Защита персональных данных в 2021 году закон

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Защита персональных данных в 2021 году закон». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

  • ФИО;
  • контактные данные;
  • перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Как ужесточились требования к работе с персональными данными в 2021 году

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

  • в течение трех рабочих дней с момента обращения;

  • или в срок, указанный в постановлении суда;

  • или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).

О публикации и защите персональных данных в 2021 — что изменится в 152-ФЗ

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Обязанность Норма Закона № 99-З
1. Обеспечивать на всех этапах обработки персональных данных справедливое соотношение интересов всех заинтересованных лиц Пункт 2 ст.4
2. Обеспечивать соразмерность обработки персональных данных заявленным целям их обработки Пункт 2 ст.4
3. При изменении целей обработки персональных данных получать на это отдельное согласие Пункт 4 ст.4
4. Принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их (а также корректировать по запросам субъектов данных) Пункт 7 ст.4, п.1 ст.16
5. Хранить персональные данные не дольше, чем это требуют заявленные цели обработки Пункт 8 ст.4
6. Предоставлять субъекту данных информацию обо всех условиях обработки персональных данных.

Важно! Рекомендуется разработать стандартные формы для различных категорий персональных данных
Абзацы 2, 5 п.1 ст.16
7. Предоставлять пользователю отдельный документ (в письменном или электронном виде), в котором простым и ясным языком разъяснить субъекту данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия Часть 2 п.5 ст.5
8. Получать согласие на обработку персональных данных от субъектов данных.

Важно! Рекомендуется обеспечить фиксацию и хранение соответствующих данных, так как согласно п.7 ст.5 Закона № 99-З обязанность доказывания получения согласия субъекта персональных данных возлагается на оператора
Абзац 3 п.1 ст.16
9. Обеспечивать защиту персональных данных Абзац 4 п.1 ст.16
10. При обработке специальных персональных данных принимать комплекс мер, направленных на предупреждение рисков, которые могут возникнуть при этом для прав и свобод субъектов персональных данных Пункт 3 ст.8
11. Соблюдать процедуры и условия трансграничной передачи данных Статья 9
12. При получении заявления от субъекта персональных данных при наличии установленных оснований прекратить обработку данных, осуществить их удаление (или, в зависимости от технических возможностей, блокирование) и уведомить субъекта об этом Абзац 7 п.1 ст.16
13. По запросу субъекта персональных данных предоставлять ему в доступной форме информацию о том, какие его данные обрабатываются и как (категории, сроки, источники и т. п.), кому они передавались Абзац 5 п.1 ст.16
14. В установленном порядке уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных Абзац 8 п.1 ст.16
15. Выполнять указания уполномоченного органа по защите прав субъектов персональных данных по изменению, блокированию или удалению недостоверных или полученных незаконным путем персональных данных Абзац 9 п.1 ст.16

По словам Марины Хадиной, директора по развитию Talantix, чтобы избежать рисков, рекрутер как менеджер проекта по внедрению программ должен учесть следующие моменты:

  1. Обратите внимание, как система запрашивает согласие на обработку персональных данных. Если резюме приходят из разных источников, то во многих случаях должно быть предусмотрено согласие на обработку ПД, разрешенных к распространению. Если есть сомнения, что сторонний онлайн-ресурс не собирает согласия с соискателей, тогда лучше дополнительно запросить его.
  2. Посмотрите, как оформлено согласие на обработку ПД. Должны быть указаны цели сбора — трудоустройство и кадровый резерв.
  3. Соблюдаются ли в системе требования по локализации данных — например, серверы Talantix располагаются на территории РФ. В данном случае система может выступать как первичная база данных, при этом вторичная база может находиться за пределами России, что актуально для зарубежных компаний.
  4. С точки зрения техтребований — есть ли у центра обработки данных, где размещается инфраструктура системы, лицензия на техническую защиту информации, разработана ли модель защиты от киберугроз.
  5. Проверьте, предусмотрены ли регулярные обновления системы с учетом изменений в законодательстве.

Законодатели отметили, что закон о распространении ПД — только начало большой работы по ужесточению правил обращения с персональными данными. Но это не должно стать проблемой для компаний, если они следят за автоматизированными решениями и предложениями по хранению и обработке данных, так как крупные провайдеры держат руку на пульсе, чтобы помочь HR-сообществу и бизнесу учесть эти и другие нововведения.

Форма документа не регламентирована, а значит может составляться по шаблону, разработанному фирмой самостоятельно. Но следует помнить, что статья 9 ФЗ от 27.07.2006 № 152-ФЗ содержит перечень обязательных требований.

Новые правила с 2021 года

1 марта произошли изменения в ФЗ от 27.07.2006 № 152-ФЗ, которые внес ФЗ от 30.12.2020 № 519-ФЗ.

