Что нового в 152 фз
Что нового в 152 фз
Редакция от 30.12.2020
(с изм. и доп., вступ. в силу с 01.03.2021)
Редакция подготовлена на основе изменений, внесенных Федеральным законом от 30.12.2020 N 519-ФЗ. См. справку к редакции.
Дополнение статьи 3 пунктом 1.1. См. текст новой редакции
1.1) персональные данные, разрешенные субъектом персональных данных
лиц к которым предоставлен субъектом персональных данных путем дачи
согласия на обработку персональных данных, разрешенных субъектом
персональных данных для распространения в порядке, предусмотренном
настоящим Федеральным законом;
Дополнение статьи 9 частью 9. См. текст новой редакции
9. Требования к содержанию согласия на обработку персональных данных,
разрешенных субъектом персональных данных для распространения,
устанавливаются уполномоченным органом по защите прав субъектов
2) персональные данные сделаны 2) обработка персональных
общедоступными субъектом данных, разрешенных субъектом
персональных данных; персональных данных для
распространения, осуществляется с
соблюдением запретов и условий,
предусмотренных статьей 10.1
настоящего Федерального закона;
Дополнение статьей 10.1. См. текст новой редакции
В связи с большим объемом введенной структурной единицы в данном
обзоре ее текст не приводится.
3) персональные данные сделаны 3) обработка персональных
общедоступными субъектом данных, разрешенных субъектом
персональных данных или получены персональных данных для
из общедоступного источника; распространения, осуществляется с
соблюдением запретов и условий,
предусмотренных статьей 10.1
настоящего Федерального закона;
4) сделанных субъектом 4) разрешенных субъектом
персональных данных персональных данных для
общедоступными; распространения при условии
Изменения в ФЗ 152 «О персональных данных» с 01.03.2021
Что изменилось в режиме обработки «общедоступных данных»
С 01 марта 2021 года вступают в силу новые правила обработки персональных данных, сделанных доступными неопределенному кругу третьих лиц «общедоступных персональных данных».
Поправки введены законом N 519-ФЗ от 30.12.2020 и существенным образом меняют порядок использования персональных данных, находящихся в общем доступе, и в первую очередь, размещенных на сайтах в сети Интернет.
Из закона исключается понятие «персональные данные, сделанные общедоступными субъектом персональных данных», используемое в качестве правового основания обработки таких ПДн любыми лицами (пп.10 п.1 ст.6 152-ФЗ). Взамен вводится понятие «персональные данные, разрешенные субъектом персональных данных для распространения».
Принципиальное отличие этих понятий в режиме использования персональных данных, доступ к которым предоставляется третьим лицам. Новые условия предусматривают получение отдельного согласия субъекта ПДн на их распространение и обработку третьими лицами, тогда как ранее такое согласие предполагалось (достаточно было доказать факт их публикации субъектом ПДн или с его разрешения).
Как следствие, с 01 марта 2021 года нельзя собирать и использовать опубликованные в Интернете сведения об отдельном лице или массово извлекать и осуществлять последующее использование персональных данных с сайтов и прочих ИСПДн в автоматическом режиме (посредством «парсинга»), если не получено согласие каждого субъекта на такие действия. Ссылка на то, что сведения «общедоступны» перестает работать.
Требуется ли владельцам сайтов согласие на обработку публикуемых персональных данных
Нужно понимать, что отдельное согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, требуется только для случаев, когда нет иных законных оснований для их обработки.
Обычно владельцы сайтов осуществляют сбор и последующее использование персональных данных пользователей в целях заключения или исполнения договора. Это самостоятельное основание для обработки ПДн, не требующее отдельного согласия (пп.5 п.1 ст.6 ФЗ 152). В таком случае достаточно сформулировать условия договора с пользователем в общем виде в Пользовательском соглашении, а порядок обработки ПДн включить в Политику конфиденциальности.
