Существенное изменение 152-ФЗ «О персональных данных»
30 декабря 2020 года Президент РФ В.В.Путин подписал Федеральный закон N 519-ФЗ, вносящий существенные изменения в Федеральный закон N 152-ФЗ «О персональных данных», который вступает в силу с 1 марта 2021 года.
Первое, что мы видим, – новое определение, появившееся в ст. 3:
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом.
Т.е., по сути, определение «общедоступные персональные данные» заменили на «персональные данные, разрешенные для распространения». Интересный момент заключается в том, что сохраняются общедоступные источники персональных данных, однако, как следует из внесённых поправок, включение персональных данных в такие источники теперь не означает, что их можно распространять свободно (нужно получить соответствующее согласие).
Если раньше обработка персональных данных допускалась с согласия субъекта или в ряде других случаях, в т.ч. если персональные данные сделаны общедоступными самим субъектом персональных данных, то теперь этот пункт (п. 10 ч.1 ст.6) упразднён. Но вместо этого пункта появилась целая статья, в которой описываются особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения. Она так и называется: «Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения».
Первый пункт нововведенной статьи касается оформления согласия на обработку персональных данных и звучит он следующим образом:
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
В новой версии Федерального закона говорится, что основания на обработку персональных данных должны быть представлены в виде отдельного согласия на распространение. Учитывая, что общедоступные источники никуда не делись, то, возможно придется собирать уже два согласия: одно письменное для включения персональных данных субъекта в общедоступные источники информации, второе на распространение.
Если в прошлой редакции статьи 6 ФЗ-152 «О персональных данных» существовала норма, позволяющая любой организации свободно использовать персональные данные граждан, которые они самостоятельно разместили, например, в Интернете, то с 1 марта 2021 года это запрещено. Операторам персональных данных теперь придется доказывать, что у них есть законное основание на последующее распространение таких персональных данных.
Каждая организация, размещающая, например, персональные данные своих работников, клиентов, граждан на сайте, иных Интернет ресурсах, обязана после 1 марта получить отдельное согласие и тем самым отказаться от укоренившейся практики так называемых «общих» согласий.
Каждая компания, которая использовала персональные данные граждан, взяв их из открытых источников, должна также получить отдельное согласие гражданина (субъекта персональных данных).
Интересен момент, что если по каким-то причинам персональные данные оказались доступны неопределенному кругу лиц, то любое лицо, осуществившее их распространение или иную обработку, также должны предоставить доказательства законности последующего их распространения.
Если субъект дал согласие на обработку своих персональных данных, но из этого согласия не следует, что он согласился с распространением, такие персональные данные должны обрабатываться оператором без права распространения.
В новом законопроекте субъектам персональных данных дается возможность самим регулировать условия обработки, накладывать запреты на обработку, а также устанавливать запрет на передачу своих персональных данных третьим лицам.
Если сам бланк согласия не подразумевает полей, устанавливающих запреты, или не указаны перечень или категории персональных данных, для которых субъект устанавливает условия и запреты, то такие персональные данные должны обрабатываться оператором без распространения или без предоставления доступа к этим данным.
В текущей версии закона, в общедоступные источники персональных данных могут включаться сведения о субъекте с его письменного согласия.
Из новой статьи закона мы видим, что согласие на распространение персональных данных может быть предоставлено субъектом:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
Формулировки не подразумевают сбора письменных согласий операторами, что значительно упрощает сам процесс. Т.е. достаточно того, что субъект персональных данных соглашается с согласием размещенным на сайте. Но к оформлению таких согласий нужно подойти со всей серьезностью, т.
Что касается специальной информационной системы Роскомнадзора, предназначенной для сбора согласий на распространение персональных данных, то ее нет. Т.е. регулятор закладывает такую возможность, но когда реализует – непонятно. По состоянию на 23 марта 2021 года имеются сведения о том, что Роскомнадзор разработал правила пользования информационной системой, которую можно будет использовать для дачи и отзыва согласия на обработку персональных данных. Поэтому имеет смысл ориентироваться на согласия данные непосредственно субъектом оператору. Тем более что молчание или бездействие субъекта ни при каких обстоятельствах не могут считаться согласием на распространение персональных данных.
Как и любое правило, требования нововведенной статьи имеют исключения. Установленные субъектом запреты на распространение его персональных данных могут быть проигнорированы оператором, если случаи обработки ПД касаются государственных, общественных или иных публичных интересов, определенных законодательством РФ.
Также требования новой статьи не применяются, если:
- обработка персональных данных производится в целях выполнения норм законодательства РФ;
- обработка производится федеральными или региональными органами исполнительной власти или же органами местного самоуправления для исполнения своих функций, полномочий и обязанностей.