Рассмотрим основные нововведения.

1. Появился документ «Согласие на распространение ПДн сотрудника».

Теперь, получив от сотрудника согласие на обработку ПДн, компания не может их распространять. Для этих целей необходимо получить от физ. лица отдельный документ, который позволяет оператору распространять данные, например, размещать их на сайте компании, на доске почета, передавать банку и другое. В этом документе важно предоставить сотруднику возможность указать какую именно информацию он разрешает распространять работодателю.

2. Молчание субъекта ПДн не может быть расценено, как согласие на распространение ПДн. Это актуально и для бездействия сотрудника (п. 8 ст. 10.1 Закона № 152-ФЗ).

3. Любые ПДн о физ. лице можно публиковать только при наличии его письменного согласия, даже если лицо самостоятельно их разместило в общедоступном месте (интернет или социальные сети). Раньше такие личные данные можно было распространять без получения согласия от их владельца (п. 2 ст. 10.1 Закона № 152-ФЗ).

Новый законопроект о персональных данных: как изменилась работа рекрутеров

В случае, если сотрудник не дал согласия на распространение ПДн, но при этом дал согласие на обработку, то работодатель не в праве передавать информацию третьим лицам (п. 4 ст. 10.1 Закона № 152-ФЗ).

Правило не распространяется на передачу ПДн гос. органам (ИФНС, ФСС, ПФР, полиции и другим).

Стоит отметить, что сотрудник и вовсе может отказаться от дачи согласия на обработку ПДн. Но это не значит, что работодатель не вправе обрабатывать такие данные. Это возможно в случаях, указанных в ч. 2 ст. 9 Закона № 152-ФЗ. Одним из которых является выполнение возложенных законом обязанностей на компанию.

Получить согласие на распространение ПДн можно двумя способами:

1. Непосредственно у физ. лица, то есть с личной подписью на бумаге;

2. Через информационную систему Роскомнадзора. Любое физ. лицо может подключиться к системе для того, чтобы указать какие ПДн и кому он разрешает распространять.

Оператор, в свою очередь, также имеет возможность подключиться к данной системе и не получать от конкретного физического лица письменное согласие, а использовать информацию, содержащуюся в системе Роскомнадзора. Это возможность станет доступной с 1 июля 2021 года.

Компаниям и ИП однозначно стоит уделить внимание новшествам, описанным выше, так как штрафные санкции увеличились вдвое.

Начиная с 27 марта 2021 г. за работу с ПДн сотрудников без их письменного согласия ИП ждет штраф от 20 000 до 40 000 руб., организации, при аналогичном нарушении должны будут уплатить от 30 000 до 150 000 руб.

Если же ИП нарушит законодательство повторно, то штраф будет составлять от 100 000 до 300 000 руб., а для компаний — от 300 000 до 500 000 руб. (ч. 2 ст. 13.11 КоАП). Наказание за такое правонарушение может последовать в течение года (ст. 4.5 КоАП РФ).

Подведем итог: правила обработки личных данных касаются абсолютно всех физических и юридических лиц.

В этой связи, работодателям целесообразно брать с сотрудников:

1. согласия на обработку персональных данных;

2. согласия на распространение персональных данных.

Документы составляются в соответствии с требованиями действующего законодательства.

Игнорирование правил обработки и распространения данных может привести к серьезным финансовым потерям.

В программах 1С новый документ «Согласие на распространение персональных данных» на данный момент не реализован. Но и о наличии согласия на обработку персональных данных знают далеко не все бухгалтеры.

Первое, что необходимо знать — это то, что все данные хранятся в карточках физ. лиц. При приеме на работу личные данные субъекта в справочнике «Физические лица» заполняются автоматически на основании справочника «Сотрудники».

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее — нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

5. Решения межгосударственных органов, принятые на основании положений международных договоров Российской Федерации в их истолковании, противоречащем Конституции Российской Федерации, не подлежат исполнению в Российской Федерации. Такое противоречие может быть установлено в порядке, определенном федеральным конституционным законом. (в ред. Федерального закона от 08.12.2020 N 429-ФЗ)

Федеральный закон от 27.07.2006 N 152-ФЗ

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Изменения в законе о персональных данных с 1 сентября 2021 года

1. Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков. (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

Из Федерального закона от 30.12.2020 № 519-ФЗ следует, что:

  • Молчание или бездействие ни при каких обстоятельствах нельзя расценивать как согласие на обработку персональных данных.
  • Согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно. Оператор обязан обеспечить возможность определить перечень персональных данных по каждой категории, указанной в согласии на обработку.
  • В согласии на обработку персональных данных, разрешенных для распространения, можно установить запреты на передачу этих персональных данных неограниченному кругу лиц, а также запреты на обработку или условия обработки данных неограниченным кругом лиц. Оператор не вправе отказать в этом случае.

