Закон о персональных данных в 2021

07.07.2021 15:29

Теперь не допускается получение согласия на распространение персональных данных «по умолчанию» и  в 2 раза увеличены штрафы. 

Закон о персональных данных в 2021

Изменения в Федеральный закон от 27.07.2006 № 152-ФЗ, который проясняет вопросы обработки, хранения и доступа к персональным данным, внес Федеральный закон от 30.12.2020 № 519-ФЗ.

Поправки решают проблему бесконтрольного использования персональных данных граждан третьими лицами.

Что изменилось в обработке персональных данных?

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

  • Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку персональных данных.    
  • Согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.  
  • В согласии на обработку персональных данных, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Как прекратить передачу данных, разрешенных для распространения?

  • Законодательство обязывает прекратить передачу персональных данных, разрешенных для распространения, в любое время по требованию субъекта. 
  • Для этого нужно направить требование, в котором нужно четко указать перечень персональных данных, обработку которых нужно прекратить. 
  • Указанные персональные данные могут обрабатываться только оператором, которому оно направлено.
  • В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физическому лицу, то к персональным данным относятся:
  • ФИО;
  • дата рождения;
  • адрес;
  • телефон;
  • электронный адрес;
  • фотография;
  • ссылка на персональный сайт;
  • ссылка на профиль в социальных сетях.

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и пр.

За что и на какие суммы штрафуют операторов персональных данных в 2021 году?

Вступил в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

Нововведения:

  • За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалось предупреждение.  
  • Ранее повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь  выделяется и штрафы по нему в несколько раз выше, чем за первичное нарушение. Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 до 100 тысяч рублей, за повторное — от 100 до 300 тысяч рублей.  
  • Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то теперь увеличен до одного года.
Основание Размер штрафа
Обработка персональных данных в случаях, не предусмотренных законодательством и несовместимая с целями сбора персональных данных.
  • Для физлиц: предупреждение или штраф от 2 000 до 6 000 руб.
  • Для должностных лиц: предупреждение или штраф от 10 000 до 20 000 руб.
  • Для юрлиц: предупреждение или штраф от 60 000 до 100 000 руб.

При повторном нарушении

  • Для физлиц: от 4 000 до 12 000 руб.;
  • Для должностных лиц: от 20 000 до 50 000 руб.;
  • Для ИП: от 50 000 до 100 000 руб.;
  • Для юрлиц: от 100 000 до 300 000 руб.
Обработка персональных данных без письменного согласия субъекта.
  • Для физлиц: от 6 000 до 10 000 руб.
  • Для должностных лиц: от 20 000 до 40 000 руб.
  • Для юрлиц: от 30 000 до 150 000 руб.

При повторном нарушении

  • Для граждан: от 10 000 до 20 000 руб.;
  • Для должностных лиц: от 40 000 до 100 000 руб.;
  • Для ИП: от 100 000 до 300 000 руб.;
  • Для юрлиц: от 300 000 до 500 000 руб.
Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему политику по обработке персональных данных, или сведениям по защите персональных данных.
  • Для физлиц: 1 500 до 3 000 руб.
  • Для должностных лиц: от 6 000 до 12 000 руб.
  • Для юрлиц: от 30 000 до 60 000 руб.
  • Для ИП: от 10 000 до 20 000 руб.
Непредоставление субъекту персональных данных информации по их обработке.
  • Для физлиц: предупреждение или штраф от 2 000 до 4 000 руб.
  • Для должностных лиц: предупреждение или штраф от 8 000 до 12 000 руб.
  • Для юрлиц: предупреждение или штраф от 40 000 до 80 000 руб.
  • Для ИП: предупреждение или штраф от 20 000 до 30 000 руб.
Невыполнение требования субъекта персональных данных или его представителя об уточнении, блокировке, уничтожении (если персональные данные неполные, устаревшие, неточные, незаконно получены, не являются необходимыми для заявленной цели обработки)
  • Для физлиц: предупреждение или наложение штрафа в размере от 2 000 до 4 000 руб.
  • Для должностных лиц: предупреждение или штраф от 8 000 до 20 000 руб.
  • Для юрлиц: предупреждение или штраф от 50 000 до 90 000 руб.
  • Для ИП: предупреждение или штраф от 20 000 до 40 000 руб.

