Защита персональных данных: Изменения в 152-ФЗ

Защита персональных данных: Изменения в 152-ФЗ

Новый законопроект о персональных данных: как изменилась работа рекрутеров

В эпоху цифровизации персональные данные (ПД) называют информационным товаром и «нефтью XXI века». В 2021 году серьезно изменился порядок обращения с ПД. Законопроект о распространении персданных привел к масштабным изменениям — часть из них вступила в силу в марте, а с 1 сентября 2021 года вводятся новые требования к получению согласия на распространение ПД.

Разбираемся вместе с экспертами в нюансах новых требований закона применительно к рекрутменту. Вопросов много. Как теперь HR-менеджерам работать с личной информацией кандидатов? Какие новшества нужно строго соблюдать и за что компаниям грозят многомиллионные штрафы?

Сперва разберемся, что относится к персональным данным с точки зрения кандидата и работодателя.

Персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных — кандидату). С точки зрения рекрутмента — это почти все сведения, которые собирают о соискателе, субъекте ПД: Ф. И. О., опыт работы, доходы, образование и пр.

Оператор — потенциальный работодатель. Обработчик — тот, кто обрабатывает персональные данные по поручению оператора. Обработчиками в рекрутменте выступают те, кого работодатель нанял для поиска новых сотрудников (кадровые агентства, job-сайты, ATS- и CRM-системы). Кстати, если вы сохраняете резюме на свой компьютер, значит, уже занимаетесь обработкой персональных данных.

Новый закон и его последствия

За последний год на рассмотрение парламентариев было внесено несколько громких законопроектов, связанных с ПД, часть инициатив утвердили. Один из самых обсуждаемых документов, который уже вступил в силу, вносит изменения в порядок обращения с персональными данными граждан. Итак, главное новшество касается регулирования распространения ПД. С 1 марта 2021 г. вступили в силу изменения в Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных», а с 1 сентября 2021 года начинает действовать Приказ Роскомнадзора, в котором прописаны основные требования к форме согласия на обработку ПД.

Главные новшества в законодательстве о персональных данных — 2021
(статья 10.1 Федерального закона «О персональных данных»).

  1. Понятие «персональные данные, сделанные общедоступными субъектом персональных данных» заменили на другую формулировку — «персональные данные, разрешенные субъектом персональных данных для распространения».
  2. Распространение — действия, направленные на раскрытие персональных данных неопределенному кругу лиц; теперь вид обработки, требующий получения отдельного согласия у кандидата.
  3. Оператор перед обработкой данных, полученных из разных источников (социальные сети, сайты по поиску работы), должен проверять наличие согласия или другого основания для обработки таких сведений. Для этого стоит уточнять у владельцев job-сайтов, есть ли согласие на распространение ПД и для каких целей оно получено у соискателя.
  4. Оператор должен доказать законность сбора и последующего использования персданных кандидатов из открытых источников.

«Теперь работодатель как оператор должен проверять наличие согласия от кандидата не только на обработку, но и на распространение личной информации о нем, если собирает данные из открытых источников. Галочки под пользовательским соглашением недостаточно — должен быть отдельный документ, электронная форма на сайте. Эти новеллы всколыхнули и бизнес-сообщество, и юристов. 1 сентября замкнется круг законодательных изменений — приказ Роскомнадзора, вступающий в силу в первый день осени, четко определил, как согласие на распространение персданных должно выглядеть. Важный нюанс — в документе должны быть поля, где человек может записать, какие ПД он не разрешает распространять или разрешает с определенными условиями. Теперь рекрутеру нужно отслеживать содержание такого согласия», — объясняет Екатерина Метелкина, юрист hh.ru, эксперт по персональных данным.

9 обязательных пунктов в согласии на обработку персональных данных с 1.09.2021
(приказ Роскомнадзора от 24.02.2021 №18)

  1. Ф. И. О. кандидата.
  2. Контакты (телефон, адрес электронной почты или почтовый адрес).
  3. Сведения об операторе: организации (наименование, адрес, ИНН, основной государственный регистрационный номер), физлице — специалисте по подбору персонала (Ф. И. О., место жительства/пребывания), ИП (Ф. И. О., ИНН, основной государственный регистрационный номер).
  4. Сведения об информресурсах оператора, с помощью которого предоставят доступ неограниченному кругу лиц и другие действия с ПД: адреса, состоящего из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы.
  5. Цели обработки персональных данных — в рекрутменте это трудоустройство и кадровый резерв.
  6. Категории и перечень ПД, на обработку которых кандидат дает согласие.
  7. Категории и перечень ПД, для обработки которых соискатель устанавливает условия и запреты, список запретов (по желанию).
  8. Условия, при которых полученные данные оператор может распространять только по его внутренней сети, к которой есть доступ у определенных сотрудников.
  9. Срок действия согласия. Если цель — только трудоустройство, то срок действия — 30 дней, если и кадровый резерв, тогда срок можно увеличить при согласии соискателя.

