С марта 2021 года вступает в силу Федеральный закон от 30 декабря 2020 года № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Он вводит понятие персональных данных, разрешенных субъектом персональных данных для распространения, и закрепляет условия их обработки. Изменения будут внедряться поэтапно: основная часть – с 1 марта, часть о получении согласия с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных – с 1 июля.
Цель введения новых положений – исключить нерегулируемое использование персональных данных, например, опубликованных на сайтах организаций (в разделах «О сотрудниках», «Контакты» и в других справочниках).
В чем заключаются изменения?
• В законе появляется понятие «персональные данные, разрешенные субъектом персональных данных для распространения». Понятие «общедоступные данные», наоборот, из закона исключено.
• Новые положения закрепляют обязанность оператора получать отдельное согласие на обработку персональных данных, разрешенных субъектом для распространения. Требования к содержанию согласия установит Роскомнадзор. На данный момент проект документа вынесен на общественное обсуждение. Такого рода согласие оператор сможет получить непосредственно от субъекта или с использованием информационной системы Роскомнадзора, положение о которой вступит в силу с июля 2021 года.
• Установлено право субъекта в любой момент и без объяснения причин запретить распространение его персональных данных, определены требования к содержанию такого запроса. Закон также устанавливает порядок прекращения обработки персональных данных, разрешенных для распространения.
Иными словами, с момента вступления закона в силу использование персональных данных без согласия владельца будет запрещено. Для распространения персональных данных оператору потребуется получить у субъекта отдельное согласие. Копировать и публиковать на своем сайте персональные данные из других источников без согласия субъектов также будет запрещено. Субъект может потребовать удалить сведения о нем, даже если ранее дал согласие на их распространение. Положения и ограничения закона не распространяются на выполнение функций, полномочий и обязанностей, возложенных законодательством на государственные органы.
При невыполнении оператором новых положений субъект персональных данных будет вправе обратиться в суд. Организации в этом случае грозит административная ответственность по статье 13.11 КоАП РФ. Согласно пункту 8 данной статьи штраф для юридического лица может достигать от 1 до 6 млн рублей, при повторном правонарушении – до 18 млн рублей.
Поэтому операторам стоит подготовиться к выполнению новых требований. Для этого организации необходимо:
• внести изменения во внутренние акты организации, регламентирующие порядок обработки персональных данных (в первую очередь, в Политику);
• разработать новые и поправить старые формы согласий;
• внести изменения в часть своих бизнес-процессов.
Аналитики программного комплекса
«АльфаДок» уже учли необходимые изменения. После вступления федерального закона в силу сервис сделает все за организацию, пользователям останется переутвердить Политику в отношении обработки персональных данных. Изменения в формы согласий будут внесены после утверждения соответствующих требований Роскомнадзором.
