Без предисловий и вступлений – актуализируем уже существующую статью на эту тему «Политика конфиденциальности» – разберемся с нововведениями и узнаем, как теперь надо делать.
Напомню, персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
То есть, это фамилия-имя-отчество, дата рождения, паспорт/СНИЛС, номер телефона, e-mail и иные идентификаторы в соцсетях и мессенджерах, место проживания, сведения о семейном положении/о родственниках, сведения о зарплате, информация о судимостях, индивидуальные данные (политические и религиозные взгляды, раса, национальность), фото и/или видео, которые позволяют идентифицировать личность, биометрические данные.
Если копнуть немного глубже, то законодатель подразделяет персональные данные на несколько видов:
- Общедоступные – те данные, на доступ к которым субъект дал свое письменное согласие, а не те, которые находятся в общем доступе, как вы могли подумать =);
- Специальные – данные, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 ФЗ «О персональных данных») – здесь установлены определенные порядки обработки персональных данных;
- Биометрические – данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (ст. 11 152-ФЗ) – это генетическая информация, отпечатки пальцев и т.д. – также установлен определенный порядок обработки персональных данных;
- Иные – это все остальное, например, e-mail, IP-адрес, геолокация.
Какие изменения произошли в ФЗ-152 в 2021 году?
На самом деле, ответ на поверхности. Введено новое понятие – «персональные данные, разрешенные субъектом для распространения». Внимательно вчитайтесь в него.
Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом (п. 1.1 ст. 3).
Если простыми словами, то обрабатывать и распространять можно только те персональные данные, на которые субъект дал свое согласие.
Сделано это для того, чтобы третьи лица НЕ могли осуществлять сбор и последующее использование персональных данных в целях, отличных от цели их первоначального распространения (нарушая положения п. 2 ст. 5 ФЗ «О персональных данных», где четко сказано, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей).
Банальный пример – ваша страничка в ВКонтакте, где вы тщательно заполнили профиль (ФИО, дата рождения, номер телефона, e-mail, политические/религиозные взгляды и т.п.). Это все ваши персональные данные, которые вы разместили в общем доступе. И если раньше компании, которые собирали персональные данные из таких общедоступных источников (и потом звонили вам с разными сомнительными предложениями) могли делать это свободно, то теперь нужно обязательно получить ваше согласие на обработку и на распространение ПД.
Также ранее, чтобы требовать у оператора блокировки/удаления своих персональных данных, нужно было ДОКАЗАТЬ, что они являются неполными/устаревшими/неточными/незаконно полученными или не являются необходимыми для заявленной цели обработки.
Теперь же субъект вправе потребовать оператора удалить его персональные данные из общего доступа без объяснения причин. И оператор обязан это сделать.
Новые положения в обработке персональных данных
Теперь поговорим о сложностях, которые создали эти нововведения для операторов ПД.
Оператор персональных данных – государственный/муниципальный орган, юридическое/физическое лицо, самостоятельно или совместно с другими лицами организующие/осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия/операции, совершаемые с ПД (ст. 3 152-ФЗ).
Новые положения определяют, что согласие на обработку персональных данных и согласие на распространение персональных данных – это два разных документа. Какие данные можно обрабатывать и распространять, а какие нет – решает сам субъект ПД.
На практике это означает, что теперь всем операторам персональных данных, которые выкладывают их в общий доступ, необходимо получать два согласия от субъекта.
Сейчас будет слегка запутано, но в итоге все разложим по полочкам. Разберемся в терминологии.
Обработка ПД – это любое действие с персональными данными, например, сбор, хранение, обновление, блокирование/удаление, обезличивание, использование, передача.
Передача ПД – это распространение, предоставление персональных данных.
Предоставление ПД – это раскрытие своих персональных данных определенному кругу лиц.
Распространение ПД – это раскрытие своих персональных данных неопределенному кругу лиц.
Из этих определений становится очевидно, что распространение персональных данных входит в обработку ПД. Тогда зачем два согласия? Давайте разбираться на примере.
Больше статей на схожую тематику:
Как работают на практике изменения в ФЗ-152
Заходите вы на сайт компании, чтобы что-то заказать, например, тортик =). Оформляя заказ и/или регистрируя личный кабинет, вы даете свое согласие на обработку персональных данных, соглашаетесь с политикой конфиденциальности, принимаете условия пользования сайтом.
И до вступления поправок в 152-ФЗ компания имела возможность распространять ваши ПД третьим лицам без вашего отдельного на то согласия (ведь вы согласились на обработку ПД, а распространение туда входит). И стали вы получать рекламные рассылки, на которые не подписывались, звонки от банков с предложениями взять кредит и т.д.
