Повторно, тыс. р.
Обработка ПД в случаях, которые не предусмотрены законом

Граждане

Должн. лица

ИП

Организации
2 ─ 6 

10 ─ 20

10 ─ 20

60 ─ 100
4 ─ 12

20 ─ 50

50 ─ 100

100 ─ 300
Нет согласия на обработку ПД, либо документ не содержит необходимые сведенияГраждане

Должн. лица

ИП

Организации
6 ─ 10

20 ─ 40

20 ─ 40

30 ─ 150
10 ─ 20

40 ─ 100

100 ─ 300

300 ─ 500
У пользователей нет доступа к политике конфиденциальности или подобному документу, либо доступ ограниченГраждане

Должн. лица

ИП

Организации
1,5 ─ 3

6 ─ 12

10 ─ 20

30 ─ 60

нет




Непредоставление пользователям информации, которая касается обработки его ПДГраждане

Должн. лица

ИП

Организации
2 ─ 4

8 ─ 12

20 ─ 30

40 ─ 80
нет
Невыполнение указания пользователя о действиях с его ПД: изменении, уничтожении и др.Граждане

Должн. лица

ИП

Организации
2 ─ 4

8 ─ 20

20 ─ 40

50 ─ 90
20 ─ 30

30 ─ 50

50 ─ 100

300 ─ 500
Несоблюдение условий хранения без использования средств автоматизации, из-за чего посторонние получили доступ к ПДГраждане

Должн. лица

ИП

Организации
1,5 ─ 3

8 ─ 20

20 ─ 40

50 ─ 100
нет
Хранение ПД граждан РФ в базах данных за пределами РФГраждане

Должн. лица

ИП

Организации
30 ─ 50

100 ─ 200

100 ─ 200

1 ─ 6 млн
50 ─ 100

500 ─ 800

500 ─ 800

6 ─ 18 млн

Итоги

С 1 марта 2021 года перед размещением данных о людях в публичном пространстве, нужно получить у них отдельное согласие. На интернет-ресурсах, кроме «Согласия на обработку ПД», придется размещать еще и «Согласие на распространение ПД». Также надо решить, каким образом люди будут давать разрешение, например, с помощью отдельного чекбокса.

Пока содержание Согласия на распространение ПД не утверждено ─ Приказ Роскомнадзора находится в стадии проекта. А вот новая редакция ст.13.11 КоАП со штрафами за нарушение закона о ПД уже действует, поэтому будьте аккуратнее.

Если статья была вам полезна, поделитесь с коллегами и друзьями!
Комментарии к новости "Изменения в законе о персональных данных"
Здесь вы можете написать комментарий

* Обязательные для заполнения поля
Нажимая кнопку "Отправить", я принимаю условия Политики конфиденциальности. и даю своё согласие ИП Ледовских М. А. на обработку моих персональных данных , в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ "О персональных данных", в соответствии с целями и условиями, определенными Политикой конфиденциальности.