Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Деньги
Сервисы
Личный опыт
Крипто
Маркетплейсы
AI
Образование
Карьера
Путешествия
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Nikita Zhurlov
Право

IT и распространение персональных данных

Сфера персональных данных в России постоянно меняется, добавляются новые нормы и вводятся новые правила игры. Это всё влияет на бизнес и прежде всего на ИТ.

21 апреля 2021 года был опубликован приказ Роскомнадзора, где содержатся требования к согласию на распространение персональных данных.

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 № 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения" будет действовать с 01 сентября 2021 до 01 сентября 2027 года. Что оно должно содержать - ниже в статье.

Ранее в изменениях сферы персональных данных

01 марта 2021 года вступили в силу изменения в Федеральный закон 152-ФЗ “О персональных данных”.

Update 152-ФЗ от 01 марта 2021 года:

  • общедоступные персональные данные как категория персональных данных - прекратила своё существование

  • появились персональные данные, разрешенные субъектом персональных данных для распространения
  • запрет распространять персональные данные без согласия субъекта
  • Роскомнадзор определяет требования к согласию на распространение персональных данных
  • Роскомнадзор к 01 июля 2021 года создаст свою информационную систему для предоставления согласия на распространение персональных данных
  • появилось право субъекта обратиться к любому оператору с требованием удалить его персональные данные из общего доступа без какой-либо необходимости доказывания факта неправомерной обработки персональных данных

27 марта 2021 года были изменены меры ответственности за нарушения в сфере обработки персональных данных, определенные статьей 13.11 Кодекса Российской Федерации об административных правонарушениях. К примеру, отменена мер ответственности как предупреждение, теперь только штрафы. Об этих штрафах - ниже в статье.

Что вообще это всё значит?

Для субъектов персональных данных

Значит, что нам стало значительно проще контролировать свои персональные данные. Увидели их где-то в Интернете и не понравилось - написали администратору сервиса и у него есть 3 рабочих дня, чтобы удалить.

Не удалил - субъект может подать жалобу в РКН, они проведут проверку и оштрафуют. Также, субъект вправе подать в суд для защиты собственных законных прав и интересов и взыскания морального ущерба, судебных издержек.

Для ИТ-бизнеса

Значит, что все процессы, связанные с обработкой персональных данных должны быть прозрачными для пользователя. Для этого они должны быть отражены в соответствующих документах, а пользователю должна быть предоставлена возможность управлять своими данными.

Если в продукте есть публичная страничка, где отражаются персональные данные пользователя (будь-то большая соцсеть, маленький форум любителей гладиолусов или сервис поиска работы) - теперь требуется получать ещё отдельное согласие на распространение персональных данных с предоставлением возможности выбора какие персональные данные распространяются публично.

Вы захотели опубликовать отзыв довольного и счастливого клиента на сайте или в социальной группе с его фотографией и ФИО? Получите его согласие на это.

В соответствии с последними изменениями ФЗ-152, каждый кто распространяет персональные данные и делает их публичными - несёт за это ответственность. А кто использует - должен доказать законность обработки персональных данных.

Благо, сейчас можно получить согласие просто чек-боксом, чтобы пользователь мог поставить свою "галочку".

Если у вас есть такие публичные страницы профилей, то для пользователя должно быть целых 3 (!) чек-бокса с линками на правовые документы:

  1. Договор с пользователем (пользовательское соглашение / публичный договора / договор присоединение)
  2. Согласие на обработку персональных данных (субъект даёт согласие именно вам как оператору)
  3. Согласие на распространение персональных данных (субъект даёт согласие, чтобы вы могли распространять их)

Согласие субъекта на распространение персональных данных должно содержать следующую информацию:

1) фамилия, имя, отчество (при наличии) субъекта персональных данных;

2) контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);

3) сведения об операторе:

  • для организации - наименование, адрес, указанный в ЕГРЮЛ, ИНН, ОГРН;
  • для физического лица - фамилия, имя, отчество(при наличии), место жительства или место пребывания;
  • для индивидуального предпринимателя - фамилия, имя, отчество (при наличии), ИНН, ОГРНИП;

4) сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;

5) цель (цели) обработки персональных данных;

6) категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:

  • персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных)
  • специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости)
  • биометрические персональные данные

7) категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта персональных данных);

8) условия, при которых полученные персональные данные могут передаваться оператором (заполняется по желанию субъекта персональных данных):

  • только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников
  • с использованием информационно-телекоммуникационных сетей
  • без передачи полученных персональных данных

9) срок действия согласия.

