1 марта вступили в силу поправки в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). На кого распространяется новый закон, при каких условиях и каким образом можно удалить свои персональные данные из общего доступа – в нашем материале.
Зачем нужен новый закон?
Закон направлен на создание механизмов защиты прав и свобод субъектов персональных данных, чьи персональные данные участвуют в общедоступном обороте. В соответствии с мнением депутатов Госдумы, действующая на момент внесения законопроекта на рассмотрение правовая конструкция позволяла третьим лицам осуществлять сбор и последующее неконтролируемое использование указанных персональных данных на интернет-сайтах в целях, отличных от цели их первоначального распространения, а равно с ориентиром на иные целевые аудитории, что нарушает принцип целеполагания, установленный ст. 5 Закона № 152-ФЗ.
Теперь субъект персональных данных имеет право обратиться к любому оператору персональных данных с требованием удалить его персональные данные из общего доступа без дополнительных условий доказывания факта неправомерной обработки персональных данных. Требовать от оператора блокирования или уничтожения персональных данных можно было и раньше, однако с соблюдением условия – необходимо было доказать, что они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (в соответствии с ч. 1 ст. 14 Закона № 152-ФЗ).
Новый закон позволяет осуществлять соответствующие запросы только по причине того, что персональные данные принадлежат субъекту.
Основное отличие нововведений от предыдущей правовой конструкции заключается в том, что любой человек теперь сам может принять решение в отношении того, какие персональные данные могут использоваться публично. Субъект персональных данных сам устанавливает их перечень, при этом причины можно не указывать – оператор обязан удалить данные из общего доступа просто потому, что они относятся к определенному или определяемому лицу. Согласие должно быть выражено отдельно от других согласий на обработку персональных данных.
Что нового вводит закон в отношении законодательства о персональных данных?
Поправки вводят новый термин – персональные данные, разрешенные субъектом персональных данных для распространения. К ним относятся такие персональные данные, доступ неограниченного круга лиц к которым предоставлен их субъектом (подп. 1.1 ст. 3 Закона 152-ФЗ). Такое разрешение выражается путем дачи согласия на обработку персональных данных.
Согласие должно оформляться отдельно от других согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой категории, указанной в таком согласии (ч. 1 ст. 10.1 Закона № 152-ФЗ).
Субъект также имеет право ограничить обработку персональных данных оператором – например, если в согласии не было прямого разрешения на распространение персональных данных, оператор имеет право их обрабатывать, но без распространения (ч. 4 ст. 10.1 Закона № 152-ФЗ).
При этом молчание и бездействие субъекта персональных данных не является согласием на обработку (ч. 8 ст. 10.1 Закона № 152-ФЗ).
На кого распространяются положения закона?
Под ответственность попадают все операторы, которые выкладывают персональные данные в общий доступ. К таким оператором относятся, например, социальные сети. Таким образом согласие может быть предоставлено непосредственно оператору (в соответствии с п.1 ч. 6 ст. 10.1 Закона № 152-ФЗ), то есть направлено в письменном виде самой социальной сети.
Впоследствии предоставление согласия можно будет совершать с использованием системы Роскомнадзора как уполномоченного органа по защите прав субъектов персональных данных – соответствующие поправки вступают в силу с 1 июля текущего года. Согласие должно быть рассмотрено оператором в срок не позднее трех рабочих дней (ч. 9 ст.
10.1 Закона № 152-ФЗ).
Каким образом можно прекратить обработку персональных данных в общем доступе?
Любое лицо, чьи персональные данные находятся в общем доступе, может прекратить такую обработку, включая передачу, распространение, предоставление и доступ к персональным данным. Закон определяет перечень сведений, которые должно содержать такое требование:
- ФИО;
- контактная информация (например, номер телефона, адрес электронной почты);
- перечень персональных данных, обработка которых подлежит прекращению.