Теперь компания не имеет права распространять ваши ПД никак и никому. Только если вы сами дадите на это согласие. Обратите внимание, что по идее, даже оставляя отзыв на сайте компании, с вами должны заключить соглашение о распространении персональных данных, в котором вы должны указать, какие конкретно ПД компания может распространять. Например, только ваше фото или e-mail.
Обратите внимание: молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения (п. 8 ст. 10.1 152-ФЗ).
На практике это значит, что, даже ставя галочку напротив поля «Согласен на обработку персональных данных», вы НЕ даете своего согласие на их распространение.
Выразить свое согласие оператору на распространение персональных данных вы можете двумя способами:
- Собственно, на бумаге с личной подписью (хоть сейчас садитесь и пишите = ));
- Через информационную систему Роскомнадзора (а это получится только с 1 июля 2021 года). Если вам интересно, то по ссылке найдете функции данной инфосистемы, права участников и правила (процесс) регистрации.
И да, не забывайте, что отозвать свое согласие на распространение ПД вы можете в любой момент (п. 2 ст. 9 152-ФЗ). Оператор обязан прекратить распространение ПД в течение 3 рабочих дней с момента получения вашего требования.
А теперь давайте поговорим об исключениях из правил (куда ж без них).
Все исключения, когда оператор может передавать ваши персональные данные без вашего согласия, прописаны в пп. 2 – 11 ст. 6. Чтобы не делать из статьи портянку, приведу лишь несколько примеров:
- обработка ПД осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка ПД необходима для осуществления профессиональной деятельности журналиста и/или законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- обработка ПД осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных.
Представим, что в вашем городе проводят опрос на тему «Устраивает ли вас ваша заработная плата». В опрос будут входить такие вопросы, как нынешний размер вашей зп, место работы, должность. Эта информация относится к персональным данным, но поскольку опрос проводится в статистических целях, то ваши ПД могут обработать без вашего согласия, но с условием их обезличенности.
Нравится статья? Тогда смотрите наши курсы!
Чем грозит несоблюдение изменений в ФЗ-152
И вот мы плавно подошли к, пожалуй, самому важному пункту: ответственность операторов ПД за нарушения 152-ФЗ.
За нарушения закона о персональных данных ответственность предусмотрена Кодексом об административных правонарушениях, ст. 13.11. В частности, за обработку персональных данных без согласия субъекта:
| Наложение штрафа на: | При первом нарушении: | При повторном нарушении: |
| Граждане | от 6 до 10 тысяч рублей | от 10 до 20 тысяч рублей |
| Должностные лица | от 20 до 40 тысяч рублей | от 40 до 100 тысяч рублей |
| Юридические лица | от 30 до 150 тысяч рублей | от 300 до 500 тысяч рублей |
| Индивидуальные предприниматели | - | от 100 до 300 тысяч рублей |
А за невыполнение оператором обязанности по опубликованию/обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД, или сведениям о реализуемых требованиях к защите персональных данных (другими словами, если вы прячете от всех тексты согласия на обработку ПД, политики конфиденциальности), грозят следующие штрафы:
| Наложение штрафа на: | При первом нарушении: |
| Граждане | от 1,5 до 3 тысяч рублей |
| Должностные лица | от 6 до 12 тысяч рублей |
| Юридические лица | от 30 до 60 тысяч рублей |
| Индивидуальные предприниматели | от 10 до 12 тысяч рублей |
Но помимо административной ответственности, можно напороться и на уголовную, ведь происходит нарушение неприкосновенности частной жизни (ст. 137 УК РФ).
К частной жизни законодатель относит: сведения о происхождении, о месте пребывания или жительства, о личной и семейной жизни (ст. 152.2 ГК РФ).
И за незаконный сбор или распространение сведений о частной жизни лица (без его согласия) или распространение этих сведений в публичном выступлении/публично демонстрирующемся произведении/СМИ наказание от административного штрафа вплоть до 200 тысяч рублей до лишения свободы сроком до 2 лет.
Санкции нехилые, поэтому рекомендую вам озадачиться пересмотром соглашений о персональных данных/политикой конфиденциальности на ваших сайтах и быть готовыми блюсти закон.
А если сомневаетесь, что у вас получится сделать все правильно и грамотно – обращайтесь к нам – поможем подготовить сайт к 152-ФЗ.
29
4
0
0
1Юрист сервиса 1PS.RU
© 1PS.RU, при полном или частичном копировании материала ссылка на первоисточник обязательна