Штрафы

Напомню, что теперь статьей 13.11 Кодекса Российской Федерации об административных правонарушениях установлены следующие составы правонарушений и меры ответственности:

1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации, либо обработка персональных данных, несовместимая с целями сбора персональных данных:

— правонарушение первый раз:

  • на граждан в размере от 2 000 до 6 000 ₽;
  • на должностных лиц – от 10 000 до 20 000 ₽;
  • на юрлиц – от 60 000 до 100 000 ₽

— повторное правонарушение:

  • на граждан в размере от 4 000 до 12 000 ₽;
  • на должностных лиц – от 20 000 до 50 000 ₽;
  • на ИП – от 50 000 до 100 000 ₽;
  • на юрлиц – от 100 000 до 300 000 руб.

2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации, либо обработка персональных данных с нарушением требований к составу сведений, включаемых в такое согласие:

— правонарушение первый раз:

  • на граждан в размере от 6 000 до 10 000 ₽;
  • на должностных лиц – от 20 000 до 40 000 ₽;
  • на юрлиц – от 30 000 до 150 000 ₽;

— повторное правонарушение:

  • на граждан в размере от 10 000 до 20 000 ₽;
  • на должностных лиц – от 40 000 до 100 000 ₽;
  • на ИП – от 100 000 до 300 000 ₽;
  • на юрлиц – от 300 000 до 500 000 ₽.

3. Невыполнение оператором предусмотренной законодательством Российской Федерации обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных:

  • на граждан в размере от 1 500 до 3 000 ₽;
  • на должностных лиц – от 6 000 до 12 000 ₽;
  • на ИП – от 10 000 до 20 000 ₽;
  • на юрлиц – от 30 000 до 60 000 ₽.

4. Невыполнение оператором предусмотренной законодательством Российской Федерации обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных:

  • на граждан в размере от 2 000 до 4 000 ₽;
  • на должностных лиц – от 8 000 до 12 000 ₽;
  • на ИП – от 20 000 до 30 000 ₽;
  • на юрлиц – от 40 000 до 80 000 ₽.

5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки:

— правонарушение в первый раз:

  • на граждан – от 2 000 до 4 000 ₽;
  • на должностных лиц – от 8 000 до 20 000 ₽;
  • на ИП – от 20 000 до 40 000 ₽;
  • на юрлиц – от 50 000 до 90 000 ₽;

— повторное правонарушение:

  • на граждан – от 20 000 до 30 000 ₽;
  • на должностных лиц – от 30 000 до 50 000 ₽;
  • на ИП – от 50 000 до 100 000 ₽;
  • на юрлиц – от 300 000 до 500 000 ₽.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных:

  • на граждан – от 1 500 до 4 000 ₽;
  • на должностных лиц – от 8 000 до 20 000 ₽;
  • на ИП – от 20 000 до 40 000 ₽;
  • на юрлиц – от 50 000 до 100 000 ₽.

7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных:

  • штраф на должностных лиц в размере от 6 000 до 12 000 ₽.

Могу однозначно сказать, что регулирование персональных данных на этом не остановится и всегда будут изменения. К примеру, сейчас на рассмотрении находится 6 законопроектов, связанных с персональными данными.

Конечно, все эти изменения затрагивают очень много проектов и им приходится подстраивать под новые требования законов. Но организовать процессы в соответствии с законами - однозначно дешевле, чем платить штрафы и оплачивать судебные издержки.

Берегите себя, бизнес и не нарушайте законы :)
С уважением, Журлов Никита,
проект ITdoc.

22
Начать дискуссию