Таким образом, с момента поступления оператору соответствующего требования прекращается действие согласия на обработку персональных данных, разрешенных для распространения. Оператор обязан прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных.
Также субъект имеет право обратиться с соответствующим требованием в суд (в соответствии с ч. 14 ст. 10.1 Закона № 152-ФЗ). Оператор обязан прекратить передачу персональных данных в срок, указанный во вступившем в законную силу решении суда.
Если такого указания в решении суда нет – в течение трех рабочих дней с момента вступления решения суда в законную силу.
Важно обратить внимание, что субъект персональных данных вправе обратиться с таким требованием к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений законодательства. Иными словами, гражданство и местонахождение оператора не имеют значения – если осуществляется обработка персональных данных субъекта-гражданина РФ, то требования закона на этот случай распространяется.
Какая ответственность предусмотрена для операторов за неисполнение требований закона?
Ответственность операторов за нарушение законодательства о персональных данных регламентируется ст. 13.11 КоАП. На данный момент санкции за обработку персональных данных без согласия субъекта предусмотрены следующие:
- для граждан – предупреждение или штраф в размере от 3 тыс. до 5 тыс. руб.;
- для должностных лиц – предупреждение или штраф от 10 тыс. до 20 тыс. руб.;
- для юрлиц – предупреждение или штраф от 15 тыс. до 75 тыс. руб.
С 27 марта текущего года вступят в силу поправки об ужесточении ответственности оператора за нарушение положений законодательства о персональных данных (Федеральный закон от 24 февраля 2021 г. № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»). Во-первых, все существующие санкции в виде штрафов увеличиваются вдвое. Также упраздняется такой вид санкции как предупреждение.
И, наконец, устанавливаются санкции за повторное нарушение.
После вступления в силу поправок санкции будут предусмотрены следующие:
- для граждан – штраф в размере от 6 тыс. до 10 тыс. руб.;
- для должностных лиц – штраф от 20 тыс. до 40 тыс. руб.;
- для юрлиц – штраф от 30 тыс. до 150 тыс. руб.
При повторном нарушении предусмотрены следующие штрафы:
- для граждан – штраф в размере от 10 тыс. до 20 тыс. руб.;
- для должностных лиц – штраф от 40 тыс. до 100 тыс. руб.;
- для ИП – штраф от 100 тыс. до 300 тыс. руб.;
- для юрлиц – штраф от 300 тыс. до 500 тыс. руб.
Запрет на обработку персональных данных
19 сентября 2024 Регистрация Войти
6 октября 2024
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
16 октября 2024
Программа разработана совместно с АО »СБЕР А». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Новости и аналитика Правовые консультации Трудовое право Если работник не дает согласия на обработку его персональных данных, то какие действия может предпринять работодатель?
Если работник не дает согласия на обработку его персональных данных, то какие действия может предпринять работодатель?
15 июля 2021
Рекомендуем также ознакомиться с материалами:
— Вопрос: Работник при оформлении кредитной карты в банке указал место своей работы. Кредитная организация (банк) запросила у организации, в которой работает работник, следующие сведения: подтверждение факта трудовой деятельности работника, сведения о размере среднемесячного дохода, периодичность выплат заработной платы и иных выплат, причитающихся работнику, справку о больничных листах за последние 6 месяцев, сведения об отпусках (всех типов) за последние 6 месяцев, сведения о командировках сотрудника за последние 6 месяцев. Должен ли работодатель предоставлять вышеуказанные данные кредитной организации? (ответ службы Правового консалтинга ГАРАНТ, апрель 2016 г.);
— Вопрос: В организацию поступил запрос от бывшей супруги работника о выдаче ей справки об удержанных и выплаченных алиментах за 2019 год. Фактически на основании исполнительного листа производились удержание из заработной платы работника и перечисление на счет бывшей супруги денежных средств в размере 1/4 заработка. Имеет ли право организация выдать бывшей супруге работника справку обо всех выплатах за период с 01.01.2019 по 31.12.2019? Не будут ли в данном случае нарушены Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», а также ТК РФ? (ответ службы Правового консалтинга ГАРАНТ, январь 2020 г.);
— Вопрос: Имеет ли право полиция запрашивать у организации (работодателя) сведения о карточных (банковских) счетах работников, на которые перечисляется заработная плата? (ответ службы Правового консалтинга ГАРАНТ, ноябрь 2019 г.);
— Вопрос: От председателя первичной профсоюзной организации, действующей на предприятии, «для учета членов профсоюзной организации» поступил запрос о предоставлении списка работников предприятия с указанием занимаемых должностей и дат рождения. Инструкцией об учете членов профсоюзной организации предусмотрено, что данный учет осуществляется по учетным карточкам. Правомерен ли будет отказ работодателя в предоставлении запрашиваемой информации? (ответ службы Правового консалтинга ГАРАНТ, октябрь 2019 г.);
— Примерная форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения (подготовлено экспертами компании ГАРАНТ).
