Главная / Трудовое право / Закон о персональных данных 2022

Закон о персональных данных 2022

Содержание

1 Закон о персональных данных 2022
2 Новые правила обработки и распространения персональных данных с 1 марта 2022 года
3 Закон о персональных данных 2022
4 Новый сервис по персональным данным с
5 Федеральный закон от N 152-ФЗ (ред
6 Распространять персональные данные граждан по-старому больше не получится

Закон о персональных данных 2022

Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение). Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.

когда договор заключается непосредственно между банком и работником;
когда у работодателя есть доверенность на представление интересов работника в банке;
когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.

Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.

Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст. 10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).

Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п. 2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.

Специфика согласия на обработку персданных, разрешенных к распространению, заключается в том, что оно подтверждает наличие разрешения от субъекта персданных на раскрытие его личной информации неопределенному кругу лиц. Начиная с 1 марта 2022 года такое согласие должно отбираться отдельно от иных согласий субъекта персданных.

В 2022 году существенно меняется порядок распространения персональных данных. Вслед за масштабными мартовскими изменениями, с 1 сентября 2022 года начнут действовать обязательные требования к содержанию согласия на обработку персданных, разрешенных к распространению. Разберемся, в чем суть нововведений.

Теперь за любые правонарушения, установленные статьей 13.11 КоАП, больше не может быть назначено предупреждение, нарушителю сразу грозит штраф. За повторное совершение ряда правонарушений предусмотрена повышенная ответственность, при этом срок давности привлечения к административной ответственности в данной области был увеличен до одного года.

Новые правила обработки и распространения персональных данных с 1 марта 2022 года

Существующий правовой пробел позволял любым третьим лицам осуществлять сбор и последующее бесконтрольное использование общедоступных персональных сведений, в том числе и в социальных сетях. Причем собранные таким образом сведения зачастую используются третьими лицами в целях, отличных от цели их первоначального распространения, – для рассылки рекламы, предложения услуг и т.д.

С 1 марта 2022 года вступили в силу новые правила обработки и распространения общедоступных персональных данных. Что изменилось в работе с общедоступными личными сведениями граждан, и какие штрафы теперь грозят за нарушение правил сбора и распространения таких персональных данных?

Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2022). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2022 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Причем все вышеуказанные персональные данные могут обрабатываться только оператором, которому было направлено требование. С момента получения оператором персданных указанного требования действие согласия физлица на обработку его общедоступных сведений считается прекращенным.

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Роскомнадзор отметил, что указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку данных, согласия на их обработку в соответствии с требованиями ст. 9 – 11 Закона № 152-ФЗ.

С 1 марта 2022 года вступили в силу изменения в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), касающиеся общедоступных персональных данных (ПД). Сейчас вместо них появились «персональные данные, разрешенные к распространению». О том, что это за данные, все ли сотрудники располагают ими, какие действия осуществлять работодателю в связи с изменениями и как составить согласие на распространение таких ПД, читайте далее.

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, данные которых подлежат обработке, а также определяющего полномочия оператора;
осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД;
осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия невозможно;
необходима для доставки почтовых отправлений, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги, а также для рассмотрения претензий пользователей услугами связи;
осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта ПД;
осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе ПД лиц, замещающих государственные должности, должности государственной гражданской службы, ПД кандидатов на выборные государственные или муниципальные должности.

ФИО, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
наименование или ФИО и адрес оператора, получающего согласие субъекта ПД;
цель обработки ПД;
перечень ПД, на обработку которых субъект дает согласие;
наименование или ФИО и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;
перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва (если иное не установлено законом);
подпись субъекта ПД.

Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку ПД.
Согласие на обработку ПД, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить субъекту ПД возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
В согласии на обработку ПД, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Вам может понравиться => Типовая Форма 3 Путевой Лист Легкового Автомобиля Утвержденная Приказом № 17

В 152-ФЗ операторы делятся на несколько категорий: физлица, ИП, юрлица, муниципальные органы, государственные органы. В зависимости от категории за одно и то же нарушение применяются разные по размеру штрафы. Так, например, для физлиц они заметно ниже, чем для юрлиц.

в случае обезличивания ПД;
в отношении общедоступных ПД;
если данные включают только ФИО субъектов ПД;
для однократного пропуска субъекта ПД на территорию, на которой находится оператор (или в иных аналогичных целях);
если данные получены в связи с заключением договора, стороной которого является субъект ПД, если данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПД;
если данные относятся к членам общественного объединения или религиозной организации и обрабатываются для достижения законных целей.