Миллионные штрафы — кого коснутся и при чем тут Google-таблицы?

Параллельно с бурными дискуссиями о новых законодательных ужесточениях возникло сразу несколько громких дел с зарубежными компаниями, связанных с обработкой персональных данных. Претензии Роскомнадзора заключались в нарушении требований локализации ПД граждан на территории РФ. Суд оштрафовал мессенджер WhatsApp на 4 млн руб. за отказ локализовать базы данных российских пользователей (по ч. 8 ст. 13.11 КоАП РФ), а соцсети Facebook и Twitter получили повторные штрафы 15 млн и 17 млн руб. соответственно (по ч. 9 ст. 13.11 КоАП РФ), сообщается на сайте Роскомнадзора. А ранее оштрафовали за нарушение правил локализации на 3 млн руб. компанию Google (также по ч. 8 ст. 13.11 КоАП РФ). По данным ведомства, хранение персональных данных российских пользователей локализовали около 600 представительств в РФ зарубежных компаний.

По мнению наших экспертов, такие проблемы могут затронуть не только крупный международный бизнес, но и российские частные компании, которые, например, используют Google-таблицы для хранения и обработки личной информации кандидатов. Как?

«Работодатель как оператор при сборе персональных данных обязан обеспечить запись, систематизацию, хранение, уточнение и извлечение этих сведений россиян с использованием баз данных на территории РФ. По данным РБК, этим летом ряд иностранных компаний (причем не только крупных) получили письма с требованием подтвердить факт локализации персданных на территории РФ (такое положение внесено согласно Федеральному закону №242-ФЗ от 01.09.2015). Штрафы очень чувствительные — до 6 млн рублей для юрлица за первое нарушение, до 18 млн рублей за повторное (ч. 8–9 ст. 13.11 КоАП РФ). Обратите на это внимание при выборе места, где будут храниться резюме кандидатов. Серверы должны размещаться в России», — советует Юрий Донников, директор юридического департамента и комплаенса hh.ru.

Распространенная ситуация: рекрутер работает с персональными данными кандидатов (Ф. И. О., контакты, ссылка на резюме или выдержки из него) в облачном хранилище. Часто им выступают Google-таблицы. Эксперты назвали такую практику «очень плохой», так как вы не можете выбрать локацию размещения сервера, где хранятся данные, облако Google может находиться в странах, не подпадающих под требования российского законодательства о трансграничной передаче ПД другим странам (ст. 12 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).

В таком случае при проверке компания не сможет предоставить информацию, где же хранятся персданные. Отсюда высоки риски штрафов. Кроме того, вы не управляете системой доступа, были прецеденты, когда информация, хранящаяся в облачных файлах, становилась общедоступной.

Как выбрать ATS-систему для соблюдения закона о ПД?

Как бизнесу соблюсти все требования, учесть все новые требования законодательства о персданных и не попасть на штрафы, ненамеренно разместив информацию на иностранных серверах? Сегодня компании устанавливают ATS-системы (от англ. Applicant tracking system — система управления кандидатами), позволяющие автоматизировать процесс подбора персонала. Эти специальные программы, облегчающие жизнь рекрутерам, помогают соблюдать российское законодательство в части обработки и распространения персональных данных. Сложность в том, что система управления подбором персонала должна соответствовать государственным техтребованиям. Перечень пунктов большой. И помните: техническая защита ПД — это не разовое мероприятие. Вы должны периодически проводить проверку, правильно ли все настроено и как работает.