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса
Ответ прошел контроль качества
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.
————————————————————————-
*(1) Смотрите Федеральный закон от 30 декабря 2020 г. N 519-ФЗ.
*(2) Смотрите Энциклопедию решений. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения.
Запрет на обработку персональных данных
(введена Федеральным законом от 30.12.2020 N 519-ФЗ)
1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.
5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.
6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:
2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.
8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.
10. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.
11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.
14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.
15. Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на государственные органы, муниципальные органы, а также на подведомственные таким органам организации функций, полномочий и обязанностей.
(часть 15 в ред. Федерального закона от 14.07.2022 N 266-ФЗ)
(см. текст в предыдущей редакции)
Запрет на обработку персональных данных
1 марта 2021 года вступили в силу изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Введено новое понятие «персональные данные, разрешенные для распространения». Речь идет о распространении персональных данных неограниченному кругу лиц.
Этот новый термин, по сути, пришел на смену прежнему – «общедоступные персональные данные». Судя по пояснительной записке к законопроекту, главная цель поправок – ограничить неконтролируемое использование персданных, размещенных на сайтах и в других открытых источниках. Получив персональные данные, оператор не вправе распространять их, как это было раньше. В связи с этим для обработки персональных данных, разрешенных для распространения, нужно получать отдельное согласие лица, предоставившего такие данные. Далее по тексту под оператором персональных данных (также далее – оператор, оператор персданных) будет подразумеваться лицо, которое обрабатывает персональные данные.
Под субъектом персональных данных (далее – субъект персданных, гражданин) понимается физическое лицо, к которому прямо или косвенно относятся персональные данные, обрабатываемые оператором.
Рассмотрим новые правила работы с персданными подробнее.
Для распространения данных нужно получить новое согласие
Прежде оператор персональных данных мог обрабатывать и распространять (публиковать или передавать третьим лицам) персональные данные физлица-работника, получив от него только один документ – письменное согласие на обработку его персданных. Теперь этого недостаточно. Если оператор хочет распространять данные (например, разместить их на сайте компании), ему придется получить не только согласие на обработку, но и новый документ – согласие на распространение персональных данных (далее – согласие на распространение).
Этому посвящена новая статья 10.1 Закона о персональных данных № 152-ФЗ.
Если физлицо подписало согласие на обработку персональных данных, но не дало своего согласия на их распространение, оператор может их обрабатывать (хранить, уточнять, использовать и т. д.), но не имеет права передавать их кому-либо еще (п. 4 ст. 10.1 Закона № 152-ФЗ).
Это не касается передачи персональных данных государственным структурам, то есть военкомату, ФНС, ФСС, полиции, следственным органам и т. д. Персональные данные физического лица можно передавать им без его согласия (п. 2 – 11 ч. 1 ст. 6 Закона № 152-ФЗ).
Молчание или бездействие субъекта персданных ни при каких обстоятельствах не может считаться согласием на распространение его персональных данных (п. 8 ст. 10.1 Закона № 152-ФЗ).