Передача персональных данных, разрешенных субъектом для распространения, должна быть прекращена по требованию субъекта. В данном случае, ничего нового требования статьи не содержат, т.к. оператор и так должен прекратить обработку персональных данных субъекта, если тот пишет соответствующий отзыв данного ранее согласия. Данное требование должно включать в себя ФИО субъекта, контактную информацию, а также перечень персональных данных, распространение которых подлежит прекращению. Соответственно, действие данного ранее согласия прекращается в течение трех дней с момента поступления оператору подобного требования или в срок, указанный во вступившем в законную силу решение суда, если субъект обратился в суд.
Помимо новой статьи закона, вводятся изменения в уже существующие и связанные с общедоступными источниками информации. В частности, претерпела изменение статья 18. Если раньше Оператор освобождался от обязанности предоставлять субъекту персональных данных сведения, полученные из общедоступных источников информации, то теперь закон ссылается на все вышеописанные требования новой статьи.
Ровно тоже произошло и со статьей 22 152-го Федерального закона, в которой говорится об уведомлении Роскомнадзора. В старой версии закона говорится о том, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, полученных из общедоступных источников информации. В новой же версии оператор должен учитывать все условия и запреты, отраженные в вводимой статье.
На самом деле эти изменения не накладывают каких-то дополнительных условий на оператора, так как в большинстве случаев оператор и так должен был предоставить обрабатываемые данные субъекта по его запросу и уведомить Роскомнадзор о своей деятельности как оператора.
Появилось новое понятие, пришедшее на смену понятию «общедоступные источники персональных данных», при этом сами общедоступные источники никуда не делись. Оператору нужно оформлять отдельным документом согласие на распространение персональных данных субъекта. Субъект может устанавливать запреты на распространение своих персональных данных или их части. Должна появиться информационная система, оператором которой будет Роскомнадзор. В этой информационной системе можно будет получить согласие на распространение персональных данных своих субъектов. Закон запрещает используемый сегодня операторами персональных данных подход: «что не запрещено, то разрешено».
Отныне организация (оператор персональных данных) не имеет права распространять персональные данные по умолчанию или бездействию человека.
Внимание! Федеральный закон «О персональных данных»
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор — Уполномоченный орган по защите прав субъектов персональных данных) информирует Вас, что в январе 2007 года вступил в силу Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Целью данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В соответствии с требованиями пункта 2 статьи 3 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (т.е. имеющие персональный ИНН/КПП, ОГРН или ОГРНИП — для индивидуальных предпринимателей).
В соответствии с требованиями ч. 1 ст. 22 Федерального закона «О персональных данных» Операторы, которые осуществляют обработку персональных данных, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных Уведомление об обработке персональных данных. Официальные (информационные) сообщения о начале приема Уведомлений от операторов, осуществляющих обработку персональных данных были опубликованы в основных печатных изданиях, переданы по телевидению и размещены на сайте в сети Интернет.
С 1 сентября 2015 года вступил в силу Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», которым внесены изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» в части дополнения формы уведомления об обработке персональных данных сведениями о месте нахождения базы данных, содержащей персональные данные граждан Российской Федерации.
Оператор после 01.09.2015 обязан направить в территориальное управление Роскомнадзора уведомление с указанием, в том числе, места нахождения базы данных. В случае внесения изменений в имеющиеся сведения об операторе в реестре операторов должно быть направлено соответствующее информационное письмо.
Согласно части 1 статьи 23 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», пункта 1 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228, Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
На территории Краснодарского края и Республики Адыгея таким органом является Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Южному федеральному округу — (350001, г. Краснодар, ул. Маяковского, 158, тел. (861) 991-24-43).
Подробная информация по всему спектру деятельности Роскомнадзора в сфере защиты прав субъектов персональных данных размещена на сайте Роскомнадзора (http://rkn.gov.ru), на Портале персональных данных Уполномоченного органа по защите прав субъектов персональных данных (http://pd.rkn.gov.ru), на сайте Управления Роскомнадзора по Южному федеральному округу (http://23.rkn.gov.ru). Доступ к реестру операторов, осуществляющих обработку персональных данных, размещен на сайте Роскомнадзора (http://rkn.gov.ru/personal-data/register/).Политика конфиденциальности и защиты данных BBNP
1. Общие положения 1.1. Настоящая Политика конфиденциальности и защиты данных (далее — «Политика»), утвержденная ООО «ББНП» (далее — «ББНП»), устанавливает основные принципы, цели, порядок, условия обработки персональных данных Посетителей Сайта, меры по обеспечению безопасности и защиты.
персональных данных.
1.2. Настоящая Политика разработана в соответствии с требованиями Конституции Российской Федерации, нормативных правовых актов Российской Федерации в отношении персональных данных и размещена для неограниченного доступа на сайте ББНП по адресу www.bbnplaw.ru.