При повторном нарушении

  • Для граждан: от 20 000 до 30 000 руб.
  • Для должностных лиц: от 30 000 до 50 000 руб.
  • Для ИП: от 50 000 до 100 000 руб.
  • Для юрлиц: от 300 000 до 500 000 руб.
Неисполнение обязанности по сохранности персональных данных, что привело к неправомерному или случайному доступу к персональным данным и стало причиной их уничтожения, изменения, блокирования, копирования.
  • Для физлиц: от 1 500 до 4 000 руб.
  • Для должностных лиц: от 8 000 до 20 000 руб.
  • Для юрлиц: от 50 000 до 100 000 руб.
  • Для ИП: от 20 000 до 40 000 руб.
Невыполнение государственным или муниципальным органом обязанности по обезличиванию персональных данных; несоблюдение требований по обезличиванию персональных данных.
  • Для должностных лиц: предупреждение или наложение административного штрафа от 6 000 до 12 000 руб. 

Такое правонарушение, как обработка персональных данных без получения согласия субъекта, предусматривает самые крупные штрафы для всех категорий операторов. Так, при повторном нарушении юридическому лицу придется заплатить штраф до 500 000 руб.

В связи с этим возникает много вопросов. Как уведомить Роскомнадзор об обработке персональных данных? Что делать владельцу сайта, чтобы избежать штрафов?  

Что делать владельцу сайта, чтобы избежать штрафов?

Шаг 1. Если у вас на сайте есть какие-либо формы сбора персональных данных, то под каждой из них нужно добавить предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки.

Шаг 2. Добавить к фразе «Даю согласие на обработку своих персональных данных» ссылку на документ, в котором прописываются условия обработки персональных данных. Если Вы используете Cookie и аналогичные технологии, то об этом тоже нужно предупреждать.

Шаг 3. Подготовьте текст документа с условиями обработки персональных данных.

Шаг 4. Подготовьте «Политику в отношении обработки персональных данных» и разместите ее на сайте в свободном доступе. 

Компания «Юристы для турбизнеса «Байбородин и партнеры» готова предложить комплект необходимых каждой компании документов (более 40 шт) по защите персональных данных.

Шаг 5. Подайте уведомление об обработке персональных данных в Роскомнадзор. В соответствии с ч. 1 ст. 22 Федерального закона № 152-ФЗ, оператор должен это сделать еще до начала обработки персональных данных. Но лучше поздно, чем никогда. 

За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки персональных данных. 

А в самом офисе?

Все тоже самое, дополнительно:

  • внедрить комплект по защите персональных данных, сложить в папку и хранить на случай проверки;   
  • разместить «Политику обработки персональных данных» на видном и доступном клиенту месте, например, в «Уголке потребителя»;  
  • хранить физические носители персональных данных в строго отведенных местах с ограниченным доступом к ним;  
  • в компьютере обеспечить безопасность и недоступность персональных данных для просмотра недоверенным лицам.

Когда уведомление Роскомнадзора не требуется?

Уведомлять Роскомнадзор не нужно, если персональные данные:

  • относятся к субъектам, которых связывают с оператором трудовые отношения;  
  • получены оператором при заключении договора, но не распространяются, не предоставляются третьим лицам без согласия на то их субъекта, то есть используются оператором исключительно для исполнения договора;  
  • являются общедоступными;  
  • включают только ФИО субъектов персональных данных;  
  • нужны для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;  
  • включены в федеральные автоматизированные информационные системы персональных данных, государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;    
  • обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами.

Все вышеперечисленные меры имеют отношение как к физическим, так и к юридическим лицам. Однако юридическим лицам следует предпринять ряд дополнительных мероприятий.

Компания «Юристы для турбизнеса «Байбородин и партнеры» готова предложить комплект необходимых каждой компании документов (более 40 шт) по защите персональных данных.

  1. СПИСОК ВСЕХ УСЛУГ КОМПАНИИ ДОСТУПЕН ПО ССЫЛКЕ: https://ukab.ru/uslugi
  2. Задать любой вопрос или оформить заказ можно по электронной почте info@ukab.ru
  3. Оставьте заявку на услугу и мы обязательно свяжемся с Вами! 
  4. Закон о персональных данных в 2021

Закон о персональных данных 2021: что изменилось и как не нарушать

Закон о персональных данных в 2021

В марте начали действовать изменения в законе о персональных данных (ПД). Правила стали жестче, а штрафы больше. Предприниматели и юристы рассказывают, как это изменит бизнес.