Если сайт позволяет публиковать персональные данные в общем доступе, то важно обозначить, что пользователь раскрывает такие данные неопределенному кругу лиц по собственной инициативе (п.2 ст.10.1 ФЗ 152 в новой редакции). Для предоставления доступа к таким сведениям третьим лицам администрации не требуется отдельное согласие субъекта, поскольку у нее есть действующий договор. Однако третьим лицам потребуется подтвердить наличие законных оснований для копирования материалов с сайта и их последующего использования, поскольку прямого договора с субъектом у них нет.
Возьмем в качестве наглядного примера вариант сайта, на котором персональные данные публикуются администрацией. В основном, это корпоративные сайты с фотографиями сотрудников компании, их именами, телефонами и электронными адресами, размещаемыми в имиджевых или сервисных целях. У администрации отсутствует договор с сотрудником, предусматривающий обработку его ПДн указанным способом. Поэтому требуется получить отдельное согласие на предоставление доступа и распространение ПДн сотрудника на сайте компании.
Таким образом, изменения направлены на пресечение бесконтрольного использования персональных данных неопределенным кругом лиц. Субъекту вернули контроль над его персональными данными. Теперь он волен давать согласие на обработку ПДн неопределенным кругом лиц или конкретным лицам, вводить ограничения и условия использования отдельных персональных данных, опубликованных в общем доступе.
Ограничения и условия использования персональных данных
Наибольшие затруднения с правовой и технической стороны вызывают изменения 152-ФЗ в части возможности установления субъектом персональных данных в согласии ограничений и условий их использования.
Оператор ПДн обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения (п.1 ст.10.1 ФЗ 152).
Если в согласии прямо не указано, что субъект не установил запретов и условия их использовании или не определил категории и перечень ПДн, к которым такие запреты и условия относятся, оператор ПДн вправе осуществлять их обработку без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц (п.5 ст.10.1 ФЗ 152).
На основании п.9 новой статьи 10.1 ФЗ 152, в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
При этом оператор обязан обеспечить субъекту возможность установления запретов и условий использования персональных данных. Отказ оператора в установлении субъектом персональных данных предусмотренных выше запретов и условий, не допускается.
Более того оператор, оператор обязан в срок не позднее 3 рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения (п.10 ст.10.1 ФЗ 152).
Иными словами, для обеспечения возможности использования третьими лицами опубликованных в общем доступе персональных данных, помимо ознакомления с ними (получения доступа), владелец сайта (оператор ИСПДн) обязан получить согласие субъекта на их распространение. Одновременно оператор должен обеспечить возможность установления запретов и условий использования отдельных категорий и перечня ПДн и опубликовать данную информацию.
Представьте себе сайт для поиска работы, на котором публикуются резюме соискателей, или доску объявлений, где есть контактные данные пользователей. Как обеспечить с 1 марта возможность копирования с них персональной информации пользователей, размещенной в общем доступе?
Выше мы рассмотрели 2 варианта правовых оснований для обработки ПДн: по договору и на основании согласия. Что необходимо сделать в каждом из указанных случаев?
При наличии договора с субъектом ПДн согласие необходимо получать для обеспечения возможности копирования и последующего использования персональных данных неопределенным кругом лиц. Если такой задачи перед администрацией сайта не стоит, можно ограничиться включением в соглашение (договор) с пользователем и политику конфиденциальности, условий о возможности из предоставления заранее определенному кругу лиц (например, агентствам по подбору персонала или работодателям в примере с сайтами поиска работы).
Если владелец сайта по каким-то причинам намерен распространять ПДн пользователей заранее неопределенному кругу лиц (например, любым интернет-пользователям), потребуется выполнить план мероприятий по ограничению копирования третьими лицами персональных данных пользователей до получения тельных согласий, обеспечению возможности установления различных запретов и условий использования таких данных и публикации таких сведений совместно с такими данными.