«Если у вас собственная ATS-система, вы несете полную ответственность за соблюдение всех требований по закону. Если размещаете систему у провайдера, небольшая часть технических требований ляжет на него. Проследите, чтобы у провайдера была лицензия на техническую защиту информации. Удобное решение — ATS как услуга, что снимет с вас риски технического несоответствия. Главное — проанализировать компанию и услугу и убедиться, что все требования 152-ФЗ соблюдены. Например, у hh.ru есть система Talantix, в которой учтены все аспекты, связанные с получением согласия субъекта и хранением его данных, так как “Хэдхантер” учитывает и реализует все технические требования к защите ПД, регулярно привлекает внешних специалистов для анализа соответствия таких требований. Также в системе Talantix есть автоматический запрос на обработку персданных», — советует Сергей Кортиков, независимый консультант по информационной безопасности.

Кстати, использование Talantix не предполагает распространение персональных данных, а если вы берете данные из источников, в которых не уверены, то можете направить запрос согласия субъекту при помощи функционала системы, подчеркнула юрист Екатерина Метелкина.

5 критериев выбора ATS-системы

По словам Марины Хадиной, директора по развитию Talantix, чтобы избежать рисков, рекрутер как менеджер проекта по внедрению программ должен учесть следующие моменты:

  1. Обратите внимание, как система запрашивает согласие на обработку персональных данных. Если резюме приходят из разных источников, то во многих случаях должно быть предусмотрено согласие на обработку ПД, разрешенных к распространению. Если есть сомнения, что сторонний онлайн-ресурс не собирает согласия с соискателей, тогда лучше дополнительно запросить его.
  2. Посмотрите, как оформлено согласие на обработку ПД. Должны быть указаны цели сбора — трудоустройство и кадровый резерв.
  3. Соблюдаются ли в системе требования по локализации данных — например, серверы Talantix располагаются на территории РФ. В данном случае система может выступать как первичная база данных, при этом вторичная база может находиться за пределами России, что актуально для зарубежных компаний.
  4. С точки зрения техтребований — есть ли у центра обработки данных, где размещается инфраструктура системы, лицензия на техническую защиту информации, разработана ли модель защиты от киберугроз.
  5. Проверьте, предусмотрены ли регулярные обновления системы с учетом изменений в законодательстве.

Законодатели отметили, что закон о распространении ПД — только начало большой работы по ужесточению правил обращения с персональными данными. Но это не должно стать проблемой для компаний, если они следят за автоматизированными решениями и предложениями по хранению и обработке данных, так как крупные провайдеры держат руку на пульсе, чтобы помочь HR-сообществу и бизнесу учесть эти и другие нововведения.

Приняты изменения закона 152-ФЗ в части распространения ПДн неограниченному кругу лиц

Обзор поправок «О персональных данных» от 30.12.2020

  1. В первую очередь введено новое понятие «персональные данные, разрешенные субъектом персональных данных для распространения». Это такие ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
  2. Условие, допускающее обработку общедоступных персональных данных (пункт 10 части 1 статьи 6) из закона будет удалено.
  3. Требования к содержанию согласия на распространение персональных данных будут установлены Роскомнадзором.
  4. Обработка специальных категорий персональных данных, разрешенных субъектом ПДн для распространения, должна осуществляться с соблюдением запретов и условий, предусмотренных новой статьёй 10.1:
    • согласие на обработку персональных данных, разрешенных субъектом ПДн для распространения, должно оформляться отдельно от иных согласий субъекта;
    • должна быть обеспечена возможность субъекта определить перечень персональных данных, на распространение которых он дает своё согласие;
    • если оператор не имеет согласия субъекта, он обязан предоставить доказательства законности последующего распространения или иной обработки таких персональных данных;
    • оператор не имеет права распространять персональные данные, если из согласия не следует, что субъект персональных данных согласился с распространением;
    • оператор не имеет права распространять персональные данные, если в согласии не установлены запреты и условия или не указаны категории и перечень ПДн, в отношении которых установлены такие запреты и условия;
    • согласие на распространение персональных данных, может быть предоставлено оператору непосредственно либо с использованием информационной системы Роскомнадзора (должна быть запущена до 1 июля 2021г);
    • порядок взаимодействия субъекта ПДн с оператором, а также правила использования вышеуказанной информационной системы должны быть определены Роскомнадзором;
    • молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не могут считаться согласием на распространение ПДн;
    • в согласии на распространение субъект вправе установить запреты оператором на передачу (кроме предоставления доступа), на обработку или условия обработки (кроме получения доступа) персональных данных неограниченному кругу лиц;
    • оператор в течение трех рабочих дней с момента получения соответствующего согласия субъекта обязан опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц распространяемых ПДн;
    • установленные субъектом запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) распространяемых персональных данных не распространяются на случаи обработки ПДн в государственных, общественных и иных публичных интересах, определенных законодательством РФ;
    • передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом для распространения, должна быть прекращена по требованию субъекта в любое время;
    • требование субъекта о прекращении распространения ПДн должно включать ФИО субъекта, контактную информацию (телефон, e-mail или почтовый адрес), а также перечень персональных данных, распространение которых подлежит прекращению;
    • действие согласия субъекта на распространение персональных данных прекращается с момента поступления оператору вышеуказанного требования;
    • субъект вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений закона или обратиться с таким требованием в суд, а указанное лицо обязано прекратить распространение персональных данных в течение трех рабочих дней с момента получения такого требования от субъекта;
    • требования данной статьи не применяются в случае обработки ПДн в целях выполнения возложенных законодательством РФ на органы власти функций, полномочий и обязанностей.
  5. Оператор освобождается от обязанности предоставить субъекту ПДн сведения об обработке персональных данных, предусмотренные частью 3 статьи 18 закона в случаях, если распространение персональных данных осуществляется с соблюдением запретов и условий, предусмотренных новой статьей 10.1.
  6. Оператор вправе осуществлять без уведомления Роскомнадзора обработку ПДн, разрешенных субъектом для распространения при условии соблюдения оператором запретов и условий, предусмотренных новой статьей 10.1.
Центр безопасности данных