Закон о персональных данных 2022

3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

«1.1) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;»;

5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

Новый сервис по персональным данным с

С 01.03.2022 введено такое понятие, как персональные данные, разрешенные субъектом персональных данных для распространения (закон от 30.12.2022 № 519-ФЗ). Это персональные данные, к которым субъект (работник) дает доступ неограниченного круга лиц путем дачи оператору (работодателю) специального согласия на их обработку.

Какие документы одержат персональные данные работников? Как получить и обрабатывать персданные? Какие документы о порядке обработки персональных данных должны быть в организации? Ответ на эти и другие вопросы о работе с персданными вы найдете в готовом решении от КонсультантПлюс. Пробный доступ к системе можно получить бесплатно.

Устанавливается правило, согласно которому согласие на обработку персональных данных, разрешённых субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. При этом оператор персональных данных обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешённых субъектом персональных данных для распространения.

Предусматривается, что согласие субъекта персональных данных выступает в качестве исключительного правового основания для обработки его персональных данных, ставших общедоступными. Такое согласие должно содержать перечень информационных ресурсов оператора персональных данных, на которых планируется размещать общедоступные персональные данные. Устанавливается, что молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешённых субъектом персональных данных для распространения. Предусматривается право субъекта персональных данных установить запрет на осуществление неограниченным кругом лиц обработки его общедоступных персональных данных (кроме получения доступа) или условия их обработки, а также устанавливается обязанность оператора персональных данных публиковать информацию об имеющихся условиях и запретах в отношении персональных данных, разрешённых для распространения.

Вам может понравиться => Образец бланк уведомления о подтверждении проживания в рф 2022

Биометрические. К этой категории данных относятся отпечатки пальцев, радужная оболочка глаз и аналогичная информация, которая может помочь определить личность человека. Такие данные очень востребованы в визовых службах, на таможне и других современных пунктах идентификации.

«Вместе с тем есть определенные нюансы, которые тоже рассматриваются в законодательстве. К примеру, имя или даже ФИО полностью сами по себе не рассматриваются как персональные данные. То есть если на бланке написать, например, Сидоров Петр Иванович, то на этом основании нельзя сделать вывод, что персональные данные некоего гражданина Сидорова находятся в свободном доступе и его личные права ущемлены. К категории персональных можно отнести лишь сведения, предоставленные в комбинированном виде, например ФИО в сочетании с датой рождения или местом работы», — уточняет наш эксперт.

«Стоит также обратить внимание на пункты, которые должны в обязательном порядке содержаться в согласии. — продолжает Дарья Морозова. — К таким пунктам относятся ФИО, адрес и паспортные данные гражданина, данные об операторе, принявшем от гражданина персональную информацию, перечень предоставленных сведений и цель обработки, срок выдачи согласия, пути его отзыва при необходимости и, безусловно, личная подпись носителя персональных данных».

Обеспечивать защиту персональных данных граждан в России обязана организация, которая осуществляет их обработку. Это закреплено в ст. 19 уже упомянутого нами ФЗ «О персональных данных». Если нормы законодательства нарушены и произошел «слив» персональных данных, то в отношении нарушителя предусмотрена ответственность различного рода — от дисциплинарной и административной до уголовной.

Под согласием на обработку ПД принято понимать добровольное решение гражданина представить другому гражданину (оператору) или организации те или иные свои персональные данные, чтобы впоследствии производить их обработку для конкретных целей. Как правило, такое согласие оформляют в письменном виде, однако закон также предусматривает получение одобрения на обработку ПД и в любом другом виде, главное при этом — чтобы оператор мог подтвердить, что согласие им получено: например, в качестве этого документа может выступать «галочка», поставленная гражданином в электронной форме в процессе его регистрации на интернет-сайте.

По второму изменению в новом КоАП дело касается обезличивания ПДн. Проще говоря, если персональным данным (паспортным, медицинским, контактным данным и т.п) будет присвоен идентификационный номер, то это обезличивает персональные данные, т.к. по одному номеру нельзя определить человека.

Распространение вирусов и вредоносного ПО через рассылки спама на почту, мессенджеры, соцсети людей, чьи данные были похищены.
Кража аккаунтов в социальных сетях в целях шантажа, компрометация публичных личностей.
Проникновение в сеть организаций для хищения ценной информации (клиентская база, ноу-хау, заявки от клиентов) или же шифрования серверов и ПК сотрудников в целях вымогательства денег.
Предложения о покупке сомнительных лекарств и непроверенных способов лечения на основе полученных медицинских данных.
Склонение людей к противоправным действиям, пользуясь их слабостями.
Деяния уголовных элементов, сексуальных маньяков, продавцов наркотиков в отношении детей.
Социальная инженерия. Мошенники часто представляются сотрудниками банков и манипулируют людьми с целью получения денежных средств или сообщения информации, которая позволит им получить доступ к банковским счетам и картам.