Согласие на распространение может быть предоставлено оператору персональных данных (п. 6 ст. 10.1 Закона № 152-ФЗ):
- например, непосредственно на бумаге с личной подписью (это можно сделать уже сейчас);
- через информационную систему Роскомнадзора (эта возможность будет реализована только с 1 июля 2021 года).
Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно (пп. 4 п. 2 ст. 22 Закона № 152-ФЗ).
Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (п. 9 ст. 9 Закона № 152-ФЗ).
На данный момент документ еще не утвержден, он находится на этапе общественного обсуждения, а текст проекта доступен на портале проектов нормативных актов.
Из текста проекта следует, что новое согласие на распространение персданных должно содержать:
- Ф. И. О. субъекта персональных данных;
- контактную информацию субъекта персональных данных (телефон, электронная почта или почтовый адрес);
- наименование или Ф. И. О. и адрес оператора, получающего согласие;
- цель обработки персональных данных;
- категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
- условия разрешения и запрета обработки персональных данных;
- срок, в течение которого действует согласие;
- сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).
Субъект персональных данных наделен правом самостоятельно выбирать, какие именно персональные данные и на каких условиях может распространять оператор, получивший к ним доступ. Это правило закреплено в п. 9 ст. 10.1 Закона № 152-ФЗ. Например, он может разрешить опубликовать только его фото и Ф. И. О., а дату рождения запретить публиковать.
Либо он может разрешить передачу персональных данных третьим лицам, но только при условии, что они являются сотрудниками той же компании, в которой работает он сам.
Установленные субъектом персональных данных запреты и условия их обработки не действуют, когда их обработка осуществляется в государственных, общественных или иных публичных интересах (п. 11 ст. 10.1 Закона № 152-ФЗ). Например, несмотря на запрет, оператор может передать персональные данные в налоговую, ПФР, военкомат, полицию, следственный комитет и т. д.
Если в согласии прямо не указано, что субъект персональных данных не установил запреты и условия обработки персданных, их не следует передавать неограниченному кругу лиц (ч. 5 ст. 10.1 Закона № 152-ФЗ).
Нельзя распространять общедоступные персональные данные без согласия
Если субъект персональных данных самостоятельно разместил в общедоступном месте (например, в соцсетях) свои персональные данные, взять их оттуда для дальнейшей обработки и распространения не получится. Дело в том, что теперь это прямо запрещено законом. Каждое лицо, обрабатывающее или распространяющее размещенные самим субъектом персональные данные, должно доказать законность их обработки. Таким образом, даже в этом случае понадобится письменное согласие субъекта персданных на обработку и/или распространение его персональных данных (п.
2 ст. 10.1 Закона № 152-ФЗ). Раньше такие персональные данные считались общедоступными, не нужно было получать дополнительное согласие на их распространение.
Третьи лица должны быть оповещены о запретах и условиях обработки персональных данных
Получив согласие на распространение персональных данных, содержащее условия или запреты на их обработку, оператор должен опубликовать информацию о таких условиях или запретах. Сделать это необходимо в течение трех рабочих дней (п. 10 ст.
10.1 Закона № 152-ФЗ). Где именно должна быть опубликована такая информация, в законе не уточняется, однако логично предположить, что она должна быть доступна в том же месте, где опубликованы персональные данные (например, на той же веб-странице, на которой размещены фото и Ф. И. О. гражданина).
Субъект может отозвать согласие на распространение персональных данных
Оператор персональных данных обязан прекратить распространение (передачу, предоставление, доступ) персональных данных по требованию субъекта персданных. Для этого гражданин должен написать заявление об отзыве согласия на их распространение. В таком заявлении должны быть указаны (п.
12 ст. 10.1 Закона № 152-ФЗ):
- Ф. И. О.;
- контакты (номер телефона, адрес электронной почты или почтовый адрес);
- перечень персональных данных, обработка которых должна быть прекращена.