Законодательство обязывает прекратить передачу персональных данных, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно направить требование, в котором нужно четко указать перечень персональных данных, обработку которых нужно прекратить.

Указанные персональные данные могут обрабатываться только оператором, которому оно направлено.

В законе прямо не уточняется, какие именно данные являются персональными, но, если исходить из формулировки, что это «любая информация», относящаяся к физическому лицу, то к персональным данным относятся:

  • ФИО;
  • дата рождения;
  • адрес;
  • телефон;
  • электронный адрес;
  • фотография;
  • ссылка на персональный сайт;
  • ссылка на профиль в социальных сетях.

Одним словом, речь идет о любых данных, по которым можно идентифицировать человека. Фактически любой владелец сайта — оператор персональных данных, так как он размещает на своем ресурсе форму обратной связи, форму регистрации и пр.

Вступил в силу Федеральный закон от 24.02.2021 № 19-ФЗ, который значительно увеличивает штрафы за нарушения в работе с персональными данными.

Нововведения:

  • За любые правонарушения в области обработки персональных данных теперь будут сразу штрафовать. Ранее предусматривалось предупреждение.
  • Ранее повторное нарушение не выделялось как самостоятельный состав правонарушения. А теперь выделяется и штрафы по нему в несколько раз выше, чем за первичное нарушение.
    Например, если выяснится, что юрлицо запрашивает персональные данные, которые несовместимы с целями сбора, то за первое нарушение ему придется заплатить штраф в размере от 60 до 100 тысяч рублей, за повторное — от 100 до 300 тысяч рублей.
  • Срок давности привлечения к административной ответственности за нарушения в области персональных данных тоже увеличился. Если ранее он составлял три месяца, то теперь увеличен до одного года.
Основание Размер штрафа
Обработка персональных данных в случаях, не предусмотренных законодательством и несовместимая с целями сбора персональных данных.
  • Для физлиц: предупреждение или штраф от 2 000 до 6 000 руб.
  • Для должностных лиц: предупреждение или штраф от 10 000 до 20 000 руб.
  • Для юрлиц: предупреждение или штраф от 60 000 до 100 000 руб.

При повторном нарушении

  • Для физлиц: от 4 000 до 12 000 руб.;
  • Для должностных лиц: от 20 000 до 50 000 руб.;
  • Для ИП: от 50 000 до 100 000 руб.;
  • Для юрлиц: от 100 000 до 300 000 руб.
Обработка персональных данных без письменного согласия субъекта.
  • Для физлиц: от 6 000 до 10 000 руб.
  • Для должностных лиц: от 20 000 до 40 000 руб.
  • Для юрлиц: от 30 000 до 150 000 руб.

Появляется новое основание, за несоблюдение которого могут оштрафовать (раньше за это не наказывали рублем). Невыполнение обязанности по соблюдению конфиденциальности ПДн влечет наложение штрафа:

  • на граждан — в размере от 10 до 20 тысяч рублей;
  • на должностных лиц — от 40 до 100 тысяч рублей;
  • на индивидуальных предпринимателей — от 100 до 300 тысяч рублей;
  • на юридических лиц — от 300 до 500 тысяч рублей.

Организация, физическое или юрлицо, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия владельца ПДн, если это не предусмотрено федеральным законом.

Любая передача ПДн (распространение, предоставление, доступ) является незаконной без согласия владельца ПДн и является нарушением конфиденциальности его ПДн.

Если ПДн сотрудников были переданы без их письменного согласия, то во-первых, это противозаконно, а во-вторых, за подобные действия будут штрафовать.

Вот типовые ситуации, которые будут подпадать под данную статью:

1. Передача ПДн работников третьим лицам:

  • в банк для целей выплаты заработной платы и иных материальных выплат, а также перечисления подотчетных средств;
  • в охранное предприятие в целях взаимодействия и реагирования;
  • в медицинские организации в целях проведения медицинских осмотров;
  • в страховые компании по договорам добровольного медицинского страхования;
  • в образовательные организации в объеме превышающем требования закона об образовании;
  • в целях организации командировок и участия в выставках;
  • в других целях, напрямую не связанных с должностными обязанностями сотрудника.

2. Передача ПДн клиентов, представителей клиентов, поставщиков, партнеров третьим лицам в целях:

  • организации мероприятий, маркетинговых акций, рекламы;
  • размещения отзывов, рекламных акций на сайте компании и других общедоступных источниках;
  • сбор персональных данных через онлайн-каналы (мессенджеры, социальные сети, формы обратной связи на сайте, онлайн-консультанты) без применения средств защиты, обеспечивающих их конфиденциальность при передаче через интернет.

