Принят закон об изменении правил публикации персональных данных, который вступит в силу уже с 1 марта 2021 года.
23 декабря 2020 года Госдума приняла законопроект о внесении изменений в Закон «О персональных данных» — два чтения законопроект прошел за два дня.
А 30 декабря 2020 г. Федеральный закон № 519-ФЗ “О внесении изменений в Федеральный закон “О персональных данных” уже был подписан Президентом.
По замыслу создателей изменения вступят в силу в два этапа: основная часть с 1 марта 2021, вторая — с 1 июля 2021 года.
Изменения сводятся к одному важному моменту - условие обработки персональных данных.
ВАЖНО: с 1 марта 2021 года утрачивает силу п. 10 ч. 1 ст. 6 Федерального закона «О персональных данных», допускающий обработку персональных данных, сделанных общедоступными субъектом персональных данных, любым лицом без согласия субъекта персональных данных.
Персональные данные, разрешенные для распространения — это персональные данные, к которым возможен доступ любых лиц.
Новый пункт 1.1 статьи 3 ФЗ «О персональных данных».
Теперь это звучит так, - «Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом».
Пока человек не даст согласия, публиковать его данные нельзя. Например, на корпоративных сайтах в разделах, аналогичным «О команде», «Наши сотрудники».
Новые правила касаются всех операторов персональных данных и любого распространения персональных данных с согласия гражданина (не только онлайн, но и офлайн).
Особенно важно обратить внимание на новые правила владельцам (операторам) онлайн-ресурсов и сервисов, которые позволяют пользователям делиться информацией с неограниченным кругом лиц, а также операторам, использующим в своей деятельности информацию из открытых источников (в частности, СМИ, компаниям, использующим системы мониторинга поведения в сети Интернет).
Статья 15.5 Закона «Об информации» позволяет Роскомнадзору по решению суда блокировать сайты, которые допускают нарушения законодательства в области персональных данных.
Пункт 14 статьи 10.1 Закона «О персональных данных» позволяет оспаривать отказ в удалении персональных данных в суде.
КАК БЫТЬ СО СТАРЫМИ СОГЛАСИЯМИ, ПОЛУЧЕННЫМИ ДО 1 МАРТА 2021?
К сожалению, они становятся не действительными. И для дальнейшего распространения нужно получать отдельное согласие. Но согласие остается возможным для остальных целей.
КОГДА ПОЛУЧАТЬ НОВОЕ СОГЛАСИЕ?
Новое согласие нужно получить до 1 марта 2021, но по форме Роскомпотребнадзора, который утвердит форму не позднее 28 февраля 2021 года.
- Если ваша компания работает с аутсорсинговой компанией, то необходимо согласие работника для передачи его персональных данных в аутсорсинговые компании.
При этом передача данных в другие фирмы для ведения кадрового учета или бухгалтерского предполагает делегирование части обязанностей оператора и это требует оформление договора поручения (ч. 3 ст. 6 Закона “О персональных данных”). - Также сбор копий документов должен осуществляться на основании согласия субъекта в соответствии с ч.1 ст. 6 Закона “О персональных данных”. В согласии должна быть указана цель передачи данных сотрудника.
- Согласия на обработку персональных данных соискателя и близких родственников.
При приеме на работу многие компании просят заполнять сведения о близких родственниках, при этом согласие на обработку персональных данных работодатель подписывает только с соискателем. Возникает вопрос - как быть с персональными данными родственников в анкете? В таких случаях рекомендуется все же убедить соискателя в необходимости получения согласия от родственников - говорит Роскомпотребнадзор! - Срок согласия на обработку персональных данных.
Нельзя указывать, что согласие дается на неограниченный срок или указывать сроки, не предусмотренные законодательством или ничем не мотивированные. Например, неправильно установить срок согласия на 15, 50 или 70 лет.
Если срок установить невозможно - то определите достижение цели.
- Передача персональных данных третьим лицам.
Два юридических лица заключили между собой договор. С одной стороны, договор подписал представитель по доверенности.
«Организация, которая выдала доверенность своему работнику, обязана получить от него согласие на передачу персональных данных контрагенту по договору».
Для контрагента, получившего доверенность этого работника, получать отдельное согласие на обработку не нужно, т.к. обработка ПД доверенного лица осуществляется в рамках договора.
И это не все вопросы, которые могут себе задать операторы, которые работают с персональными данными.
СОВЕТ НЕДЕЛИ - самый важный момент - существует Реестр операторов персональных данных!
В этот реестр организация может попасть добровольно или добровольно - принудительно!
Компания «Юстиком» состоит в реестре , потому что мы работаем и обрабатываем персональные данные, а по факту любой бизнес их обрабатывает. Таким образом, мы являемся оператором обработки персональных данных.
Поэтому Закон «О персональных данных» требует направить уведомление в РКН до начала обработки персональных данных. На практике это момент регистрации компании или ИП, то есть фактически дата начала обработки. Поэтому если вы уведомление в РКН не направите, то уже совершите административное правонарушение, ответственность за которую предусмотрена ст. 13.11 КоАП РФ. А срок давности привлечения к административной ответственности по этой статье составляет 3 месяца с момента совершения правонарушения.
ВЫВОД - оцените возможные риски при обработке персональных данных именно для специфики деятельности вашей компании и если необходимо, то следите за новыми пояснениями по изменениям с 1 марта 2021. Ждём новую форму от Роскомпотребнадзора о защите персональных данных в соответствии с Новым законом.
Больше новостей вы найдете на нашей страничке в телеграмм, подписывайтесь!