Прекратить распространение нужно в течение трех рабочих дней с момента получения заявления. В противном случае субъект персональных данных вправе обратиться в суд с этим же требованием (п. 14 ст.
10.1 Закона № 152-ФЗ).
Работодателям придется соблюдать новые правила в полном объеме
Все перечисленные выше новые правила обработки персональных данных полностью распространяются на процесс обработки персональных данных работников работодателями. Это означает, что для распространения персональных данных работников (например, для размещения их на сайте работодателя) при приеме на работу или после заключения трудового договора придется брать с работника дополнительное согласие на распространение его персональных данных. В противном случае персональные данные работника можно будет передать только при наличии условий, когда согласие работника на их передачу не требуется.
Подробнее об этом читайте здесь.
Что касается передачи персональных данных работника в банк с целью оформления зарплатной карты, полагаем, что передавать такие сведения в банк без согласия работника можно только в исключительных случаях, а именно:
- когда договор заключается непосредственно между банком и работником;
- когда у работодателя есть доверенность на представление интересов работника в банке;
- когда выплата зарплат на банковскую карту работника предусмотрена коллективным договором.
Нужно ли переоформлять согласие на обработку персональных данных, полученное до 1 марта 2021 года?
В законе нет норм, которые обязывали бы операторов персданных переоформлять полученные ранее согласия на обработку их персональных данных, оформленных по старым правилам. Но рекомендуется это сделать во избежание возможных претензий со стороны контролирующих органов. Если нужно передать персональные данные другим лицам или опубликовать их в открытом доступе, целесообразно оформить согласие на их распространение с учетом перечисленных выше правил.
Сделать это следует еще и потому, что с 27 марта 2021 года вдвое увеличены штрафы за нарушение законодательства о защите персональных данных. Подробнее об этом читайте здесь.
Подпишитесь на новости
Не пропускайте последние новости — подпишитесь
на бесплатную рассылку сайта:
- десятки экспертов ежедневно мониторят изменения законодательства и судебную практику;
- рассылка бесплатная, независимо от наличия договора 1С:ИТС;
- ваш e-mail не передается третьим лицам;
Запрет на обработку персональных данных
С 1 сентября 2022 года вступят в силу новые правила обработки и защиты персональных данных. Соответствующие изменения внесены в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Рассмотрим основные нововведения.
Случаев, когда персданные можно обрабатывать без уведомления Роскомнадзора, стало меньше
Согласно ч. 1 ст. 22 Закона № 152-ФЗ до начала обработки персональных данных оператор должен уведомить о своем намерении Роскомнадзор. Часть 2 этой же статьи предусматривает ряд случаев, когда уведомлять необязательно. С 1 сентября 2022 года этот список исключений станет меньше, из него уберут случаи обработки персональных данных:
- обрабатываемых в соответствии с трудовым законодательством;
- полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующим общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
- разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 Закона № 152-ФЗ;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем.
При обработке персональных данных в перечисленных случаях нужно будет сообщать в Роскомнадзор в общем порядке.
В самом уведомлении с 1 сентября 2022 года следующие сведения нужно будет указывать для каждой цели обработки персональных данных (ч. 3 ст. 22 Закона № 152-ФЗ):
- категории персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.
При этом в уведомлении нужно будет указывать:
- Ф. И. О. физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.
Иностранцы должны соблюдать правила обработки персональных данных
Статья 1 Закона № 152-ФЗ дополнена ч. 1.1, согласно которой все положения этого закона применяются к случаям, когда персональные данные граждан России обрабатываются иностранными организациями и физлицами на основании договора (соглашения), стороной которого является гражданин России, или на основании согласия такого гражданина на обработку его персональных данных. Это значит, что вне зависимости от страны, в которой зарегистрирована организация, она должна соблюдать все требования закона, включая получение согласия на обработку персональных данных, сообщение в Роскомнадзор о намерении их обрабатывать и т. д. Действующих инструментов для контроля за соблюдением иностранными компаниями этих требований пока нет, однако в случае нарушения к ним могут быть применены санкции в виде штрафов или запрета деятельности.
