Изменились правила обработки персональных данных. Теперь распространение информации о себе среди неограниченного круга прочих лиц потребует заключения отдельного соглашения, а за незаконное распространение данных увеличены штрафы.
Какие изменения в законодательстве произошли
С 1 марта 2021 года вступил в силу закон № 519-ФЗ от 30.12.2020, который добавил в закон о персональных данных новую статью 10.1. В статье уточняются правила обработки и распространения информации о гражданах, включая их контактные данные.
Разрешать или отзывать согласие о распространении информации о себе будут сами граждане. Согласие и его отзыв могут быть направлены непосредственно оператору персональных данных или через специальную информационную систему, которую будет курировать Роскомнадзор.
Пункт об использовании информационной системы вступит в силу 1 июля 2021 года. С этой даты пользователь сможет самостоятельно выбирать способ предоставления согласия о распространении персональных данных. Отдельно оговаривается, что само использование системы не обязательно и не требуется для регистрации в соцсетях и мессенджерах.
Зачем нужна информационная система Роскомнадзора
Если для предоставления согласия гражданин выберет систему ведомства, то это позволит ему контролировать, кому, когда и где предоставлялось согласие на распространение персональных данных в интернете, а также даст возможность отзывать его.
Использование информационной системы даст возможность обезопасить интернет-пользователей от бесконтрольного сбора и использования их персональных данных.
Первоначальный вариант правил использования системы предусматривал, что гражданину для регистрации в системе необходимо будет внести целый ряд сведений, в том числе ФИО, реквизиты основного документа, удостоверяющего личность, адрес места жительства, номер телефона и адрес электронной почты. Через несколько дней этот проект был отклонен.
Взамен был разработан новый вариант правил работы системы, который предусматривает возможность регистрации и обработки только тех персональных данных, что содержатся в Единой системе идентификации и аутентификации (ЕСИА). Сбор и обработка дополнительных данных не допускается.
Как будет выглядеть согласие на обработку данных
Персональные данные, разрешенные для распространения, определяются законом как «персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия». Таким образом, на передачу таких данных третьим лицам оператором должно быть получено согласие от физического лица.
До изменений в законодательстве согласие объединялось вместе, например, с соглашением о использовании сервиса. Отозвать это согласие было гораздо труднее или невозможно. Для исправления ситуации и были приняты поправки.
С вступлением в силу изменений в законодательстве, согласие о распространении данных должно быть оформлено отдельно. Подписывая согласие пользователь должен ясно понимать, с чем он соглашается, и какие сведения о нем могут быть переданы неограниченному кругу лиц. Перечень данных, которые физлицо разрешает распространять, должен быть доступен для выбора, а не зафиксирован.
Автоматическое согласие или согласие по умолчанию теперь недопустимы. Также, гражданин сможет отозвать ранее данное согласие на распространение данных. После отзыва оператор должен исключить данные из общего доступа, а использование данных третьими лицами станет неправомерным.
Поправки также отменяют возможность обрабатывать персональные данные гражданина без его согласия, если ранее он разместил эти данные в сети. Оператор, получивший персональные данные, имеет право на их распространение только после согласия гражданина на обработку его данных этим конкретным оператором. В случае распространения данных без согласия, законность своих действий будет доказывать каждый оператор, который распространял данные.
Кого затронут изменения
Изменения затрагивают практически всех – физических и юридических лиц.
Работодатели теперь должны заключать отдельное соглашение о распространении персональных данных – раньше это согласие включалось в другие документы, например, в договор о материальной ответственности. Операторы (сайты, интернет-магазины, разработчики приложений) также должны проработать свои онлайн-формы по заключению соглашения о распространении персональных данных в соответствии с новыми правилами.
В новом соглашении должна быть предусмотрена возможность отказа клиента от распространения его данных неограниченному кругу лиц. Молчание или бездействие граждан также не может считаться согласием.
Санкции за распространение информации
С 27 марта 2021 года вступает в силу Закон №19-ФЗ, от 27.02.2021, по которому значительно увеличены штрафы за нарушения в области персональных данных.
Теперь штрафовать будут без предупреждения, а за повторное нарушение штраф будет еще выше.
|
Размер штрафов |
до 27.03.2021 предупреждение или штраф (тыс. руб.) |
с 27.03.2021 |
с 27.03.2021 |
|
|---|---|---|---|---|
|
Обработка данных, несовместимых с целями сбора ПД |
для физлиц |
от 1 до 3 |
от 2 до 6 |
от 4 до 12 |
|
для должностных лиц |
от 5 до 10 |
от 10 до 20 |
от 20 до 50 |
|
|
для юрлиц |
от 30 до 50 |
от 60 до 100 |
от 100 до 300 |
|
|
Обработка данных без письменного согласия |
для физлиц |
от 3 до 5 |
от 6 до 10 |
от 10 до 20 |
|
для должностных лиц |
от 10 до 20 |
от 20 до 40 |
от 40 до 100 |
|
|
для юрлиц |
от 15 до 70 |
от 30 до 150 |
от 300 до 500 |
|
|
Непредоставление субъекту персональных данных информации по их обработке |
для физлиц |
от 1 до 2 |
от 2 до 4 |
|
|
для должностных лиц |
от 4 до 6 |
от 8 до 12 |
||
|
для ИП |
от 10 до 15 |
от 20 до 30 |
||
|
для юрлиц |
от 20 до 40 |
от 40 до 80 |
||
|
Невыполнение требований гражданина об уточнении, блокировке, уничтожении персональных данных |
для физлиц |
от 1 до 2 |
от 2 до 4 |
от 20 до 30 |
|
для должностных лиц |
от 4 до 6 |
от 8 до 20 |
от 30 до 50 |
|
|
для ИП |
от 10 до 15 |
от 20 до 40 |
от 50 до 100 |
|
|
для юрлиц |
от 20 до 40 |
от 50 до 90 |
от 300 до 500 |
|