Как изменился закон о персональных данных 2021

  • Появились персональные данные, разрешенные для распространения. Это новый термин, до этого использовали понятие «общедоступные персональные данные». Например, чтобы опубликовать на сайте отзыв довольного клиента, придется получить дополнительное согласие. Раньше было достаточно согласия на обработку, но теперь так нельзя.
  • Нельзя распространять данные из открытых источников. Допустим, человек в соцсетях указал фамилию, имя, номер телефона, e-mail. Согласно изменениям в законе, эту информацию нельзя использовать без разрешения субъекта.
  • Необходимо обезличить ПД. Раньше так делали только бюджетные организации, использовали не ФИО, а номер. Теперь все хранят персональные данные в обезличенном виде.
  • 3 дня на прекращение распространения. Например, у кадрового агентства есть банк резюме для клиентов. Хозяин резюме имеет право потребовать, чтобы анкету не показывали другим. Для этого он напишет заявление, а эйчары обязаны убрать информацию из базы в течение 3 дней. До этого резюме можно было взять на сайте поиска работы и спокойно предлагать клиентам. Теперь для этого придется взять согласие работника.
  • Новые правила приема на работу. Кадровики подписывают с новыми работниками соглашение об обработке и распространении данных. Иначе не получится передать информацию даже в банк для оформления зарплатной карты или написать имя сотрудника на сайте компании.
  • Передавать информацию без согласия можно только в определенных случаях. Например, в компанию пришли силовики и сказали, что нужны данные человека, который находится в розыске. Для этого согласие не понадобится.
Читайте также:  Можно ли продать машину с пробегом?

Сооснователь компании «Б-152» Максим Лагутин считает, что закон не доработан, и непонятно, как будет действовать на практике. Но основные изменения можно выделить:

«Основная суть нововведений в том, чтобы человек мог лучше управлять распространением своих персональных данных. Если раньше опубликованные и публичные данные аккаунтов в социальных сетях можно было спокойно собирать и обрабатывать, прикрываясь соответствующей статьей 152-ФЗ «О персональных данных» (хотя еще с 2018 года Роскомнадзор требовал наличие договора с социальной сетью у компании или отдельного согласия на обработку общедоступных данных), то теперь и публикация в общем доступе и использование только с отдельного согласия. При этом человек может поставить условия (какие захочет) на то, как можно, а как нельзя использовать его публичные данные, и в любой момент может сделать их недоступными для распространения»

Новые поправки вводят и штрафы за обработку данных без согласия:

  • 6-10 тысяч рублей для граждан;
  • 20-40 тысяч рублей для должностных лиц и ИП;
  • 30-150 тысяч для организаций.

При повторном нарушении суммы увеличиваются почти в 2 раза.

Почему закон изменили

Жизнь и бизнес переходят в электронное пространство, там теперь располагаются базы с данными пользователей и клиентов. Мошенники постоянно воруют эту информацию. Мемом стали звонки службы безопасности зеленого банка из тюрьмы, но это не всегда смешно. По данным Центробанка в 2020 году кибермошенники украли у россиян 10 миллиардов рублей, а это на 52,2% больше, чем в 2019 году.

Информацию воруют, берут из открытых источников или покупают у операторов через сотрудников. Поэтому государство решило ужесточить закон о персональных данных в 2021 году.

Главный юрист PR-агентства 2L Александр Штыров считает изменения в законе обоснованными:

«В области обработки персональных данных назрела необходимость большей защиты субъекта ПД. Каждый день происходят утечки, поэтому сегодня данные о человеке находят в открытом доступе в сети, причем не всегда ясно, появились они санкционировано, есть ли согласие субъекта, соответствуют ли они действительности. Закон о персональных данных 2021 даст право требовать удаления своих ПД с любого ресурса без необходимости доказывать незаконность получения, неактуальность данных, несоответствие их действительности»

Скорее всего, изменения в законе — это один из этапов ужесточения контроля за личными данными граждан. Одно дело, если телефон человека получает компания, чтобы предложить услуги, и совсем другое, когда номер в руках преступников.