Правила обработки персональных данных третьим лицом стали строже
Закон № 152-ФЗ позволяет операторам персональных данных поручить их обработку третьим лицам при определенных условиях (ч. 3 ст. 6 Закона № 152-ФЗ).
Для этого с третьим лицом нужно заключить соответствующий договор. Также обработка может происходить на основе акта государственного или муниципального органа либо на основании поручения оператора персональных данных. С 1 сентября 2022 года в таком акте (поручении) необходимо отдельно оговаривать:
- перечень обрабатываемых персональных данных;
- обязанность третьего лица предоставлять по запросу оператора персональных данных в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
- обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора персональных данных;
- обязанность третьего лица уведомить оператора персональных данных о случаях неправомерной или случайной передачи персональных данных в сроки, установленные новой ч. 3.1 ст. 21 Закона № 152-ФЗ. В эти же сроки оператор обязан уведомить об этом Роскомнадзор:
- в течение 24 часов – о произошедшем инциденте, его предполагаемых причинах, о принятых мерах по установлению последствий этого инцидента. Кроме того, оператор должен представить сведения о лице, уполномоченном оператором взаимодействовать с Роскомнадзором по факту этого инцидента;
- в течение 72 часов – о результатах внутреннего расследования выявленного инцидента. Также следует предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (если таковые есть).
Российский оператор персданных отвечает за их обработку наряду с иностранным оператором
Если российский оператор персональных данных поручает их обработку иностранному физическому или юридическому лицу, ответственность перед субъектом персональных данных за действия такого лица несет как само это лицо, так и российский оператор персональных данных (новая ч. 6 ст. 6 Закона № 152-ФЗ).
Отказ в предоставлении персональных данных не является основанием для отказа в обслуживании
С 1 сентября 2022 года предоставление биометрических персональных данных не может быть обязательным. Исключение составляют случаи, предусмотренные ч. 2 ст. 11 Закона № 152-ФЗ (то есть при обработке биометрических персональных данных в связи с осуществлением правосудия, при въезде и выезде из России и других законодательно установленных случаев).
Отказ потребителя от предоставления биометрических персональных данных, а также отказ подписать согласие на обработку персональных данных не являются законным основанием для отказа в его обслуживании, если по закону получение таких персональных данных не является обязательным. В действующей редакции Закона № 152-ФЗ такой нормы нет.
Трансграничная передача персональных данных по новым правилам
Обновленная ст. 12 Закона № 152-ФЗ, регулирующая порядок трансграничной (международной) передачи персональных данных вступит в силу позднее остальных изменений в законе, а именно с 01.03.2023. Теперь в ней подробно регламентируются обязанности оператора персональных данных при их передаче за границу, а также правила и порядок запрета или ограничения Роскомнадзором такой передачи.
Установлен срок предоставления субъекту персданных информации об их обработке
Субъект персональных данных имеет право потребовать от оператора персональных данных предоставить ему информацию относительно обработки его персональных данных (ч. 7 ст. 14 Закона № 152-ФЗ).
Теперь в законе будет срок предоставления такой информации – сделать это нужно будет в течение 10 рабочих дней со дня получения оператором соответствующего запроса. Этот срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес субъекта персданных мотивированного уведомления с указанием причин продления (ч. 3 ст.
14 Закона № 152-ФЗ). Сейчас такой срок законом не определен.
Субъекту персональных данных нужно будет объяснять последствия отказа в предоставлении данных
Если по закону согласие на обработку персональных данных является обязательным, оператор должен рассказать субъекту персональных данных о юридических последствиях отказа в предоставлении согласия на обработку (ч. 2 ст. 18 Закона № 152-ФЗ).