3. Получение ПДн без подтверждения наличия согласия от человека или иных законных оснований у передающей стороны.

4. Предоставление доступа к ПДН внутри организации сотрудникам без должного документального оформления (должностные обязанности и/или локальные нормативные акты).

Ответственность за не обезличивание персональных данных теперь несут не только государственные и муниципальные органы власти, но и все операторы.

По второму изменению в новом КоАП дело касается обезличивания ПДн. Проще говоря, если персональным данным (паспортным, медицинским, контактным данным и т.п) будет присвоен идентификационный номер, то это обезличивает персональные данные, т.к. по одному номеру нельзя определить человека.

В новом КоАП предполагается распространить ответственность за не обезличивание персональных данных с государственных и муниципальных органов власти на всех операторов. Все операторы будут обязаны обезличивать ПДн, которые обрабатывают.

Невыполнение подобных требований влечет предупреждение или наложение административного штрафа для всех операторов ПДн в размере от 3 до 6 тысяч рублей. Штрафы небольшие, но можно предположить, что это только начало.

Новый КоАП еще не принят, но вектор внимания уже определен. Для того чтобы нововведения не стали для вас сюрпризом, необходимо в 2021 году провести оценку соответствия процессов обработки и защиты персональных данных требованиям законодательства.

Проводить ее необходимо не реже, чем раз в три года. Это установлено законом.

  • Изучить все источники поступления ПДн в организацию, цели поступления и состав данных. К примеру, нужно понимать, что источники ПДн клиентов и сотрудников разные, и состав ПДн тоже разный.
  • Проанализировать, где и как организация получает ПДн — наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность получения персональных данных, их состав и цели обработки. Получение всех ПДн, которые попадают в организацию, без исключения должны подтверждаться подобными документами: корректно составленное соглашение по обработке ПДн на сайте, с которого компания получает ПДн клиентов, Соглашение по обработке ПДн с сотрудниками.
  • Изучить, какие и чьи ПДн в организации обрабатываются (в разрезе категорий физических лиц). Ориентируясь на ПДн клиентов и сотрудников, видно, что процесс их обработки и хранения разный. Доступ к ПДн сотрудников имеют отдел кадров, бухгалтерия, а к клиентским данным — та же бухгалтерия и коммерческий отдел.
  • Проверить наличие утвержденных локальных нормативных актов, определяющих порядок доступа сотрудников к персональным данным. Документы, в которых прописано, кто и за что отвечает.
  • Проанализировать соответствие процесса обработки локальным нормативным актам. Зачастую на практике бывает несоответствие.
  • Изучить ваших получателей персональных данных: кому, для каких целей и в каком составе передаются персональные данные. Опять же, практика показывает, что в некоторых организациях к ПДн допускаются сотрудники, не имеющие к ним отношения.
  • Проанализировать, на каких условиях передаются ПДн третьим лицам — обязательно наличие договора, соглашения и/или другого юридически значимого документа, подтверждающего правомерность передачи персональных данных. Если зачисление зарплаты сотрудникам компании происходит через зарплатный проект банка, то компания обязана с каждым сотрудником, участвующем в зарплатном проекте, подписать соглашение о передаче его ПДн в этот банк.
  • Определить, какие персональные данные стоит обезличивать. К примеру, это данные, чей срок хранения официально вышел, но при этом характеристики клиента имеют ценность без необходимости идентификации физического лица.
  • Определить, какие согласия уже не имеют силы и которые надо скорректировать. Отсутствие отлаженной системы работы с ПДн в прошлом означает, что, возможно, часть документов уже не актуальна.
  • Изучить, как защищаются персональные данные в компании и от кого они реально защищены — только от внешних злоумышленников или от внутренних тоже? Очень часто данные клиентов утекают вместе с увольняющимися сотрудниками коммерческих отделов.
  • Составить годовой план и реализовать его. Необходимо разработать поэтапный план по реализации этих пунктов с учетом объема работы и времени на их выполнения.

Закон о персональных данных 2021: что изменилось и как не нарушать

Правительство Российской Федерации постановляет:

1. Утвердить прилагаемое Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных.

2. Установить, что реализация полномочий, предусмотренных настоящим постановлением, осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в пределах установленной Правительством Российской Федерации предельной численности работников центрального аппарата и территориальных органов Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, а также бюджетных ассигнований, предусмотренных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций на руководство и управление в сфере установленных функций.

3. Признать утратившим силу постановление Правительства Российской Федерации от 13 февраля 2019 г. N 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» (Собрание законодательства Российской Федерации, 2019, N 7, ст. 673).