1.3. Термины, используемые в настоящей Политике, толкуются в соответствии с их определениями, указанными в Федеральном законе Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных».
1.4. BBNP гарантирует, что будет сохранять конфиденциальность полученных персональных данных в соответствии с положениями настоящей Политики и использовать их только для целей, указанных в Политике.
2. Понятие и состав персональных данных
2.1. Перечень персональных данных, подлежащих защите БНПФ, формируется в соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
2.2. BBNP обрабатывает и защищает персональные данные (включая фамилию, имя, место работы, должность, контактный телефон, адрес электронной почты и т.
д.) Посетителей Сайта BBNP – www.bbnplaw.ru («Сайт»), как а также персональные данные, поступающие на корпоративные электронные письма BBNP с окончанием @bbnplaw.ru («Корпоративная электронная почта») субъектов, давших согласие на обработку своих персональных данных («Согласие») путем направления информации через выбранные формы («Формы») на страницах Веб-сайта или путем отправки электронных писем. Согласие считается принятым в момент проставления галочки в соответствующем поле в Форме и нажатия кнопки отправки Формы на любой странице Сайта, а также нажатия на кнопку отправки электронного письма, содержащего персональные данные субъекта, в адрес Корпорации. Электронная почта.
2.3. Когда вы просматриваете веб-сайт BBNP, читаете тексты и загружаете любую другую информацию, определенные данные о компьютере, с которого Посетитель веб-сайта просматривает веб-сайт BBNP, регистрируются автоматически. Пока вы просматриваете Веб-сайт, BBNP собирает следующую информацию:
дата и время посещения Веб-сайта;
количество посещенных страниц, их названия и продолжительность их просмотра;
IP-адрес, присвоенный устройству для выхода в Интернет;
тип браузера и операционной системы;
URL-адрес веб-сайта, с которого вы щелкнули.
3. Цели обработки персональных данных
3.1. Персональные данные Посетителей Сайта обрабатываются в следующих целях:
направление справочной и маркетинговой информации Посетителям Сайта путем направления сообщений на адреса электронной почты, указанные Посетителями Сайта;
предоставление посетителям возможности оставить отзыв в BBNP;
Предоставление Посетителям Сайта консультаций по вопросам, связанным с оказанием услуг по маркетинговой деятельности и поддержке Посетителей Сайта, а также в иных целях, не противоречащих действующему законодательству Российской Федерации и условиям договоров между BBNP и соответствующих Посетителей веб-сайта.
4. Принципы и условия обработки персональных данных
4.1. Обработка персональных данных BBNP основывается на следующих принципах:
законность и справедливость;
ограничение конкретными, явными и законными целями;
недопущение обработки персональных данных, не соответствующей целям обработки персональных данных;
предотвращение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в несовместимых друг с другом целях;
содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
персональные данные хранятся в форме, позволяющей установить личность субъекта персональных данных, не дольше, чем это требуется для целей обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором сторона, выгодоприобретатель или поручителем которого является субъект персональных данных;
иные принципы, предусмотренные действующим законодательством Российской Федерации о персональных данных.
4.2. BBNP вправе осуществлять обработку персональных данных при соблюдении хотя бы одного из следующих условий:
субъект персональных данных дал согласие на обработку персональных данных;
обработка персональных данных необходима для реализации прав и законных интересов BBNP в целях достижения общественно значимых целей при условии, что права и свободы субъекта персональных данных не нарушаются;
обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
иные условия, предусмотренные действующим законодательством Российской Федерации о персональных данных.
5. Права и обязанности Субъекта персональных данных
5.1. Субъект персональных данных вправе:
потребовать уточнения, уточнения, блокирования или уничтожения своих персональных данных;
получить перечень своих персональных данных, обрабатываемых BBNP, источник их получения, информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения и иную информацию об обработке своих персональных данных.
данные;
требуют извещать всех лиц, ранее сообщенных о его неверных или неполных персональных данных, обо всех внесенных исправлениях или дополнениях;
оспорить в установленном порядке неправомерные действия или бездействие при обработке его персональных данных.
5.2. Посетители Сайта обязаны предоставлять только достоверную и достоверную информацию о себе.
5.3. Согласие на обработку персональных данных дается Посетителем на весь срок, необходимый BBNP для достижения целей обработки.
5.4. Посетитель может отозвать свое Согласие на обработку персональных данных, направив письменное заявление или направив его на Корпоративную электронную почту ([email protected]).
5.5. Лица, передавшие ББНП через Сайт информацию о другом субъекте персональных данных без согласия субъекта, чьи персональные данные были переданы, несут ответственность в соответствии с законодательством Российской Федерации.
6. Права и обязанности BBNP
6.1.