Что делать бизнесу, чтобы не получить штраф

Некоторые юристы отмечают, что в закон о персональных данных 2021 содержит много расплывчатых формулировок. Но есть рекомендации, позволяющие избежать претензий от контролирующих органов:

  • Оформить новые соглашения. Закон не имеет обратной силы, но лучше сделать новые соглашения с сотрудниками и контрагентами. В документе стоит прописать, какую информацию можно передавать, а какую нет.
  • Назначить ответственных за работу с ПД. Обычно это кадровые сотрудники, но некоторые выбирают бухгалтера или руководителя.
  • Разработать документы и локальные акты. Это правила, которые прописывают работу, охрану, условия хранения и передачи ПД, а также цель использования.
  • Рассказать сотрудникам о законе. Все работники должны знать, что не имеют права передавать ПД клиентов без согласия. Кроме этого, они узнают, что и их собственные данные тоже не уйдут на сторону.
  • Уведомить Роскомнадзор. Любая компания, которая использует персональные данные, становится оператором ПД. Нужно сообщить в РКН, что бизнес использует данные клиентов или партнеров. Летом начнет работу Информационная система ведомства для регулирования этих процессов.

Уведомлять службу не придется, если:

  • действует трудовой договор;
  • ПД нужны для оформления договора;
  • ПД используются для разового пропуска;
  • в данных только фамилия, имя и отчество;
  • ПД обрабатывают без автоматизированных сервисов.

Если говорить про документы, то нужна форма для согласия о передаче данных. Управляющий директор консультационной группы «ТИМ» Виктор Миронов подчеркивает, что единой формы сегодня нет:

«В июле 2021 года планируют запустить единую информационную систему от РКН. Этот сервис будет регулировать распространение ПД. Пока системы нет и неизвестно, как она будет работать. Поэтому каждый оператор разрабатывает свою форму согласия. Необязательно в письменном виде. По закону допускаются любые варианты, которые подтвердят согласие. Но лучше сделать письменную форму, чтобы избежать сложных ситуаций. Главное, чтобы в бланке была информация, которую требует указать Роскомнадзор»

Кроме этого, предприниматели обеспечивают защиту от кибермошенников. Директор онлайн-бухгалтерии «Небо» Артем Туровец считает, что новый закон не сильно изменит работу бизнеса:

«Я бы не сказал, что бизнес должен сильно готовиться. Да, нужно обложить себя документами, чтобы у Роскомнадзора не было претензий, но это не трудно. А в целом вопрос хранения персональных данных — это больше не про закон, а про репутацию. В нашем сервисе десятки тысяч пользователей, и мы на уровне архитектуры сервиса ведем работу по защите. Мы регулярно видим атаки и попытки взлома, поэтому и без закона действуем. Также бизнес должен построить процессы внутри компании, чтобы доступ к ПД был у минимума сотрудников, и они несли за это ответственность»

Эксперт в области информационной безопасности и CEO компании AtreIdea Сергей Белов считает, что предприниматели столкнуться с некоторыми затратами:

«Дополнительные затраты бизнеса связаны с анализом и модификацией пользовательских соглашений, трудовых договоров и прочих документов, в рамках которых человек дает согласие на обработку персональных данных. При этом обязательная письменная форма согласия отсутствует, что определенно упростит задачу, например, для различных социальных сетей. Затрат может потребовать работа с заявлениями об отзыве согласия на распространение персональных данных. В рамках закона также увеличивается размер штрафов при первом и повторных нарушениях, но суммы далеки от зарубежных практик и едва ли нанесут значимый ущерб»

Как изменения в законе повлияют на работу бизнеса

Пока получается картина, что предпринимателям придется сделать упор на работу с документами. Потому что под действие закона попадают типовые ситуации, когда используются персональные данные:

  • Взаимодействие с банками. Отправка данных для оформления зарплаты или других выплат.
  • ЧОП. Для оформления пропуска на территорию предприятия или офисного здания.
  • Медицинские центры и страховые компании. Осмотры или диспансеризация сотрудников, ОМС.
  • Образовательные учреждения. Учеба или повышение квалификации сотрудников.
  • Туристическая сфера. При покупке билетов и бронировании проживания в командировках.

Наверное, больше всего проблем появится в рекламных и маркетинговых акциях. Например, компания получила от партнеров базу мобильных номеров для обзвона. По новым правилам, люди из базы должны дать согласие на это. Поэтому они могут потребовать, чтобы им не звонили и перестали давать контакты на сторону. В принципе они могут пожаловаться и в контролирующие органы.

