Изменения в законе о персональных данных

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Изменения в законе о персональных данных». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Подотчетным станет сбор персональных данных:

• в ходе трудовых отношений,
• при заключении договоров с мобильными операторами, общественными объединениями или религиозными организациями, государственными автоматизированными информационными системами,
• уже упомянутых ФИО,
• даже если люди дают согласие на сбор и обработку своих персональных данных. Поэтому мы так часто должны были ставить галочки в окошках согласия на обработку данных: это снимало с компаний обязанность отчитываться перед Роскомнадзором, но с 1 сентября 2022 года наше согласие перестанет что-то значит и требовать его с нас не будет смысла,
• для выдачи пропуска (в том числе одноразового) на территорию или в здание (с 1 сентября 2022 года это становится незаконным, если организация не уведомила Роскомнадзор о сборе персональных данных).

Понятие персональных данных

Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.

Порядок регулирования вопроса описан и в постановлениях ФСТЭК РФ, Роскомнадзора, Центрального Банка. В одном из разъяснений ЦБ РФ отмечается, что банки не имеют права оставлять в почтовых ящиках корреспонденцию таким образом, чтобы третьим лицам были доступны персональные данные, в том числе имя личности. Схожая позиция привела к необходимости отправлять в конвертах квитанции с распечатками стоимости услуг ЖКХ, тоже содержащие персональные данные. Также регулятор обратил внимание на недопустимость для сотрудников банка разглашать персональные данные клиента работодателю или коллеге, что часто делается в целях информирования о наличии задолженности. При таком разглашении субъект однозначно идентифицируется, даже без добавления уточняющей информации, что нарушает права физического лица на защиту тайны личной жизни.

Нормативная база о персональных данных

Иногда работодатели публикуют в интернете «чёрные» списки сотрудников, с которыми у них возникали проблемы. При этом они не учитывают тот факт, что персональные данные работника — это защищаемая законом информация, и её нельзя использовать по своему усмотрению. Основы для этого заложены в Конституции Российской Федерации.

Рекомендации по сбору и хранению персональных данных

Компании стоит уделить особое внимание организации мер по сбору, хранению и систематизации персональных данных. Это обеспечит защиту от претензий надзорных органов, исковых заявлений от действующих и бывших работников и кандидатов на вакансии.

Что нужно сделать в обязательном порядке:

• разработать Положение о персональных данных, прописать в нём основные условия сбора, хранения и обработки;
• издать приказ о вводе в действие Положения и ознакомить персонал под подпись;
• назначить сотрудника, отвечающего за обработку персональных данных, подписать с ним соглашение о неразглашении;
• собрать со всех работников согласия в письменном виде с перечислением типов персональных данных и целей их предоставления;
• организовать хранение данных в цифровом и бумажном виде, защитить их от доступа третьих лиц, а также обеспечить своевременность пополнения и корректировки.

Общедоступные персональные данные

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

Изменения 152-ФЗ О «Персональных данных» от 1 июля 2017 года

С 1 июля 2017 г. увеличены административные штрафы за нарушение порядка работы с персональными данными (регулирует этот порядок Федеральный закон РФ от 27.07.2006 № 152-ФЗ «О персональных данных», а Кодекс об административных правонарушениях содержит санкции за нарушение работы с данными). До 1 июля 2017г. статья 13.11 КоАП РФ состоит из одного общего состава и предусматривает ответственность для лица, которое с нарушением закона:

• собирает,
• хранит,
• использует,
• распространяет информацию о гражданах (персональных данных).

С 1 июля 2017 г. статья 13.11 КоАП РФ включает в себя семь составов правонарушения. Максимальный штраф – 75 тыс. рублей.

1. Если вы обрабатываете персональные данные в случаях, которые не предусмотрел Закон о персональных данных или происходит обработка этих данных, несовместимая с целями сбора персональных данных. К примеру, интернет-магазин запрашивает избыточную информацию о клиенте – требует скан-копию паспорта, водительских прав, свидетельства ИНН. Или гражданин указал электронную почту для покупки в интернет-магазине, а магазин воспользовался адресом и рассылает СПАМ.Ответственность – предупреждение или штраф:

• гражданам – от 1 тыс. до 3 тыс. рублей;
• должностному лицу и предпринимателю – от 5 тыс. до 10 тыс. рублей;
• юридическому лицу – от 30 тыс. до 50 тыс. рублей.

К ответственности по этому «легкому» пункту привлекут в случаях, когда действия не подпадают под часть 2 статьи 13.11 КоАП или не образуют состав уголовного преступления (ст.137 или ст.272 УК РФ). Чтобы избежать ответственности нужно:

• обрабатывать данные только в случаях, предусмотренных ч.1 ст.6 Закона о персональных данных;
• обрабатывать данные только в целях, которые заявлялись.