4. Настоящее постановление вступает в силу с 1 июля 2021 г.

Председатель Правительства
Российской Федерации
М. Мишустин

1. Настоящее Положение устанавливает порядок организации и осуществления федерального государственного контроля (надзора) за обработкой персональных данных.

Предметом федерального государственного контроля (надзора) за обработкой персональных данных является соблюдение операторами обязательных требований в области персональных данных, установленных Федеральным законом «О персональных данных» и принимаемыми в соответствии с ним иными нормативными правовыми актами Российской Федерации.

Под оператором понимается контролируемое лицо, самостоятельно или совместно с другими контролируемыми лицами организующее и (или) осуществляющее обработку персональных данных, в том числе на основании поручения, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2. Федеральный государственный контроль (надзор) за обработкой персональных данных осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — контролирующий орган) и его территориальными органами.

3. Должностными лицами, уполномоченными на осуществление федерального государственного контроля (надзора) за обработкой персональных данных, являются:

а) руководитель контролирующего органа;

б) заместитель руководителя контролирующего органа;

в) руководитель территориального органа контролирующего органа;

г) заместитель руководителя территориального органа контролирующего органа;

д) должностные лица контролирующего органа, в должностные обязанности которых в соответствии с должностным регламентом или должностной инструкцией входит реализация полномочий по осуществлению данного вида контроля (надзора), в том числе проведение профилактических мероприятий и контрольных (надзорных) мероприятий;

е) должностные лица территориального органа контролирующего органа, в должностные обязанности которых в соответствии с должностным регламентом или должностной инструкцией входит реализация полномочий по осуществлению данного вида контроля (надзора), в том числе проведение профилактических мероприятий и контрольных (надзорных) мероприятий.

4. Должностными лицами, уполномоченными на принятие решений о проведении контрольных (надзорных) мероприятий, являются:

а) руководитель контролирующего органа;

б) заместитель руководителя контролирующего органа;

в) руководитель территориального органа контролирующего органа;

г) заместитель руководителя территориального органа контролирующего органа.

5. Должностные лица, осуществляющие федеральный государственный контроль (надзор) за обработкой персональных данных при проведении контрольного (надзорного) мероприятия в пределах своих полномочий и в объеме проводимых контрольных (надзорных) действий, пользуются правами, установленными частью 2 статьи 29 Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».

6. К отношениям, связанным с осуществлением федерального государственного контроля (надзора) за обработкой персональных данных, применяются положения Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», за исключением контрольных (надзорных) мероприятий, проводимых без взаимодействия с контролируемым лицом.

7. Объектами контроля контролирующего органа (территориального органа) в рамках государственного контроля (надзора) за обработкой персональных данных являются:

а) деятельность и результаты деятельности операторов и третьих лиц, действующих по поручению оператора (далее — объекты контроля), по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации;

б) результаты деятельности по разработке документов и локальных актов контролируемых лиц по обработке персональных данных, указанных в части 1 статьи 181 Федерального закона «О персональных данных», и принятых оператором мер, указанных в части 1 статьи 181 Федерального закона «О персональных данных».

8. Контролирующим органом (территориальным органом) учет объектов контроля обеспечивается посредством ведения единой информационной системы контролирующего органа (далее — информационная система), предусматривающей соответствующий функционал.

Учет объектов контроля осуществляется уполномоченными должностными лицами контролирующего органа (территориального органа) на основании вводимой в информационную систему информации:

содержащейся в уведомлении об обработке персональных данных объекта контроля, поступившем в контролирующий орган (территориальный орган) в соответствии со статьей 22 Федерального закона «О персональных данных»;

полученной в рамках межведомственного взаимодействия в порядке и сроки, которые установлены законодательством Российской Федерации;

о результатах контрольных мероприятий в отношении контролируемых лиц, размещаемой в информационной системе по окончании контрольных мероприятий в сроки, установленные законодательством Российской Федерации;

полученной из общедоступных источников информации.

Дополнение, изменение информации, на основании которой в информационной системе осуществляется учет объектов контроля, обеспечиваются уполномоченными должностными лицами контролирующего органа (территориального органа) при поступлении в контролирующий орган (территориальный орган) актуализированных сведений.

9. При осуществлении федерального государственного контроля (надзора) за обработкой персональных данных применяется система оценки и управления рисками.

10. Контролирующий орган (территориальный орган) при осуществлении государственного контроля (надзора) относит поднадзорные объекты к одной из следующих категорий риска причинения вреда (ущерба) (далее — категории риска):

а) высокий риск;

б) значительный риск;

в) средний риск;

г) умеренный риск;

д) низкий риск.