в банк для целей выплаты заработной платы и иных материальных выплат, а также перечисления подотчетных средств;
в охранное предприятие в целях взаимодействия и реагирования;
в медицинские организации в целях проведения медицинских осмотров;
в страховые компании по договорам добровольного медицинского страхования;
в образовательные организации в объеме превышающем требования закона об образовании;
в целях организации командировок и участия в выставках;
в других целях, напрямую не связанных с должностными обязанностями сотрудника.

организации мероприятий, маркетинговых акций, рекламы;
размещения отзывов, рекламных акций на сайте компании и других общедоступных источниках;
сбор персональных данных через онлайн-каналы (мессенджеры, социальные сети, формы обратной связи на сайте, онлайн-консультанты) без применения средств защиты, обеспечивающих их конфиденциальность при передаче через интернет.

Изучить все источники поступления ПДн в организацию, цели поступления и состав данных. К примеру, нужно понимать, что источники ПДн клиентов и сотрудников разные, и состав ПДн тоже разный.
Проанализировать, где и как организация получает ПДн — наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность получения персональных данных, их состав и цели обработки. Получение всех ПДн, которые попадают в организацию, без исключения должны подтверждаться подобными документами: корректно составленное соглашение по обработке ПДн на сайте, с которого компания получает ПДн клиентов, Соглашение по обработке ПДн с сотрудниками.
Изучить, какие и чьи ПДн в организации обрабатываются (в разрезе категорий физических лиц). Ориентируясь на ПДн клиентов и сотрудников, видно, что процесс их обработки и хранения разный. Доступ к ПДн сотрудников имеют отдел кадров, бухгалтерия, а к клиентским данным — та же бухгалтерия и коммерческий отдел.
Проверить наличие утвержденных локальных нормативных актов, определяющих порядок доступа сотрудников к персональным данным. Документы, в которых прописано, кто и за что отвечает.
Проанализировать соответствие процесса обработки локальным нормативным актам. Зачастую на практике бывает несоответствие.
Изучить ваших получателей персональных данных: кому, для каких целей и в каком составе передаются персональные данные. Опять же, практика показывает, что в некоторых организациях к ПДн допускаются сотрудники, не имеющие к ним отношения.
Проанализировать, на каких условиях передаются ПДн третьим лицам — обязательно наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность передачи персональных данных. Если зачисление зарплаты сотрудникам компании происходит через зарплатный проект банка, то компания обязана с каждым сотрудником, участвующем в зарплатном проекте, подписать соглашение о передаче его ПДн в этот банк.
Определить, какие персональные данные стоит обезличивать. К примеру, это данные, чей срок хранения официально вышел, но при этом характеристики клиента имеют ценность без необходимости идентификации физического лица.
Определить, какие согласия уже не имеют силы и которые надо скорректировать. Отсутствие отлаженной системы работы с ПДн в прошлом означает, что, возможно, часть документов уже не актуальна.
Изучить, как защищаются персональные данные в компании и от кого они реально защищены — только от внешних злоумышленников или от внутренних тоже? Очень часто данные клиентов утекают вместе с увольняющимися сотрудниками коммерческих отделов.
Составить годовой план и реализовать его. Необходимо разработать поэтапный план по реализации этих пунктов с учетом объема работы и времени на их выполнения.

Федеральный закон от N 152-ФЗ (ред

5.2. Не позднее чем за один день до дня голосования (пятница) избирательная комиссия субъекта Российской Федерации размещает на своем официальном сайте сведения из реестров избирателей, участников референдума, подавших заявления о включении в список избирателей, участников референдума по месту нахождения, с учетом требований Федерального закона «О персональных данных» в формате: имя, отчество и первая буква фамилии. Указанная информация также размещается на информационных стендах в помещениях для голосования соответствующих избирательных участков, участков референдума.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»).

Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

Вам может понравиться => Ипотека росбанк 2022 год калькулятор

Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 9, ст. 1276);

36. Персональное информирование участников НИС о состоянии их именных накопительных счетов осуществляется с учетом требований Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173; ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. I), ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30 (ч. I), ст. 4217; ст. 4243; 2016, N 27 (ч. I), ст. 4164; 2017, N 9, ст. 1276).