Сергей Белов считает, что в ближайшее время правила продвижения бизнеса поменяются:

«Ужесточение правил приведет к повышению издержек при работе с персональными данными клиентов и внесет дополнительные ограничения в рекламные возможности. В последующие несколько лет с большой вероятностью мы увидим сокращение рынка рекламных оповещений с помощью e-mail, SMS, звонков. Бизнес станет бережнее работать с клиентами»

С этим согласен и Александр Штыров:

«Необходимо привыкнуть подписывать согласия на обработку ПД. Любая рекламная кампания, маркетинговое мероприятие должны проводится с учетом требований. Поэтому нужно предусмотреть максимальные возможности в форме согласия. Это залог отсутствия штрафов. Кроме того, стоит помнить, что при обращении клиента с требованием удалить персональные данные, лучше сделать это сразу, чтобы не получить штраф»

Закон о персональных данных 2021 не принесет радикальных изменений для бизнеса, но теперь придется аккуратнее работать с любыми данными клиентов и сотрудников.

Специалисты рекомендуют привести в порядок документы и переписать соглашения. 

Новый законопроект о персональных данных: как изменилась работа рекрутеров

В эпоху цифровизации персональные данные (ПД) называют информационным товаром и «нефтью XXI века». В 2021 году серьезно изменился порядок обращения с ПД. Законопроект о распространении персданных привел к масштабным изменениям — часть из них вступила в силу в марте, а с 1 сентября 2021 года вводятся новые требования к получению согласия на распространение ПД.

Читайте также:  Возмещение ущерба при затоплении

Разбираемся вместе с экспертами в нюансах новых требований закона применительно к рекрутменту. Вопросов много. Как теперь HR-менеджерам работать с личной информацией кандидатов? Какие новшества нужно строго соблюдать и за что компаниям грозят многомиллионные штрафы?

Сперва разберемся, что относится к персональным данным с точки зрения кандидата и работодателя.

Персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных — кандидату). С точки зрения рекрутмента — это почти все сведения, которые собирают о соискателе, субъекте ПД: Ф. И. О., опыт работы, доходы, образование и пр.

Оператор — потенциальный работодатель. Обработчик — тот, кто обрабатывает персональные данные по поручению оператора. Обработчиками в рекрутменте выступают те, кого работодатель нанял для поиска новых сотрудников (кадровые агентства, job-сайты, ATS- и CRM-системы). Кстати, если вы сохраняете резюме на свой компьютер, значит, уже занимаетесь обработкой персональных данных.

ВАЖНО:
У потенциального работодателя как оператора персональных данных должны быть основания для их обработки, самое подходящее — это согласие кандидата. Обработчик не отвечает за сбор согласия, ответственность за это несет работодатель как оператор, даже если компания собирает ПД не напрямую, а через job-сайты.

За последний год на рассмотрение парламентариев было внесено несколько громких законопроектов, связанных с ПД, часть инициатив утвердили. Один из самых обсуждаемых документов, который уже вступил в силу, вносит изменения в порядок обращения с персональными данными граждан.

Итак, главное новшество касается регулирования распространения ПД. С 1 марта 2021 г. вступили в силу изменения в Федеральный закон от 27.07.

2006 №152-ФЗ «О персональных данных», а с 1 сентября 2021 года начинает действовать Приказ Роскомнадзора, в котором прописаны основные требования к форме согласия на обработку ПД.

Главные новшества в законодательстве о персональных данных — 2021
(статья 10.1 Федерального закона «О персональных данных»).

  1. Понятие «персональные данные, сделанные общедоступными субъектом персональных данных» заменили на другую формулировку — «персональные данные, разрешенные субъектом персональных данных для распространения».
  2. Распространение — действия, направленные на раскрытие персональных данных неопределенному кругу лиц; теперь вид обработки, требующий получения отдельного согласия у кандидата.
  3. Оператор перед обработкой данных, полученных из разных источников (социальные сети, сайты по поиску работы), должен проверять наличие согласия или другого основания для обработки таких сведений. Для этого стоит уточнять у владельцев job-сайтов, есть ли согласие на распространение ПД и для каких целей оно получено у соискателя.
  4. Оператор должен доказать законность сбора и последующего использования персданных кандидатов из открытых источников.

«Теперь работодатель как оператор должен проверять наличие согласия от кандидата не только на обработку, но и на распространение личной информации о нем, если собирает данные из открытых источников.

Галочки под пользовательским соглашением недостаточно — должен быть отдельный документ, электронная форма на сайте. Эти новеллы всколыхнули и бизнес-сообщество, и юристов.

1 сентября замкнется круг законодательных изменений — приказ Роскомнадзора, вступающий в силу в первый день осени, четко определил, как согласие на распространение персданных должно выглядеть.