Полагаем, что операторов, желающих делиться данными со всеми, найдется не много. Поэтому поправки в ФЗ 152 в целом можно воспринимать в положительном ключе для большинства агрегаторов, поскольку они явным образом запрещают парсинг. Для корпоративных сайтов новшества не несут ничего хорошего, т.к. потребуется получать отдельные согласия со всех субъектов, персональные данные которых у них публикуются.
Персональные данные. Основные изменения 2021 года
Количество просмотров: 666
В конце декабря 2020 года в Федеральный закон «О персональных данных» № 152-ФЗ от 27.07.2006 были внесены значительные изменения. Изменения вступали в силу в два этапа:
с 1 марта 2021 – основная часть,
с 1 июля 2021 г. – часть положений.
Основная цель поправок – избежать неконтролируемого использования общедоступных персональных данных на интернет-сайтах в целях, отличных от цели их первоначального распространения.
Появилось новое понятие – персональные данные (далее – ПДн), разрешенные субъектом ПДн для распространения.
Отличительными особенностями таких ПДн является то, что это ПДн, к которым имеет доступ неограниченный круг лиц и они разрешены для распространения субъектом ПДн в установленном законом порядке.
Для обработки таких данных необходимо специальное согласие субъекта этих ПДн, которое нужно оформлять отдельно от других подобных согласий (п. 5 ст. 1 ФЗ № 519-ФЗ). Такое согласие разрабатывается непосредственно оператором либо с помощью информационной системы Роскомнадзора и оформляется на русском языке. Оператор обязан обеспечить субъекту ПДн возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии.
Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения по приказу Роскомнадзора № 18 от 24.02.2021, должно включать:
ФИО субъекта ПДн (работника), его контактную информацию (номер телефона, адрес электронной почты или почтовый адрес);
данные оператора, его информационные ресурсы;
цель обработки, категории и перечень ПДн;
условия, при которых полученные ПДн могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных работников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных ПДн;
срок действия согласия.
Требования к содержанию такого согласия вступили в силу с 01.09.21 и будут действовать до 01.09.27.
Оператор обязан в срок не позднее 3 рабочих дней с момента получения согласия субъекта опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения.
Оператору важно знать, что:
молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом для распространения;
если субъект ПДн сам раскрыл третьим лицам информацию о себе и не дал оператору ПДн согласие, то доказывать законность дальнейшей обработки таких сведений обяжут тех, кто этой информацией занимался. Это касается и случаев, когда раскрытие произошло из-за правонарушения, преступления или обстоятельств непреодолимой силы;
передачу разрешенных для распространения ПДн нужно будет прекратить в любое время по требованию их субъекта;
в случае несоблюдения новых правил субъект сможет потребовать прекратить передачу ПДн от любого лица, которое их обрабатывает, или обратиться в суд;
если из предоставленного согласия на обработку ПДн, разрешенных для распространения, не следует, что субъект согласился с распространением ПДн, такие ПДн обрабатываются оператором без права распространения.
С 27.03.2021 ужесточилась административная ответственность за нарушения в области персональных данных, вдвое увеличиваются штрафы (Федеральный закон от 24.02.2021 № 19-ФЗ):
срок давности привлечения к ответственности теперь составляет 1 год (ранее – 3 месяца);
суммы штрафов составляют:
штраф за обработку ПДн в случаях, не предусмотренных законодательством либо несовместимых с целями сбора ПДн
на ИП – до 20 000 руб.
на ЮЛ – до 100 000 руб.
вводится штраф за повторное нарушение
штраф за обработку ПДн без получения согласия субъекта ПДн, если оно должно быть либо если в согласии отсутствуют обязательные сведения
на ИП – до 40 000 руб.
на ЮЛ – до 300 000 руб.
вводится штраф за повторное нарушение
штраф за необеспечение неограниченного доступа к политике по обработке ПДн или к информации о требованиях к их защите
на ИП – до 20 000 руб.
на ЮЛ – до 60 000 руб.
штраф за непредоставление субъекту ПДн информации, касающейся обработки его ПДн
на ИП – до 30 000 руб.