12. Плановые контрольные (надзорные) мероприятия в отношении объектов контроля в зависимости от присвоенной категории риска проводятся со следующей периодичностью:

в отношении объектов контроля, отнесенных к категории высокого риска, — инспекционный визит или выездная проверка с периодичностью один раз в 2 года;

в отношении объектов контроля, отнесенных к категории значительного риска, — инспекционный визит или выездная проверка с периодичностью один раз в 3 года;

в отношении объектов контроля, отнесенных к категории среднего риска, — инспекционный визит или документарная проверка или выездная проверка с периодичностью один раз в 4 года;

в отношении объектов контроля, отнесенных к категории умеренного риска, — документарная проверка или выездная проверка с периодичностью один раз в 6 лет.

В отношении контролируемых лиц, деятельность которых в связи с обработкой персональных данных отнесена к категории низкого риска, плановые контрольные (надзорные) мероприятия не проводятся.

13. При осуществлении государственного контроля (надзора) за обработкой персональных данных могут проводиться следующие виды профилактических мероприятий:

а) информирование;

б) обобщение правоприменительной практики;

в) объявление предостережения;

г) консультирование;

д) профилактический визит.

14. Информирование контролируемых лиц по вопросам соблюдения обязательных требований осуществляется посредством размещения соответствующих сведений на официальном сайте контролирующего органа в информационно-телекоммуникационной сети «Интернет» (далее — есть «Интернет#), в средствах массовой информации, в личных кабинетах контролируемых лиц в информационной системе.

15. Контролирующий орган размещает и поддерживает в актуальном состоянии на своем официальном сайте в сети «Интернет» сведения, предусмотренные статьей 46 Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».

Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

С 01 марта 2021 года вступают в силу новые правила обработки персональных данных, сделанных доступными неопределенному кругу третьих лиц «общедоступных персональных данных».

Поправки введены законом N 519-ФЗ от 30.12.2020 и существенным образом меняют порядок использования персональных данных, находящихся в общем доступе, и в первую очередь, размещенных на сайтах в сети Интернет.

Из закона исключается понятие «персональные данные, сделанные общедоступными субъектом персональных данных», используемое в качестве правового основания обработки таких ПДн любыми лицами (пп.10 п.1 ст.6 152-ФЗ). Взамен вводится понятие «персональные данные, разрешенные субъектом персональных данных для распространения».

Принципиальное отличие этих понятий в режиме использования персональных данных, доступ к которым предоставляется третьим лицам. Новые условия предусматривают получение отдельного согласия субъекта ПДн на их распространение и обработку третьими лицами, тогда как ранее такое согласие предполагалось (достаточно было доказать факт их публикации субъектом ПДн или с его разрешения).

Как следствие, с 01 марта 2021 года нельзя собирать и использовать опубликованные в Интернете сведения об отдельном лице или массово извлекать и осуществлять последующее использование персональных данных с сайтов и прочих ИСПДн в автоматическом режиме (посредством «парсинга»), если не получено согласие каждого субъекта на такие действия. Ссылка на то, что сведения «общедоступны» перестает работать.

Специальный Федеральный закон №152 «О персональных данных» был принят в России в 2006 году. С тех пор в нашей стране четко регламентированы все моменты, которые касаются получения, применения, передачи и других манипуляций с персональными данными граждан. Также этот документ регулирует вопросы защиты этой информации.

«Основная задача этого федерального закона — защита прав и свобод каждого россиянина в ходе обработки его персональных данных, — разъясняет Дарья Морозова. — В широком смысле это означает защищенность личной жизни любого гражданина, его персональной и/или семейной тайны, например если речь идет об усыновленных детях, правду о рождении которых решено не открывать».

Изменения в ФЗ 152 «О персональных данных» с 01.03.2021

Закон определяет персональные данные человека как информацию, которая прямо либо косвенно относится к этому человеку — так называемому субъекту ПД. Наиболее распространенным примером такой информации можно назвать ФИО, адрес проживания, семейное положение, занимаемую должность, паспортные данные и так далее.

«Вместе с тем есть определенные нюансы, которые тоже рассматриваются в законодательстве. К примеру, имя или даже ФИО полностью сами по себе не рассматриваются как персональные данные. То есть если на бланке написать, например, Сидоров Петр Иванович, то на этом основании нельзя сделать вывод, что персональные данные некоего гражданина Сидорова находятся в свободном доступе и его личные права ущемлены. К категории персональных можно отнести лишь сведения, предоставленные в комбинированном виде, например ФИО в сочетании с датой рождения или местом работы», — уточняет наш эксперт.