2. Если вы обрабатываете персональные данные без письменного согласия лица, когда такое согласие требует закон (к примеру, собирает и хранит специальные персональные данные – информацию о здоровье, политических взглядах, вероисповедании)или обрабатываете персональные данные с нарушением требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных (как вариант — не указал третьих лиц, которым будут переданы персональные данные). Ответственность – штраф:

• гражданам – 3 тыс. до 5 тыс. рублей;
• должностному лицу и предпринимателю – от 10 тыс. до 20 тыс. рублей;
• юридическому лицу – от 15 тыс. до 75 тыс. рублей.

Чтобы избежать ответственности нужно:

• получить согласие субъекта персональных данных на обработку его персональных данных;
• включить в согласие необходимые сведения.

3. Если у вас не опубликовано на сайте или по-другому не обеспечен неограниченный доступ:-к документу, который определяет политику оператора в отношении обработки персональных данных, или-к сведениям о реализуемых требованиях к защите персональных данных. Ответственность – предупреждение или штраф:

• гражданам — от 700 руб. до 1,5 тыс. рублей;
• должностному лицу — от 3 тыс. до 6 тыс. рублей;
• предпринимателю — 5 тыс. до 10 тыс. рублей;
• юридическому лицу – от 15 тыс. до 30 тыс. рублей.

Чтобы избежать ответственности нужно:опубликовать на сайте общедоступные ссылки:

• на Политику организации в отношении обработки персональных данных и
• иные сведения о требованиях к защите персональных данных

4. Если вы не предоставляете субъекту персональных данных информацию, которая касается обработки его персональных данных. Ответственность – предупреждение или штраф:

• гражданам — от 1 тыс. руб. до 2 тыс. рублей;
• должностному лицу — от 4 тыс. до 6 тыс. рублей;
• предпринимателю — 10 тыс. до 15 тыс. рублей;
• юридическому лицу – от 20 тыс. до 40 тыс. рублей.

Чтобы избежать ответственности нужно:

• Предоставлять информацию по запросу в течение 30 дней (ч. 1 ст. 20 Закона о персональных данных).

5. Если вы не выполнили в срок требования субъекта персональных данных или его представители либо уполномоченного органа по защите прав субъектов персональных данных:

• об уточнении персональных данных;
• о блокировании или уничтожении.

Оператор обязан это сделать, когда персональные данные:

• утратили актуальность, неполные, неточные, незаконно получены или
• не отвечают заявленной цели обработки персональных данных.

Ответственность – предупреждение или штраф:

• гражданам — от 1 тыс. руб. до 2 тыс. рублей;
• должностному лицу — от 4 тыс. до 10 тыс. рублей;
• предпринимателю — 10 тыс. до 20 тыс. рублей;
• юридическому лицу – от 25 тыс. до 45 тыс. рублей.

Чтобы избежать ответственности нужно:уточнить, блокировать или уничтожить персональные данные по требованию владельца в течение установленных Законом сроков.

6. Если вы не обеспечили условия, которые необходимы, чтобы:

• сохранить персональные данные при хранении материальных носителей;
• исключить несанкционированный доступ к ним.

Состав этого правонарушения распространяется только на случаи, когда:

1. обрабатывают персональные данные без средств автоматизации;
2. отсутствует состав уголовного преступления;
3. произошел неправомерный или случайный доступ к персональным данным; или их уничтожили, изменили, блокировали, копировали, передали, распространили или совершили иные неправомерные действия.

Что это может быть?

• оператор не оформил список лиц, допущенных к обработке информации;
• оператор не организовал раздельное хранение данных.

Ответственность – штраф:

• гражданам — от 700 руб. до 2 тыс. рублей;
• должностному лицу — от 4 тыс. до 10 тыс. рублей;
• предпринимателю — 10 тыс. до 20 тыс. рублей;
• юридическому лицу – от 25 тыс. до 50 тыс. рублей.

Чтобы избежать ответственности нужно:обеспечить безопасность персональных данных при обработке.

7. Этот состав распространяется только на государственные и муниципальные органы. Если эти организации в качестве оператора не выполнили:

• обязанности по обезличиванию персональных данных;
• требования по обезличиванию персональных данных.

Ответственность – предупреждение или штраф:

• должностному лицу — от 3 тыс. до 6 тыс. рублей.

Может ли оператор передать кому-нибудь персональные данные?

Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.

Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.

Примеры, когда согласие не нужно:

• управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
• работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.

Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.

Образец жалобы на незаконное использование персональных данных

В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека

В Центральный банк Российской Федерации

От П.

Жалоба на использование персональных данных

Между мной, П., и ОАО «Уралвнешторгбанк» был заключен кредитный договор который был исполнен путем фактического исполнения в 2006 году. 2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей. Однако кредит мной давно погашен, задолженности, в том числе пени я не имею, об указанных обстоятельствах я неоднократно сообщал звонившим мне работникам коллекторского агентства, однако никакого результата не последовало.

В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.

В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.

Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.

Звонки поступают со следующих номеров телефонов: …

Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.

В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.