Распространять персональные данные граждан по-старому больше не получится

Согласно комментариям Роскомнадзора, озвученным на дне открытых дверей 28 января 2022 г., данная информация должна быть опубликована оператором на своем сайте таким образом, чтобы доступ к документу был у всех желающих. Как мы указывали выше, письменных разъяснений нет, и нам остается довериться данной позиции.

Оператор – лицо (компания), которое осуществляет любые действия с персональными данными (в законе эти действия называются обработкой), например собирает, записывает, систематизирует, копит, хранит, уточняет, извлекает, использует, передает, обезличивает, блокирует, удаляет, уничтожает, распространяет, предоставляет доступ.

1. Если из текста документа не следует, что лицо согласно на распространение ПД, то такие ПД должны обрабатываться оператором без права распространения 16 . Данный пункт позволяет сделать вывод о том, что малейшее сомнение в правильности оформления согласия будет трактоваться не в пользу оператора.

Так как четкие требования к форме согласия не установлены, возникает риторический вопрос: в каком объеме должны быть раскрыты ПД в данном документе, чтобы лицо нельзя было спутать с тезкой? Такой пример: на сайте размещены ПД двух человек, Ф.И.О. которых идентичны. При этом один из них разрешает распространять все свои ПД, а другой – только Ф.И.О. и номер телефона. Как стороннее лицо должно определять, к кому из них относятся те или иные условия обработки ПД?

перечень и категории ПД (общие, специальные, биометрические), на которые распространяется его согласие на распространение 11 ;
запрет на распространение и предоставление ПД неограниченному кругу лиц 12 ;
запрет на обработку ПД неограниченным кругом лиц, за исключением права получения доступа;
условия обработки ПД неограниченным кругом лиц, за исключением права получения доступа.

С 27 марта 2022 операторы не получают в качестве санкций предупреждения — они упразднены. Теперь нарушителей сразу штрафуют. Суммы — от 6 000 до 150 рублей; при повторном инциденте, который теперь считается самостоятельным составом нарушения, цифры повысятся до 300-500 тысяч.

Согласно новым требованиям субъект получил право ограничить оператора в использовании данных без указания причин (раньше требовались доказательства, что они приобретены незаконно, устарели, недействительны и прочее), и тот должен прекратить действия в течение трех рабочих дней, по истечении которых пользователь может обратиться в суд. Санкция — от 3 000 до 75 000 рублей. Оператор может только обрабатывать, но не распространять информацию. За каждое отдельное нарушение взимается отдельный штраф. Срок ответственности увеличивается до одного года.

Обработка персональных данных — любые действия с вышеперечисленными фактами, регламентируемые статьей 13.11 КоАП и редакциями от 07.02.2017 № 13-ФЗ и 30.12.2022 N 519-ФЗ. К ним относятся сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Примечательно, что разрешить использовать сведения субъект может любым способом — не обязательно в письменном виде. Главное — подтвердить сам факт соглашения, например, электронной подписью. Уведомлять Роскомнадзор о том, что вы обрабатываете данные, в случае трудовых отношений не нужно.

С первого марта 2022 года вступили в силу внесенные изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который определяет действия работодателя с персональными данными физлиц. Почему нужно обратить пристальное внимание на эти поправки? Теперь за нарушениями последуют более серьезные санкции и штрафы.

Названные два из пяти изменений 2022 года Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» являются улучшением, защитой прав работника. Новшества обязывают работодателя актуализировать локальные акты. Согласно статье 12 Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ в случаях, когда вступает в силу закон, устанавливающий более высокий уровень гарантий работникам по сравнению с установленным локальным нормативным актом, локальный акт или его часть просто прекращают свое действие. Именно поэтому следует обратить внимание на текст положения о защите персональных актов и привести его в соответствие с действующим законодательством.

Кстати сказать, пунктом 2 статьи 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» работодателю как оператору ПД позволено осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных во многих случаях отношений работник – работодатель. В том числе и в случае наличия разрешенных субъектом персональных данных ПД для распространения.

Данные требования устанавливаются уполномоченным органом по защите прав субъектов персональных данных. В настоящий момент единые требования проходят общественные обсуждения в отношении текста проекта нормативного правового акта и независимую антикоррупционную экспертизу (https://regulation.gov.ru/projects#npa=112660).

В частности, новации статьи 13.11 КоАП за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных предусматривает наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от шестидесяти тысяч до ста тысяч рублей, с увеличением величины штрафа за повторность.

Специальной категорией ПД являются персональные данные, разрешенные субъектом персональных данных для распространения, какими считаются данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законодательством о ПД.

01 Фев 2022 polrostov 213