Новые правила работы с персональными данными

Что изменилось

Изменения в законе №152-ФЗ «О персональных данных» действуют с 1.03.2021. Они вводят в оборот определение «персональных данных, разрешенных для распространения», которое заменяет «общедоступные персональные данные». Как поясняют авторы поправок, в первую очередь нововведения касаются информации, которая размещается в свободном доступе, например на интернет-порталах, и может быть получена кем угодно.

Если до конца февраля текущего года оператор, который получил одно согласие субъекта на обработку персданных, мог их опубликовать или передать третьей стороне, теперь этого мало – необходим отдельный документ.

Согласие на обработку означает, что оператор вправе хранить, уточнить, использовать эти сведения. Но если он планирует опубликовать их или передать третьему лицу, потребуется отдельное письменное согласие на распространение. Исключение – запрос из контролирующих органов, полиции, военкомата: им дополнительное разрешение не нужно.

Передать согласие оператору можно двумя способами:

• в бумажном виде, подписав собственноручно (этот способ действует сейчас);
• с помощью системы Роскомнадзора (заработает с 01.07.2021).

Отправлять в ведомство заявление о начале распространения персональных данных не требуется.

Что указывать в новом документе

Проект Роскомнадзора, который теоретически еще может измениться, определяет, что в согласии должны быть:

• Ф. И. О. физлица, которое предоставляет данные;
• его контактный телефон, e-mail или домашний адрес;
• название или Ф. И. О. и контакты оператора;
• цель обработки данных;
• категории и список личных сведений, обработка которых разрешается или запрещается;
• условия, при которых разрешение или запрет работают;
• время действия согласия;
• информация о способах широкого распространения персданных, например адрес сайта.

Лицо, которое предоставляет персональные сведения, теперь может выбрать, что конкретно публиковать можно, а что – нет. Предположим, человек не против публикации имени, а фото или дату рождения распространять запрещает. Кроме того, он может определить категорию людей, которым сведения о нем будут доступны: только сотрудники компании-оператора или все посетители информационного ресурса организации и так далее.

Если условия запрета идут в разрез с общественными или государственными интересами, то они перестают действовать. То есть, несмотря на подписанный субъектом документ, оператор должен по запросу отправить данные в налоговую службу, пенсионный фонд, полицию или следственный комитет.

Если в согласии напрямую не прописано, что гражданин против распространения его данных, их все равно нельзя предоставлять неограниченному количеству лиц в свободном доступе.

Распространение общедоступных персональных данных

Теперь нормы напрямую запрещают распространять персональные данные в отсутствии письменного согласия, даже если они размещены физлицом на открытых страницах в соцсетях. Если вы обрабатываете или распространяете сведения, которые человек самостоятельно выложил, вы должны подтвердить легальность своих действий.

Передача информации об условиях и запретах обработки персданных

Если оператор получил согласие, в котором уточняются обстоятельства и ограничения распространения информации, он обязан в течение трех рабочих дней после этого опубликовать их. Место публикации не определяется, но предполагаем, что имеется в виду тот же ресурс, где будут доступны Ф. И. О., фотография и прочее.

Можно ли передумать

Если физлицо по любым причинам сочтет распространение его данных неприемлемым в дальнейшем, оно может подать заявление об отзыве согласия с указанием Ф. И. О., контактов и списка данных, которые необходимо закрыть.

У оператора есть три рабочих дня, чтобы выполнить требование. Иначе гражданин имеет право подать заявление в суд.

Обязанности работодателя

Компания-работодатель обязана выполнять все новые требования законодательства: брать согласие не только на обработку, но и на распространение данных, например на корпоративном сайте, передавать информацию без согласия исключительно в особенных случаях, указанных выше.

При оформлении банковской зарплатной карты предполагается, что без разрешения личные сведения передаются:

• если договор заключается между банком и работником;
• если у работодателя имеется доверенность на представление сотрудника в банке;
• если начисление зарплаты на банковскую карточку сотрудника прописано в коллективном договоре.

Однако и в этих случаях мы рекомендуем подстраховаться и заручиться письменным согласием персонала.

Как быть с согласиями на обработку, оформленными до вступления в силу поправок

Переоформлять их закон напрямую не требует, но, чтобы избежать вопросов контролирующих органов, лучше это сделать, особенно если вы планируете публиковать сведения в открытых источниках или передавать третьим лицам. Это поможет избежать штрафов за несоблюдение норм закона о защите персональных данных. Отметим, с 27 марта 2021 года они выросли вдвое: для юрлиц это десятки, а то и сотни тысяч рублей в зависимости от статьи.

Если у вас остались вопросы, позвоните по телефону (831) 2-333-666. Мы проконсультируем и подскажем, как приобрести и настроить ПО для ведения кадровой и бухгалтерской отчетности.