Важный нюанс — в документе должны быть поля, где человек может записать, какие ПД он не разрешает распространять или разрешает с определенными условиями. Теперь рекрутеру нужно отслеживать содержание такого согласия», — объясняет Екатерина Метелкина, юрист hh.ru, эксперт по персональных данным.

Работодатель обязан проверять наличие согласия от кандидата не только на обработку, но и на распространение персональных данных, если собирает данные из открытых источников. Галочки под пользовательским соглашением недостаточно: должен быть отдельный документ — согласие.

9 обязательных пунктов в согласии на обработку персональных данных с 1.09.2021

Персональные данные в 2021: как компаниям с ними работать и не получать штрафы | Rusbase

Александр Оводов, основатель Ovodov Cybersecurityh, рассказывает, как будут регулировать использование персональных данных в 2021 году и что компаниям обязательно нужно учесть.

Персональные данные в 2021: как компаниям с ними работать и не получать штрафы Дарья Мызникова

С учетом активного перехода компаний в цифру и на удаленную работу, вероятность утечки или хищения персональных данных (ПДн) возрастает, возрастают и репутационные риски и риски внеплановых проверок Роскомнадзора, прокуратуры и ФСБ.

С момента принятия 152-ФЗ «О персональных данных» правительство и Роскомнадзор не раз задавались вопросом — как повысить ответственность операторов ПДн за утечки?

Причина тому — ежегодный рост утечек ПДн граждан. Способов использования похищенных данных достаточно много, от банальных рассылок спама до продуманных схем социальной инженерии. Вот наиболее частые:

  • Распространение вирусов и вредоносного ПО через рассылки спама на почту, мессенджеры, соцсети людей, чьи данные были похищены.
  • Кража аккаунтов в социальных сетях в целях шантажа, компрометация публичных личностей.
  • Проникновение в сеть организаций для хищения ценной информации (клиентская база, ноу-хау, заявки от клиентов) или же шифрования серверов и ПК сотрудников в целях вымогательства денег.
  • Предложения о покупке сомнительных лекарств и непроверенных способов лечения на основе полученных медицинских данных.
  • Склонение людей к противоправным действиям, пользуясь их слабостями.
  • Деяния уголовных элементов, сексуальных маньяков, продавцов наркотиков в отношении детей.
  • Социальная инженерия. Мошенники часто представляются сотрудниками банков и манипулируют людьми с целью получения денежных средств или сообщения информации, которая позволит им получить доступ к банковским счетам и картам.

По данным отчета Центрального банка, за первые шесть месяцев 2020 года было зафиксировано более 300 тысяч несанкционированных операций со средствами граждан, совершенных без их согласия. Их объем составил порядка 4 млрд рублей. Это на 39% больше того же периода 2019 года. 

Ежегодный рост утечек ПДн налицо. Законодатели призывают к ответственности путем повышения штрафов, увеличения числа проверок для того, чтобы компании принимали меры по обеспечению безопасности обрабатываемых ими ПДн. 

Unsplash

О законодательстве и штрафах 

Основным документом, определяющим порядок ответственности и штрафов за административные нарушения, является КоАП — Кодекс об административных правонарушениях.

Последнее принятое изменение в КоАП ужесточило ответственность за нарушение требований по локализации ПДн: теперь серверы с данными российских пользователей должны находиться на территории России.

Изменения в законе о персональных данных с 1 сентября 2021 года

В 2021 году существенно меняется порядок распространения персональных данных. Вслед за масштабными мартовскими изменениями, с 1 сентября 2021 года начнут действовать обязательные требования к содержанию согласия на обработку персданных, разрешенных к распространению. Разберемся, в чем суть нововведений.

Новое согласие

Специфика согласия на обработку персданных, разрешенных к распространению, заключается в том, что оно подтверждает наличие разрешения от субъекта персданных на раскрытие его личной информации неопределенному кругу лиц. Начиная с 1 марта 2021 года такое согласие должно отбираться отдельно от иных согласий субъекта персданных.

Приказом Роскомнадзора, вступающем в силу с 1 сентября 2021 года, определены основные положения, которые должны быть отражены в данном документе, в том числе:   

  • цели обработки персданных
  • срок действия согласия
  • категории и перечень персданных
  • сведения об информационных ресурсах оператора, на которых персданные будут предоставляться неопределенному кругу лиц
  • Также в документе субъект персданных может установить запреты или конкретные условия обработки части информации, в частности, запрет на какую-либо обработку персданных неограниченным кругом лиц (кроме непосредственного доступа к ним).
  • Срок действия требований является ограниченным – до 1 сентября 2027 года.
  • Также с 1 июля 2021 года будет доступна возможность получать такое согласие через специальную информационную систему Роскомнадзора.