на ЮЛ – до 80 000 руб.
штраф за невыполнение оператором в установленные сроки требования субъекта об уточнении ПДн, блокировании или уничтожении
на ИП – до 40 000 руб.
на ЮЛ – до 90 000 руб.
вводится штраф за повторное нарушение
штраф за несоблюдение условий защиты персональных данных на материальных носителях
на ИП – до 40 000 руб.
на ЮЛ – до 90 000 руб.
Из чего состоит пакет документов по персональным данным для работодателя?
Политика обработки ПДн.
Положение «О персональных данных работников».
Приказ о назначении ответственных за обработку ПДн.
Приказ об установлении права доступа к ПДн (полный/ограниченный).
Обязательство о неразглашении ПДн с работниками, которые имеют доступ к ПДн (согласно Приказу).
Согласие на обработку ПДн от работника.
Согласие на передачу ПДн третьим лицам (по необходимости).
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения (по необходимости).
Заявление об отзыве согласия на обработку/передачу/распространение своих ПДн (образец для работника).
Уведомление в Роскомнадзор (по необходимости).
Новый законопроект о персональных данных: как изменилась работа рекрутеров
⏱ Время прочтения — 9 минут
В эпоху цифровизации персональные данные (ПД) называют информационным товаром и «нефтью XXI века». В 2021 году серьезно изменился порядок обращения с ПД. Законопроект о распространении персданных привел к масштабным изменениям — часть из них вступила в силу в марте, а с 1 сентября 2021 года вводятся новые требования к получению согласия на распространение ПД.
Разбираемся вместе с экспертами в нюансах новых требований закона применительно к рекрутменту. Вопросов много. Как теперь HR-менеджерам работать с личной информацией кандидатов? Какие новшества нужно строго соблюдать и за что компаниям грозят многомиллионные штрафы?
Сперва разберемся, что относится к персональным данным с точки зрения кандидата и работодателя.
Персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу ( субъекту персональных данных — кандидату). С точки зрения рекрутмента — это почти все сведения, которые собирают о соискателе, субъекте ПД: Ф. И. О., опыт работы, доходы, образование и пр.
Оператор — потенциальный работодатель. Обработчик — тот, кто обрабатывает персональные данные по поручению оператора. Обработчиками в рекрутменте выступают те, кого работодатель нанял для поиска новых сотрудников (кадровые агентства, job-сайты, ATS- и CRM-системы). Кстати, если вы сохраняете резюме на свой компьютер, значит, уже занимаетесь обработкой персональных данных.
Новый закон и его последствия
За последний год на рассмотрение парламентариев было внесено несколько громких законопроектов, связанных с ПД, часть инициатив утвердили. Один из самых обсуждаемых документов, который уже вступил в силу, вносит изменения в порядок обращения с персональными данными граждан. Итак, главное новшество касается регулирования распространения ПД. С 1 марта 2021 г. вступили в силу изменения в Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных», а с 1 сентября 2021 года начинает действовать Приказ Роскомнадзора, в котором прописаны основные требования к форме согласия на обработку ПД.
Главные новшества в законодательстве о персональных данных — 2021
(статья 10.1 Федерального закона «О персональных данных»).
«Теперь работодатель как оператор должен проверять наличие согласия от кандидата не только на обработку, но и на распространение личной информации о нем, если собирает данные из открытых источников. Галочки под пользовательским соглашением недостаточно — должен быть отдельный документ, электронная форма на сайте. Эти новеллы всколыхнули и бизнес-сообщество, и юристов. 1 сентября замкнется круг законодательных изменений — приказ Роскомнадзора, вступающий в силу в первый день осени, четко определил, как согласие на распространение персданных должно выглядеть. Важный нюанс — в документе должны быть поля, где человек может записать, какие ПД он не разрешает распространять или разрешает с определенными условиями. Теперь рекрутеру нужно отслеживать содержание такого согласия», — объясняет Екатерина Метелкина, юрист hh.ru, эксперт по персональных данным.