Наша компания уже более 9 лет оказывает услуги в области защиты и приведения персональных данных в соответствие требованиям «О персональных данных». Воспользуйтесь квалифицированной помощью специалистов по персональным данным.

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) «О персональных данных»

Судебная практика и законодательство — 152-ФЗ О персональных данных

5.2. Не позднее чем за один день до дня голосования (пятница) избирательная комиссия субъекта Российской Федерации размещает на своем официальном сайте сведения из реестров избирателей, участников референдума, подавших заявления о включении в список избирателей, участников референдума по месту нахождения, с учетом требований Федерального закона «О персональных данных» в формате: имя, отчество и первая буква фамилии. Указанная информация также размещается на информационных стендах в помещениях для голосования соответствующих избирательных участков, участков референдума.

Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 9, ст. 1276);

36. Персональное информирование участников НИС о состоянии их именных накопительных счетов осуществляется с учетом требований Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173; ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30 (ч. I), ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30 (ч. I), ст. 4217; ст. 4243; 2016, N 27 (ч. I), ст. 4164; 2017, N 9, ст. 1276).

<3> Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»).

<1> Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

<1> Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

<1> Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

<1> Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

Читайте также  Куда Обратиться Если Чуть не Сбила Машина на

<1> Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

<1> Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302; N 30, ст. 4223, ст. 4243, N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4389, ст. 4390; 2016, N 28, ст. 4558), Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, ст. 4243).

Федеральный закон от 30 декабря 2020 г. N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»»

Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; 2010, N 31, ст. 4173, 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038; N 51, ст. 6683; 2014, N 23, ст. 2927; N 30, ст. 4217, 4243; 2016, N 27, ст. 4164; 2017, N 27, ст. 3945; N 31, ст. 4772; 2018, N 1, ст. 82; 2019, N 52, ст. 7798; 2020, N 17, ст. 2701) следующие изменения:

1) статью 3 дополнить пунктом 1 1 следующего содержания:

«1 1 ) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;»;

2) пункт 10 части 1 статьи 6 признать утратившим силу;

3) статью 9 дополнить частью 9 следующего содержания:

«9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.»;

4) пункт 2 части 2 статьи 10 изложить в следующей редакции:

«2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10 1 настоящего Федерального закона;»;

5) дополнить статьей 10 1 следующего содержания:

«Статья 10 1 . Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору:

2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

10. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.

14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

15. Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.»;

6) пункт 3 части 4 статьи 18 изложить в следующей редакции:

«3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10 1 настоящего Федерального закона;»;

7) пункт 4 части 2 статьи 22 изложить в следующей редакции:

«4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10 1 настоящего Федерального закона;».

Статья 2

1. Настоящий Федеральный закон вступает в силу с 1 марта 2021 года, за исключением абзаца десятого пункта 5 статьи 1 настоящего Федерального закона.

2. Абзац десятый пункта 5 статьи 1 настоящего Федерального закона вступает в силу с 1 июля 2021 года.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Adblock
detector