Ст. 26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

Использование личной информации в компании

Часто возникает вопрос о том, что входит в состав персональных данных работника юридического лица и как осуществлять хранение подобной информации. Согласно Трудовому Кодексу, к ПДн сотрудника относится информация, позволяющая составить представление о нем как о работнике, то есть стаж деятельности, уровень квалификации и зарплаты, пенсионные и налоговые отчисления и т.д. Обязанность предприятия — позаботиться об их защите и использовании для создания оптимальных условий развития профессиональных навыков и повышения квалификации. Кроме того, работодатель должен сообщить, как именно будут использоваться персональные данные физического лица. Предварительно создаются и внедряются специальные распорядительные документы внутреннего использования, в частности, требуется Инструкция либо Положение о ПДн.

Сбор сведений производится для выполнения следующих задач:

• профилактики разглашения корпоративной тайны и обеспечения сохранности имущества;
• приема на работу и документального закрепления этого события;
• получения оснований для установления той или иной заработной платы;
• проверки выполнения персоналом возложенных на них обязанностей;
• выявления и подтверждения причин для перевода сотрудника на более высокую должность.

При нарушениях законодательства либо утечке персональных данных (намеренной либо из-за недостаточно эффективной системы защиты) предприятие может быть привлечено к административной ответственности в виде штрафа до 18 миллионов рублей. Выявить недоработки и своевременно их исправить позволит аудит, проведенный специалистами нашего Центра — наши специалисты помогут установить, насколько защищены частные данные, и составят рекомендации по оптимизации.

Характеристики безопасности персональных данных

Для ИСПДн определяют характеристики безопасности персональных данных, которые делятся на основные и дополнительные:

ОСНОВНЫЕ:

• конфиденциальность
• целостность
• доступность

ДОПОЛНИТЕЛЬНЫЕ:

• неотказуемость
• учетность (подконтрольность)
• аутентичность (достоверность)
• адекватность

Структура информационной системы подразделяется на:

• автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
• комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
• комплекс автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

Ответственность за распространение номера телефона и адреса электронной почты

Распространение персональных данных представляет собой действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона N 152-ФЗ).

Лица, виновные в нарушении требований Закона N 152-ФЗ, несут предусмотренную законодательством РФ ответственность (ч. 1 ст. 24 Закона N 152-ФЗ).

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа (ч. 2 ст. 13.11 КоАП РФ):

• на граждан в размере от 3 000 до 5 000 руб.;

• на должностных лиц — от 10 000 до 20 000 руб.;

• на юридических лиц — от 15 000 до 75 000 руб.

Причиненный вследствие нарушения прав субъекта персональных данных моральный вред также подлежит возмещению в соответствии с законодательством РФ (ст. ст. 1099 — 1101 ГК РФ, ст. 24 Закона N 152-ФЗ).

Что является персональными данными по закону

Персональные данные определены законом как сведения, с помощью которых можно идентифицировать лицо (субъект) прямым или косвенным образом с помощью дополнительных средств.

В последние годы актуальность проблем, связанных с персональными данными, выросла. Системы автоматизированного анализа позволяют организовывать сбор больших объемов данных. В современном мире нередки случаи кражи данных пользователей сети, массовая продажа личной информации без получения согласия.

С помощью персональных данных можно устроить слежку за гражданином, спланировать преступление или незаконно получить чужие деньги. В «мирных» целях персональные данные используются для проведения рекламных рассылок.

Отметим, что персональные данные остаются частью правового поля и не являются техническим понятием.

Персональные данные и их защита

В паспорт вносятся данные о личности гражданина: дата и место рождения, фамилия, имя и отчество. Кроме этого, в документе уполномоченными органами производятся отметки, предусмотренные Положением №828 о паспорте гражданина Российской Федерации, утвержденным постановлением Правительства РФ от 8 июля 1997 года:

• о регистрации и снятии с регистрационного учета гражданина по месту жительства,
• о регистрации и расторжения браков,
• об отношении к воинской обязанности граждан, достигших 18-летнего возраста,
• о наличии детей, не достигших 14-летнего возраста,
• о ранее выданных паспортах,
• о ранее выданных загранпаспортах,
• об ИНН (по желанию),
• о группе крови и её резус-факторе (по желанию).

Паспортные данные входят в понятие персональных данных. Они защищены Федеральным законом РФ от 27 июля 2006 года № 152 “О персональных данных”. В соответствии с ним, лица и организации, получившие доступ к персональным данным обязаны не раскрывать и не распространять персональные данные без согласия самого гражданина, если иное не предусмотрено федеральным законом. За нарушения в области защиты персональных данных предусмотрена серьезная ответственность.

Каждый гражданин стремится беречь свой паспорт от неправомерного использования, в особенности, мошенниками. Далее в статье, мы рассмотрим основные способы проверки фактов неправомерного использования ваших паспортных данных.

Похожие записи:

• Как подать на банкротство физическому лицу в 2021 году через МФЦ
• Налоговый вычет при покупке автомобиля в 2021 году
• Пенсионные баллы за уход за инвалидом