9 обязательных пунктов в согласии на обработку персональных данных с 1.09.2021
(приказ Роскомнадзора от 24.02.2021 №18)
Миллионные штрафы — кого коснутся и при чем тут Google-таблицы?
Параллельно с бурными дискуссиями о новых законодательных ужесточениях возникло сразу несколько громких дел с зарубежными компаниями, связанных с обработкой персональных данных. Претензии Роскомнадзора заключались в нарушении требований локализации ПД граждан на территории РФ. Суд оштрафовал мессенджер WhatsApp на 4 млн руб. за отказ локализовать базы данных российских пользователей (по ч. 8 ст. 13.11 КоАП РФ), а соцсети Facebook и Twitter получили повторные штрафы 15 млн и 17 млн руб. соответственно (по ч. 9 ст. 13.11 КоАП РФ), сообщается на сайте Роскомнадзора. А ранее оштрафовали за нарушение правил локализации на 3 млн руб. компанию Google (также по ч. 8 ст. 13.11 КоАП РФ). По данным ведомства, хранение персональных данных российских пользователей локализовали около 600 представительств в РФ зарубежных компаний.
По мнению наших экспертов, такие проблемы могут затронуть не только крупный международный бизнес, но и российские частные компании, которые, например, используют Google-таблицы для хранения и обработки личной информации кандидатов. Как?
«Работодатель как оператор при сборе персональных данных обязан обеспечить запись, систематизацию, хранение, уточнение и извлечение этих сведений россиян с использованием баз данных на территории РФ. По данным РБК, этим летом ряд иностранных компаний (причем не только крупных) получили письма с требованием подтвердить факт локализации персданных на территории РФ (такое положение внесено согласно Федеральному закону №242-ФЗ от 01.09.2015). Штрафы очень чувствительные — до 6 млн рублей для юрлица за первое нарушение, до 18 млн рублей за повторное (ч. 8–9 ст. 13.11 КоАП РФ). Обратите на это внимание при выборе места, где будут храниться резюме кандидатов. Серверы должны размещаться в России», — советует Юрий Донников, директор юридического департамента и комплаенса hh.ru.
Распространенная ситуация: рекрутер работает с персональными данными кандидатов (Ф. И. О., контакты, ссылка на резюме или выдержки из него) в облачном хранилище. Часто им выступают Google-таблицы. Эксперты назвали такую практику «очень плохой», так как вы не можете выбрать локацию размещения сервера, где хранятся данные, облако Google может находиться в странах, не подпадающих под требования российского законодательства о трансграничной передаче ПД другим странам (ст. 12 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).
В таком случае при проверке компания не сможет предоставить информацию, где же хранятся персданные. Отсюда высоки риски штрафов. Кроме того, вы не управляете системой доступа, были прецеденты, когда информация, хранящаяся в облачных файлах, становилась общедоступной.
Как выбрать ATS-систему для соблюдения закона о ПД?
Как бизнесу соблюсти все требования, учесть все новые требования законодательства о персданных и не попасть на штрафы, ненамеренно разместив информацию на иностранных серверах? Сегодня компании устанавливают ATS-системы ( от англ. Applicant tracking system — система управления кандидатами), позволяющие автоматизировать процесс подбора персонала. Эти специальные программы, облегчающие жизнь рекрутерам, помогают соблюдать российское законодательство в части обработки и распространения персональных данных. Сложность в том, что система управления подбором персонала должна соответствовать государственным техтребованиям. Перечень пунктов большой. И помните: техническая защита ПД — это не разовое мероприятие. Вы должны периодически проводить проверку, правильно ли все настроено и как работает.