Как мы уже заметили, субъектами ПД признаны все граждане. Из этого следует, что каждый из нас вправе защитить свою частную информацию от нежелательного использования. Данные требования определены постановлениями №1119 и №687 Правительства РФ, а уполномоченными органами, которые обеспечивают контроль исполнения этих требований — то есть, защиту гражданского права — выступают такие организации, как Роскомнадзор, ФСТЭК России и ФСБ России. Что же касается места стечения персональных данных, которые затем подвергают обработке, то оно может существовать как физически, так и виртуально. Его называют Центром обработки персональных данных. Эта структура представляет собой централизованное хранилище, состоящее из множества компьютерных систем, осуществляющих управление персональной информацией, а также ее хранением и передачей.

Общие. Это данные, которые содержат в себе основную информацию о гражданине. Это уже упомянутые ФИО, паспортные данные, место проживания, семейное положение, уровень дохода, дата рождения и т. д. Напомним также, что по отдельности каждый из этих пунктов не будет принадлежать к ПД.

Биометрические. К этой категории данных относятся отпечатки пальцев, радужная оболочка глаз и аналогичная информация, которая может помочь определить личность человека. Такие данные очень востребованы в визовых службах, на таможне и других современных пунктах идентификации.

Общедоступные персонифицированные. Это, как правило, информация о личной жизни и материальном положении руководителей крупных компаний, политиков, звезд шоу-бизнеса и других известных людей. Такие данные можно найти в открытых источниках, поэтому для их использования не требуется дополнительных разрешений.

Обезличенные персональные. Владея этой информацией вы не сможете определить, какому конкретному физлицу она принадлежит.

Специальные. Речь здесь об информации, которая содержится в медицинских картах, личных делах работников предприятий, закрытых реестрах и других аналогичных документах. Это, в частности, религиозные установки граждан, их расовая принадлежность, наличие хронических заболеваний и т. д.

Под согласием на обработку ПД принято понимать добровольное решение гражданина представить другому гражданину (оператору) или организации те или иные свои персональные данные, чтобы впоследствии производить их обработку для конкретных целей. Как правило, такое согласие оформляют в письменном виде, однако закон также предусматривает получение одобрения на обработку ПД и в любом другом виде, главное при этом — чтобы оператор мог подтвердить, что согласие им получено: например, в качестве этого документа может выступать «галочка», поставленная гражданином в электронной форме в процессе его регистрации на интернет-сайте.

«Стоит также обратить внимание на пункты, которые должны в обязательном порядке содержаться в согласии. — продолжает Дарья Морозова. — К таким пунктам относятся ФИО, адрес и паспортные данные гражданина, данные об операторе, принявшем от гражданина персональную информацию, перечень предоставленных сведений и цель обработки, срок выдачи согласия, пути его отзыва при необходимости и, безусловно, личная подпись носителя персональных данных».

Обеспечивать защиту персональных данных граждан в России обязана организация, которая осуществляет их обработку. Это закреплено в ст. 19 уже упомянутого нами ФЗ «О персональных данных». Если нормы законодательства нарушены и произошел «слив» персональных данных, то в отношении нарушителя предусмотрена ответственность различного рода — от дисциплинарной и административной до уголовной.

Парсинг общедоступных данных с 1 марта 2021 запрещен

Да, если соблюдено одно из указанных условий.

  • На вашем сайте в открытом доступе размещаются ПД.
  • Вы собираете и структурируете ПД, размещенные в открытом доступе.
  • Вы публикуете ПД в печатной или иной форме, при которой ПД находятся в открытом доступе.

    Пример: социальные сети, сайты объявлений, форумы, печатные издания с объявлениями и т.д.

Нет, если соблюдено одно из указанных условий.

  • На вашем сайте размещаются ПД, доступ к которым есть только у зарегистрированных пользователей, т.е. оператор может ограничить и определить круг лиц, имеющих доступ к ПД.

    Эта позиция была устно донесена Роскомнадзором в ходе ответов на вопросы на дне открытых дверей 28 января 2021 г. В отсутствие письменных разъяснений остается довериться данной позиции и надеяться на то, что Роскомнадзор не изменит ее.

    Пример: закрытая корпоративная социальная сеть или сайт-интегратор объявлений, на котором доступ к ПД продавцов можно получить только после регистрации на сайте.

  • Ваша компания распространяет или предоставляет ПД в определенных законом государственных, общественных или публичных интересах независимо от того, что распространение или предоставление ПД запрещено самим лицом2.

    Под государственными, общественными и публичными интересами в основном понимаются вопросы безопасности государства, граждан и т.д. Поэтому сложно придумать реальный случай, когда коммерческая организация могла бы прикрыться данным пунктом закона.

  • Вы являетесь государственным органом власти или органом местного самоуправления, распространяющим ПД в силу выполнения возложенных на вас полномочий3.