Локальные документы оператора персональных данных не должны ущемлять права субъектов персданных
Документы, определяющие политику обработки персональных данных, которые издает оператор персональных данных, включая локальные нормативные акты, не должны содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на оператора не предусмотренные законом полномочия и обязанности. Такое правило добавлено в п. 2 ч. 1 ст. 18.1 Закона № 152-ФЗ.
Мер по обеспечению безопасности персональных данных стало больше
Статья 19 Закона № 152-ФЗ дополнена новыми обязанностями операторов персональных данных по обеспечению безопасности таких данных. С 1 сентября 2022 года операторы должны обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России, включая информирование о компьютерных инцидентах, в результате которых произошла неправомерная передача персональных данных. Порядок такого информирования будет определен Роскомнадзором.
Информацию о персональных данных нужно будет предоставлять в определенные сроки
По новым правилам оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии его персональных данных и предоставить возможность ознакомиться с ними при обращении субъекта или его представителя либо в течение 10 рабочих дней после получения от них соответствующего запроса. Сейчас такой срок может составлять до 30 рабочих дней (ч. 1 ст. 20 Закона № 152-ФЗ). Срок предоставления может быть продлен (но не более чем на 5 раб. дн.), при этом оператор должен направить субъекту персональных данных соответствующее мотивированное уведомление с указанием причин продления.
Отказ в предоставлении персональных данных нужно направлять в тот же 10-дневный срок, который можно продлить с мотивированным уведомлением (ч. 2 ст. 20 Закона № 152-ФЗ).
Аналогичные сроки будут действовать и при предоставлении оператором персональных данных информации в Роскомнадзор по его запросу (ч. 4 ст. 20 Закона № 152-ФЗ).
Определены сроки прекращения обработки персональных данных
Субъект персональных данных вправе обратиться к оператору с требованием о прекращении их обработки. Теперь в законе будет прописан срок, в течение которого оператор должен выполнить это требование: 10 рабочих дней с даты получения требования. Этот срок можно будет продлить, (но не более чем на 5 раб. дн.), при этом в адрес субъекта персональных данных нужно направить соответствующее мотивированное уведомление (ч.
5.1 ст. 21 Закона № 152-ФЗ).
Смотрите также
- Защита персональных данных работников
- Увольнение сотрудника за разглашение коммерческой тайны или персональных данных другого работника
Продавцам запретят принудительно собирать персональные данные клиентов
Президент РФ Владимир Путин подписал закон, вносящий поправки в статью 16 закона «О защите прав потребителей». Они вступят в силу с 1 сентября 2022 года.
Продавцы не смогут отказать в заключении договора, если покупатель не предоставил персональные данные.
По закону персональные данные — это любая информация, относящаяся к физическому лицу, по которой его можно идентифицировать. Например, имя и номер телефона.
ПАРТНЕРСКИЙ МАТЕРИАЛ
Я заработала 100 000 рублей на Tinkoff Black
Узнайте, как повторить этот опыт и оформить картуХочу знать
Что сейчас прописано в этой статье
В текущей редакции статья запрещает лишь навязывать дополнительные работы или услуги к приобретаемым товарам. Если продавец говорит, что один товар нельзя купить без другого или без допуслуг, — это нарушение прав потребителя.
Закон позволяет признавать недействительными условия договора с дополнительными услугами. Если такое случилось, то потребителю должны возместить убытки в полном объеме. А продавца могут оштрафовать на 10 000—20 000 ₽ .
Но когда продавцы предоставляют услуги, товары и работы, они часто принудительно собирают персональные данные, например номера телефонов, адреса электронной почты и другую информацию, которая не нужна для продажи или доставки товара. В текущей редакции статья это не запрещает.
Что изменится с 1 сентября для продавцов
Вступит в силу пункт, который запретит продавцам, исполнителям и маркетплейсам отказываться заключать договор, если покупатель не предоставил персональные данные. Это распространяется также на изменение, расторжение и исполнение договора.