«Если у вас собственная ATS-система, вы несете полную ответственность за соблюдение всех требований по закону. Если размещаете систему у провайдера, небольшая часть технических требований ляжет на него. Проследите, чтобы у провайдера была лицензия на техническую защиту информации. Удобное решение — ATS как услуга, что снимет с вас риски технического несоответствия. Главное — проанализировать компанию и услугу и убедиться, что все требования 152-ФЗ соблюдены. Например, у hh.ru есть система Talantix, в которой учтены все аспекты, связанные с получением согласия субъекта и хранением его данных, так как “Хэдхантер” учитывает и реализует все технические требования к защите ПД, регулярно привлекает внешних специалистов для анализа соответствия таких требований. Также в системе Talantix есть автоматический запрос на обработку персданных», — советует Сергей Кортиков, независимый консультант по информационной безопасности.
Кстати, использование Talantix не предполагает распространение персональных данных, а если вы берете данные из источников, в которых не уверены, то можете направить запрос согласия субъекту при помощи функционала системы, подчеркнула юрист Екатерина Метелкина.
5 критериев выбора ATS-системы
По словам Марины Хадиной, директора по развитию Talantix, чтобы избежать рисков, рекрутер как менеджер проекта по внедрению программ должен учесть следующие моменты:
Законодатели отметили, что закон о распространении ПД — только начало большой работы по ужесточению правил обращения с персональными данными. Но это не должно стать проблемой для компаний, если они следят за автоматизированными решениями и предложениями по хранению и обработке данных, так как крупные провайдеры держат руку на пульсе, чтобы помочь HR-сообществу и бизнесу учесть эти и другие нововведения.
Согласие на обработку персональных данных: новые требования с 1 сентября 2021 года
Осенью вступает в силу Приказ Роскомнадзора, устанавливающий требования к содержанию согласия на обработку персональных данных, которые субъект данных разрешает распространять. Срок действия приказа — до 1 сентября 2027 года.
Последние значительные изменения в Федеральном законе от 27.07.2006 № 152-ФЗ начали действовать с 1 марта 2021 года. Они были внесены Федеральным законом от 30.12.2020 № 519-ФЗ и затронули вопрос предоставления доступа к данным субъекта через согласие на обработку таких данных. Поправки были инициированы с целью решить проблему бесконтрольного использования персональных данных граждан третьими лицами.
В законе подчеркивается, что согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно. А молчание или бездействие владельца данных ни при каких обстоятельствах не может восприниматься как согласие на их обработку.
В согласии на обработку данных, разрешенных для распространения, можно установить запреты:
Распространение персональных данных должно быть приостановлено в любое время по требованию субъекта, даже если ранее он дал на это согласие.
В п. 9 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ уточняется, что требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, устанавливаются Роскомнадзором. Эти требования ведомство прописало в Приказе от 24.02.2021 № 18, который вступает в силу с 1 сентября 2021 года.
Требования к сведениям, которые должны быть в согласии
В Приказе приводится перечень обязательных сведений субъекта персональных данных, которые должны содержаться в согласии на обработку:
По желанию субъекта персональных данных заполняется следующая информация:
Шаблон согласия на обработку ПД, разрешенных для распространения
Роскомнадзор решил помочь бизнесу и разработал специальный конструктор для формирования шаблона согласия. Рекомендуемый документ соответствует всем необходимым требованиям и учитывает особенности деятельности конкретного оператора.
Конструктор создавался с учетом правоприменительной практики и обращений операторов по оформлению согласия на обработку персональных данных, разрешенных для распространения.
Сервис Роскомнадзора предлагает заполнить поля, после этого шаблон рассматривается экспертами ведомства. При необходимости оператору даются рекомендации по доработке документа. Результаты проверки отправляются на электронный адрес, указанный в форме.
В дальнейшем оператор может использовать проверенную форму согласия в своей работе.
В шаблон согласия на обработку персональных данных от Роскомнадзора учитываются все сведения, указанные как обязательные в Приказе от 24.02.2021 № 18:
Напомним, что с 27 марта заметно выросли штрафы за нарушения в работе с персональными данными (Федеральный закон от 24.02.2021 № 19-ФЗ).
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.