Оператор может быть привлечен к административной ответственности. До 27 марта 2021 г. размер штрафа составит:

  • от 5 до 10 тыс. руб. – для индивидуального предпринимателя;
  • от 30 до 50 тыс. руб. – для компании24.

С 27 марта 2021 г. размер штрафов увеличивается:

  • от 10 до 20 тыс. руб. – для индивидуального предпринимателя;
  • от 60 до 100 тыс. руб. – для компании.

Полагаем, самый надежный и менее затратный способ соблюсти требования Закона о персональных данных для тех компаний, чьи сайты содержат ПД субъектов, – закрыть сайты для незарегистрированных пользователей. По крайней мере, до тех пор, пока не сформируется судебная практика и не появится точная позиция Роскомнадзора относительно применения положений Закона о распространении ПД.

Сложнее обстоит дело с компаниями, которые собирают ПД из открытых источников. Такие компании, на наш взгляд, обязаны получать у субъектов:

  • согласие на обработку ПД, если компания хочет обрабатывать ПД без распространения;
  • согласие на распространение, если компания хочет распространять ПД субъекта.

Компаниям, которые распространяют ПД не в интернете, также необходимо получать у субъекта согласие на распространение, даже в том случае, если распространение ПД необходимо для исполнения договора в интересах субъекта.


1 Федеральный закон от 30 декабря 2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”».

2 Часть 11 ст. 10.1 Закона о персональных данных (далее – Закон).

3 Часть 15 ст. 10.1 Закона.

4 Пункт 1 ч. 1 ст. 6 Закона.

5 Пункт 5 ч. 1 ст. 6 Закона.

6 Часть 3 ст. 20 Закона.

7 Часть 5 ст. 21 Закона.

8 Пункт 1.1 ч. 1 ст. 3 Закона.

9 Часть 1 ст. 10.1 Закона.

10 Часть 9 ст. 9 Закона.

11 Часть 1 ст. 10.1 Закона.

12 Часть 9 ст. 10.1 Закона.

13 Часть 6 ст. 10.1 Закона.

14 Часть 8 ст. 10.1 Закона.

15 Часть 10 ст. 10.1 Закона.

16 Часть 4 ст. 10.1 Закона.

17 Часть 5 ст. 10.1 Закона.

18 Часть 12 ст. 10.1 Закона.

19 Часть 13 ст. 10.1 Закона.

20 Часть 14 ст. 10.1 Закона.

21 Часть 2 ст. 10.1 Закона.

22 Пункт 10 ч. 1 ст. 6 Закона.

23 Определение Верховного Суда РФ от 29 января 2018 г. № 305-КГ17-21291.

24 Часть 1 ст. 13.11 КоАП РФ.

Согласие на обработку персональных данных, разрешенных их субъектом для распространения, должно содержать следующую информацию:

РЕКВИЗИТ СОГЛАСИЯ

1 Фамилия, имя, отчество (при наличии) субъекта персональных данных
2 Контактная информация – номер телефона, адрес электронной почты или почтовый адрес субъекта
3 Сведения об операторе-организации:
  • наименование;
  • адрес в ЕГРЮЛ;
  • ИНН;
  • ОГРН (если известен субъекту персональных данных).

Сведения об операторе – физическом лице:

  • фамилия, имя, отчество (при наличии);
  • место жительства или место пребывания;

Сведения об операторе – ИП:

  • фамилия, имя, отчество (при наличии);
  • ИНН;
  • ОГРН (если известен субъекту персональных данных).
4 Сведения об информационных ресурсах оператора, посредством которых будет предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта

Это адрес, состоящий из:

  • наименования протокола (http или https), сервера (www), домена, имени каталога на сервере;
  • имя файла веб-страницы.
5 Цель (цели) обработки персональных данных
6 Категории и перечень персональных данных, на обработку которых дано согласие:
  • персональные данные (Ф.И.О. (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, о субъекте персональных данных);
  • специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
  • биометрические персональные данные.
7 Категории и перечень персональных данных, для обработки которых субъект устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта)
8 Условия, при которых полученные персональные данные оператор, осуществляющий их обработку, может передавать (заполняется по желанию субъекта):
  • только по своей внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников;
  • либо с использованием информационно-телекоммуникационных сетей (Интернет);
  • либо без передачи полученных персональных данных.
9 Срок действия согласия

В завершение отметим, что как такого бланка Согласия на обработку персональных данных, разрешенных их субъектом для распространения, Роскомнадзор не приводит. Поэтому каждая организация (ИП, физлицо) формируют его на своё усмотрение, но с обязательным приведением перечисленных 9 реквизитов.

Добавить комментарий

Ваш адрес email не будет опубликован.

Для любых предложений по сайту: [email protected]