BBNP никогда не будет запрашивать у Посетителей Сайта информацию о своей расе, национальном происхождении, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
6.2. В процессе обработки персональных данных БНП вправе: собирать, записывать, систематизировать, накапливать, хранить, уточнять (обновлять, изменять), извлекать, использовать, передавать (распространять, предоставлять, предоставлять доступ), обезличивать, блокировать, удалять либо уничтожить персональные данные Посетителя.
6.3. В случае участия Посетителей в мероприятиях, организованных BBNP, последний вправе раскрывать соответствующие персональные данные Посетителей лицам, участвующим в организации такого мероприятия.
6.4. BBNP не вправе передавать персональные данные Посетителей Сайта каким-либо третьим лицам, за исключением следующих лиц:
уполномоченных государственных органов в пределах их полномочий;
лица, которым БНП должен передать в целях соблюдения законодательства РФ;
лица, которым BBNP передает персональные данные для выполнения договора с субъектом данных;
лица, которым BBNP поручает обработку персональных данных;
правопреемников БНП в случае его реорганизации;
иных лиц с согласия субъекта персональных данных.
6.5. BBNP не вправе разглашать персональные данные Посетителей Сайта в коммерческих целях без их согласия. Обработка персональных данных Посетителя в целях продвижения товаров, работ и услуг на рынок путем установления прямых контактов с потенциальными потребителями посредством средств связи допускается только с предварительного согласия Посетителя.
6.6. BBNP предупреждает лиц, получающих персональные данные Посетителя, о том, что эти данные могут быть использованы только в тех целях, для которых они были предоставлены, и требует от этих лиц подтверждения соблюдения данного правила.
6.7. Лица, получившие персональные данные Посетителя, обязуются соблюдать их конфиденциальность.
6.8. BBNP обрабатывает персональные данные Посетителей Сайта и осуществляет деятельность по их защите в соответствии с положениями настоящей Политики, а также иными документами, опубликованными BBNP.
7. Обеспечение защиты и безопасности персональных данных
7.
1. BBNP применяет соответствующие стандарты технологической и операционной безопасности для защиты информации, предоставляемой Посетителями Сайта, от несанкционированного доступа, раскрытия, искажения, блокирования или уничтожения.
7.2. Меры, применяемые BBNP, включают следующее:
назначение лица, ответственного за организацию обработки персональных данных;
применение правовых, технических и организационных мер по обеспечению безопасности персональных данных;
оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства, соотношение вреда и мер безопасности, принимаемых BBNP;
использование охраняемых помещений с ограниченным доступом к хост-серверам информационных систем персональных данных, а также использование запираемых шкафов для хранения бумажных носителей персональных данных;
убедиться в том, что сотрудники ББНП, непосредственно осуществляющие обработку персональных данных, ознакомлены и понимают положения законодательства Российской Федерации о персональных данных;
Контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
7.3. Доступ к персональным данным предоставляется только уполномоченным сотрудникам BBNP, взявшим на себя обязательство сохранять конфиденциальность такой информации.
8. Хранение персональных данных
8.1. Персональные данные Посетителей Сайта хранятся в течение срока, необходимого для целей, для которых такие данные были предоставлены, или в течение срока, предусмотренного законодательством.
8.2. По достижении целей/истечении срока обработки персональных данных персональные данные Посетителей Сайта уничтожаются.
9. Информация журнала, файлы cookie и веб-маяки
9.1. Веб-сайт BBNP собирает типичную информацию журнала сеансов, включая IP-адрес, тип браузера и язык, а также данные о времени посещения и адресе веб-сайтов, с которых были нажаты ссылки. Чтобы обеспечить эффективное управление веб-сайтом и помочь в настройке пользовательского интерфейса, BBNP может использовать файлы cookie (небольшие текстовые файлы, хранящиеся в браузере пользователя) или веб-маяки (электронные изображения) в сочетании с пикселями отслеживания, которые позволяют веб-сайту подсчитывать количество посетителей, посетивших определенную страницу и предоставивших доступ к определенным файлам cookie.
Собранная стандартная информация должна использоваться исключительно в статистических целях. BBNP не использует персональные данные для целей идентификации личности любого из Посетителей. Однако при авторизации зарегистрированных посетителей на сайте BBNP может использовать эту информацию в сочетании с информацией, полученной с помощью инструментов анализа данных и файлов cookie, для анализа того, как посетители используют сайт.
9.2. Используя Сайт, Посетитель соглашается с тем, что BBNP может загружать файлы cookie на устройство Пользователя в соответствии с указанными выше условиями.
9.3. Посетитель может управлять файлами cookie, зайдя в настройки браузера. При удалении файлов cookie все данные о предпочтениях Посетителя будут удалены, в том числе предпочтение отказаться от использования файлов cookie. Если файлы cookie заблокированы, изменения могут повлиять на пользовательский интерфейс, и некоторые компоненты Веб-сайта могут стать недоступными.
10.