Иные важные изменения, которые уже вступили в силу

В новой статье 10.1 Закона о персданных, действующей с начала марта, были установлены основные принципы обработки разрешенных к распространению персданных.

  1. Так, в силу серьезности возможных последствий обнародования личных данных закон устанавливает, что молчание или бездействие субъекта персданных ни при каких обстоятельствах не может свидетельствовать о согласии на распространение.
  2. Если личные данные оказались в публичном доступе по желанию самого субъекта или в результате противоправных действий, форс-мажора, то лица, осуществляющие их обработку, должны доказать ее законность.
  3. В случае, если нарушаются законные требования к обработке разрешенных к распространению персданных, то субъект может обратиться с требованием о прекращении такой обработки к любому лицу, обрабатывающему такие данные, или непосредственно в суд.
Читайте также:  Материнский капитал на ребенка: как оформляется в 2021, кто его может получить

Ужесточение меры ответственности

С 27 марта 2021 года в Кодекс об административных правонарушениях были внесены изменения, касающиеся правонарушений в области обработки персональных данных.

Теперь за любые правонарушения, установленные статьей 13.11 КоАП, больше не может быть назначено предупреждение, нарушителю сразу грозит штраф. За повторное совершение ряда правонарушений предусмотрена повышенная ответственность, при этом срок давности привлечения к административной ответственности в данной области был увеличен до одного года.

Соблюдайте закон и удачи в бизнесе!

Персональные данные в 2021 году: как работать, чтобы не нарушить закон

В марте изменился 152-ФЗ «О персональных данных». Теперь появилось понятие данных, которые не только обрабатывают, но и распространяют. Поэтому бизнесу придется изменить некоторые процессы. Рассказываем, все ли так страшно  на самом деле.

Кто становится оператором персональных данных?

На самом деле в законе нет четких формулировок, что такое персональные данные. Но все сходятся во мнении, что если бизнес использует фамилию, имя, email пользователя, и по этой информации реально найти человека через поисковые системы, то это персональные данные. Поэтому практически все сайты с формой регистрации попадают под действие нового закона.

Что делать операторам персональных данных?

Основное изменение в том, что раньше брали разрешение на обработку персональных данных, а теперь нужно разрешение и на распространение.

Поэтому юристы рекомендуют переписать соглашения с клиентами, с пользователями или сотрудниками, которые подписали до этого.

Потому что даже отправка информации в банк, чтобы оформить зарплатную карту — это распространение персональных данных, а для этого нужно согласие. Вот. что еще лучше сделать, чтобы не нарушить закон:

✔На сайте у каждой формы регистрации лучше поставить кнопку, что пользователь дает согласие на обработку персональных данных.

✔Далее разместите на ресурсе политику конфиденциальности. Ссылку на документ поставьте около каждой формы обратной связи и кнопок регистрации. Единого образца для этой формы нет. Пока это делается в свободном виде.

✔В законе написано, что персональные данные необходимо использовать по назначению бизнеса. Например, кадровому агентству понадобятся ФИО и сведения об образовании, а вот паспортные данные не нужны.

Сотрудники Роскомнадзора на вебинарах говорят, что это главная ошибка предпринимателей. Поэтому компании лучше разработать нормативные документы, чтобы указать, как собирают данные и с какой целью.

✔Кроме этого, закон требует назначить сотрудника, который отвечает за то, как в компании собираются и хранятся персональные данные. Назначение оформляют с помощью приказа.

После этого каждая компания обязана направить в Роскомнадзор информацию, что она — оператором персональных данных. По закону это делают до того, как начался сбор данных. Для уведомления зайдите на сайт Роскомнадзора и заполните специальную форму. С 1 июля ведомство обещает сделать специальный электронный сервис для отправки уведомлений.

Роскомнадзор не уведомляют в нескольких случаях:

  • Вы используете только фамилию, имя и отчество;
  • Персональные данные нужны для оформления договора;
  • Данные нужны для заключения трудовых отношений;
  • Обработка данных выполняется без автоматизированных сервисов.

Почему закон поменялся?

