Персональные данные. Новые правила обработки персональных данных.

Персональные данные (ПД) – любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу. Персональные данные могут быть разрешенными для распространения согласно Федеральному закону № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных)).
К персональным данным относятся:

  • фамилия, имя, отчество;
  • – пол, возраст;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 02.09.2013г.);
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

С 1 марта 2021 года вступили в силу изменения в ФЗ № 152 «О персональных данных».
Вместо понятия «общедоступные» персональные данные введено новое понятие:


Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законом.


Это означает, что пока человек не даст согласия, публиковать его данные нельзя. Нельзя даже на корпоративных сайтах в разделах, аналогичным «О команде», «Наши сотрудники».
Мы все хорошо знаем, что сбор персональных данных разного рода операторами происходит довольно часто. Свои данные мы указываем везде: открытие счета, получение посылки по почте, запись на прием к врачу, оформление бонунсных карт и пр. При этом гарантировать сохранность персональных данных после их обработки очень сложно.


Например, при оформлении sim карты в салоне мобильной связи покупателю предоставляют договор, в котором уже проставлены отметки о согласии на предоставление персональной информации третьим лицам, не только в рекламных целях. Причем на требование убрать проставленные отметки могут ответить отказом, мотивируя свое решение политикой организации и пр. Как результат, данные клиента могут попасть совершенно в любые руки, включая недоброжелателей и злоумышленников.


Ранее у третьих лиц оставалась некая «лазейка» в законе. В частности, они также могли осуществлять сбор, хранение и передачу данных. А субъекты, чьи персональные данные были переданы третьим лицам, могли требовать их удаления только при соблюдении обязательных условий: необходимо доказать, что данные получены незаконно, потеряли актуальность, являются неполными и т.п. С принятием поправок в ФЗ данное правило изменилось. Теперь лицо может требовать ограничения пользования и удаления персональных данных у любого оператора, которому стали известные персональные данные. Причину такого решения субъект персональных данных указывать больше не обязан.


Кроме того, теперь лицо само сможет решать какие из его персональных данных могут быть использованы. Если субъект не дал прямого письменного разрешения на использование своих персональных данных, то оператор, получивший сведения, имеет право на их обработку, но не имеет права на распространение.


Соблюдать положения закона обязаны все операторы, в том числе те, которые публично выкладывают персональные данные для общего доступа. Например, таковыми признаются социальные сети. Согласие на использование персональных данных необходимо будет направить через социальную сеть или на юридический адрес компании. Впоследствии предполагается, что предоставить согласие можно будет через специальную систему, которую создаст Роскомнадзор. Таким же способом предполагается передавать требование на прекращение использования персональных данных. С момента получения требования оператор должен прекратить использование персональных данных в течение 3 рабочих дней.


Если использование персональных данных так и не было прекращено, лицо имеет право обратиться в суд. По решению суда, вступившему в законную силу, оператор обязан прекратить передачу и использование персональных данных.


Если оператор не прекратил использовать и передавать персональные данные, то для него предусмотрена ответственность, согласно ст. 13.11 действующего КоАП РФ — от 6000 до 150 000 рублей в зависимости от субъекта – нарушителя.


Согласие на обработку и распространение персональных данных.
Ранее все виды обработки ПД могли быть прописаны в одном согласии. С 1 марта 2021 года правила изменились: человек может дать согласие на обработку персональных данных, но в тоже время не разрешить их распространять.


Попробуем на примерах объяснить нюансы.
Обработка — это любое действие с персональными данными, в том числе: сбор, запись, систематизация; накопление, хранение; уточнение (обновление, изменение); извлечение; использование; передача (распространение, предоставление, доступ); обезличивание; блокирование, удаление, уничтожение персональных данных.


Из этого следует, что распространение —  это один из случаев передачи персональных данных (например, размещение профилей в соцсетях, отзывы на сайтах, информация о сотрудниках и др.) Распространение отличается от предоставления и доступа к персональным данным. Соответственно и согласия для этих случаев обработки разные.

Роскомнадзор утвердил краткий чек-лист содержания такого согласия:

  • Фамилия, имя, отчество субъекта.
  • Контакты субъекта: номер телефона, адрес электронной почты или почтовый адрес субъекта.
  • Наименование оператора персональных данных, ИНН, ОГРН и адрес, указанный в ЕГРЮЛ.
  • Сведения об информационных ресурсах, где будут распространятся персональные данные.
  • Цель или цели распространения персональных данных.
  • Категории и перечень персональных данных, распространение которых субъект разрешает.
  • Категории и перечень персональных данных, для распространения которых субъект устанавливает условия и запреты. Заполняется по желанию субъекта.
  • Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников. Заполняется по желанию субъекта.
  • Четко определенный срок действия согласия.