Есть исключения — если данные нужно предоставить по другим законам или они нужны для исполнения договора. Например, чтобы связаться с покупателем при оформлении возврата или доставки товара, можно запросить телефон и адрес электронной почты.
Закон запрещает требовать с потребителей лишние данные. Например, нельзя будет отказывать в продаже билета на массовое мероприятие, если покупатель не предоставил ФИО и паспортные данные. Если при покупке товара не в рассрочку в магазине просят ксерокопию паспорта, это незаконно.
Также необязательно предоставлять паспорт при возврате средств за товар.
Есть и обратные примеры, когда продавцы обязаны требовать даже паспортные данные. Это касается продажи ювелирных украшений на сумму от 40 000 ₽. После вступления в силу закона эта практика не изменится.
Ответственность для продавцов за принудительный сбор персональных данных прописана в другом законопроекте, но пока он прошел только первое чтение и не действует. Размер штрафа для должностных лиц и ИП по нему должен составить от 5000 до 10 000 ₽, для организаций — от 30 000 до 50 000 ₽. Документ внесли в Госдуму 1 июня 2021 года вместе с принятым сейчас законом.
Что изменится для покупателей
Если продавец отказывается заключать договор без персональных данных, покупатель может потребовать объяснить причины письменно или устно. Если запрос от клиента пришел в письменной или электронной форме, продавец должен ответить в течение 7 дней. Если его спросили устно, нужно рассказать о требованиях немедленно.
Как это будет работать — покажет практика.
Какие еще условия договора недопустимы
Госдума также утвердила перечень недопустимых условий договора, которые ущемляют права потребителей.
Туда включили пункты, которые:
- Разрешают продавцу в одностороннем порядке отказываться от исполнения обязательств или менять их. Но есть исключения — законы, разрешающие это.
- Ограничивают право потребителя на свободный выбор территориальной подсудности споров. Потребители могут подавать иски в суд по месту нахождения организации или жительства ИП, заключения договора, жительства или пребывания истца.
- Устанавливают для потребителя штрафы, препятствующие его праву на отказ от исполнения договора о выполнении работ или оказании услуг.
- Ограничивают выбор способа и формы оплаты.
- Исключают или ограничивают ответственность продавца за неисполнение или ненадлежащее исполнение договора. Например, по ст. 18 закона «О защите прав потребителей» покупатель, которому передали продукцию ненадлежащего качества, вправе потребовать соразмерного уменьшения цены или возмещения расходов, чтобы устранить недостатки товара.
- Навязывают дополнительные работы или услуги к приобретаемым товарам.
- Уменьшают размер законной неустойки. Законом предусмотрены следующие размеры неустойки за каждый день: 0,5% за просрочку передачи предварительно оплаченного товара, 1% за просрочку удовлетворения требований потребителя при продаже некачественного товара и 3% за просрочку выполнения работ и при просрочке удовлетворения требований потребителя при выполнении работ.
- Ограничивают право потребителя при обнаружении в товаре недостатков. Например, право потребовать замены на товар этой же марки.
- Устанавливают обязательный досудебный порядок рассмотрения споров, если он не предусмотрен законом.
Перечень недопустимых условий договора касается не только розничной купли-продажи, но также сферы услуг, потребительского кредитования и страхования. Перечень распространяется и на договоры, заключенные до 1 сентября 2022 года.
Если какое-либо условие включили в договор и потребитель понес убытки, продавец должен их полностью возместить. А также обязан изменить договор, если покупатель указал на такие условия.
Суды и раньше признавали пункты из этого перечня нарушающими права потребителей. Но дублирования норм не будет. Действующие законы устанавливают, как нужно поступать, то есть императивные требования, а поправки — как поступать нельзя: запрет на включение в договор условий, которые противоречат этим императивным требованиям.
Новости, которые касаются всех, — в нашем телеграм-канале. Подписывайтесь, чтобы быть в курсе происходящего: @tinkoffjournal.