Специалисты уверены, что дело в кибермошенниках, которые активны в последнее время. Например, в 2020 году они украли у россиян 10 миллиардов рублей, а это на 52, 2 % больше, чем в 2019 году. Это происходит и потому, что пользователи активно оставляют данные в сети. Они соглашаются на обработку данных, но затем информация утекает в третьи руки. 

Данные используют для обзвона, но это не самое страшное. Плохо, если информация попадает в руки хакеров, которые с ее помощью крадут деньги. В итоге власти решили, что надо ужесточить правила работы с данными, чтобы сайты не раздавали их направо и налево.

Как изменится работа бизнеса?

Роскомнадзор намерен строго спрашивать с предпринимателей правила работы с персональными данными. На сайте ведомства есть план проверок на этот год. Увеличиваются и штрафы за нарушение работы. Например, ИП и ООО могут потерять от 20 000 до 150 000 рублей. Поэтому лучше выполнить все требования закона.

На самом деле все не так страшно. Просто надо понять, что теперь нужно не только согласие на обработку персональных данных, но и разрешение на распространение. Поэтому на сайте без разрешения нельзя опубликовать даже имя и фамилию сотрудника. И если человек в соцсетях написал телефон или email, то нельзя, как раньше, взять эту информацию для маркетинговых действий.

Новое согласие на обработку персональных данных — 2021

Практически каждая организация так или иначе работает с персональными данными. В большинстве случаев на такую обработку требуется отдельное письменное согласие.

Еще несколько лет назад, когда штрафы за нарушение законодательных норм о личной информации не были столь велики, многие игнорировали правила обработки персданных.

Однако недавно прошла новая волна повышения штрафов за неправильную обработку личных данных, поэтому ошибка может стоить организации сотен тысяч рублей. Работникам также будет полезно знать, нужно ли на работе предоставлять согласие на обработку личной информации.

В данной статье мы расскажем о требованиях к согласию на обработку персданных, рассмотрим последние изменения по данному вопросу и потенциальные штрафы. Также вы сможете скачать образцы согласия, которые разработали специалисты сайта «Время Бухгалтера».

Обязательно ли согласие на обработку персональных данных

Обработкой личных данных законодатель считает любые действия, которые вы проводите с ними. А персональные данные — это всевозможные сведения о гражданах.

Таким образом, даже если вы, например, всего лишь получаете паспортные реквизиты своих клиентов или создаете базу их телефонных номеров, вы обрабатываете личную информацию и признаетесь их оператором. Это значит, что вы обязаны под риском ответственности соблюдать требования, которые предъявляются к обработке личной информации.

Так, вы должны определить цель обработки и строго ей следовать, при необходимости получать согласие на обработку и уведомлять о ней Роскомнадзор, а также принимать меры по защите информации.

По общему правилу обрабатывать персональные данные гражданина можно лишь с его согласия (п. 1 ч. 1 ст. 6 закона о персональных данных). Причем субъект данных имеет право в любой момент такое согласие отозвать (тогда продолжать обрабатывать данные можно лишь в строго установленных законом случаях).

Согласие на действие с личными данными должно быть конкретным, информированным и сознательным. Обязанность доказать наличие такого согласия или обстоятельств, в силу которых это согласие не требуется, возлагается на оператора.

Из данной нормы видно, что действует презумпция отсутствия согласия у гражданина, поэтому разрешение не должно быть устным.

Самыми распространенными ситуациями, когда потребуется согласие на обработку персданных, это сбор данных (заявок) клиентов и прием новых сотрудников на работу (это включает в себя даже этап рассмотрения резюме, ведь там содержатся персональные данные).

Не требуется согласие на обработку персональных данных физического лица в случаях, приведенных в пп. 2—11 ч. 1 ст. 6 закона о персональных данных.

Так, согласие не потребуется, если обработка необходима:
1) для заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем.

Например, если физическое лицо арендует у вас помещение или квартиру;
2) для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин.

Так, не требуется дополнительное согласие, если гражданин заказал доставку на дом, а его адрес необходимо уточнить;
3) для осуществления и выполнения функций, полномочий и обязанностей, которые возложены на вас законодательством. Например, если магазин уточняет у клиента адрес его электронной почты, чтобы направить ему электронный кассовый чек согласно закону № 54-ФЗ;

4) для осуществления прав и законных интересов либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, охранник может записывать данные посетителей бизнес-центра, не получая от них дополнительное письменное согласие.

Leave a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *