Правовое основание обработки персональных данных что писать в 2021 году

Обновлено: 02.07.2024

С каждым годом все больше внимания государство уделяет проблемам защиты персональных данных. С марта 2021 года вступили в силу очередные поправки в законодательстве в этой области. О новшествах в обработке персональных данных в 2021 году вы узнаете из материала.

На кого направлены изменения

работников;
клиентов;
покупателей;
посетителей и пр.

Что нового в работе с персональными данными с 1 марта 2021 года?

Изменения в обработке персональных данных (ПД) с 01.03.2021 нацелены искоренить их неконтролируемое использование:

Запрещено расценивать как разрешение на обработку персданных молчание или бездействие субъекта ПД.
Теперь субъект персданных вправе самостоятельно выбрать из перечня данных информацию, на обработку которой дает согласие, а также запретить неограниченную передачу его данных, определить условия (за исключением получения доступа) использования. Препятствовать этому оператор не вправе.
Наложенные на обработку и передачу данных запреты и ограничения не действуют при обработке ПД в интересах общества и страны. Круг интересов определяется законодательством.
Обрабатывать персональные данные субъекта вправе только оператор, получивший согласие.
Согласие на распространение персданных необходимо оформлять отдельно от прочих согласий на обработку.
Использование ПД может быть прекращено в любой момент по требованию субъекта. В заявлении на прекращение следует указывать ФИО, контакты субъекта, а также перечень данных, подлежащих завершению использования.
Если согласие субъекта персональных данных не содержит разрешения на распространение, оператор вправе обработать их только без дальнейшего распространения.

Раскрытие данных без согласия

Обновленная редакция закона о персональных данных затрагивает тему несанкционированного их раскрытия. Каждое лицо, распространившее и обработавшее ПД, обязано самостоятельно доказывать правомерность дальнейшего распространения и использования персданных, если данные раскрыты неопределенному кругу лиц:

субъектом персданных без предоставления согласия оператору;
по причине правонарушения (преступления);
в следствие форс-мажора.

Что изменится с 1 июля 2021

С 01.07.2021 субъекту персданных будет предоставлено право согласиться на обработку разрешенных для распространения ПД непосредственно оператору или через информсистему Роскомнадзора.

Согласие на обработку персональных данных — образец

По новым правилам требования к содержимому согласия на обработку ПД устанавливает Роскомнадзор. При этом он требует, чтобы согласие на обработку персданных содержало:

ФИО на русском языке или в русской транскрипции;
контактные данные — номер телефона, e-mail или почтовый адрес;
полное и краткое наименование или ФИО и адрес оператора, получающего согласие субъекта, а также ИНН, статистические коды, регион, населенный пункт;
цель (цели) обработки персданных — ее необходимо сформулировать строго в соответствии с законом;
категории (общие, специальные, биометрические) и перечень ПД, обработка которых согласована;
категории и перечень персданных, попавших под условия и запреты;
срок действия согласия — должен быть ограничен во времени, без возможности автоматической пролонгации;
сведения о сайтах и прочих ресурсах, через которые неограниченный круг лиц получит доступ к персданным субъекта.

Полезная информация от КонсультантПлюс

Смотрите образец согласия на обработку персональных данных (это бесплатно).

Сроки

У оператора есть 3 дня на публикацию особенностей (условия, ограничения, запреты) полученного согласия на обработку персданных. Этот же срок установлен для прекращения передачи ПД по требования или по решению суда (если в решении суда не содержится иное).

Чем грозит несоблюдение правил обработки персданных

С 27 марта 2021 года существенно увеличены штрафы за правонарушения в области персональных данных — о них мы рассказываем в отдельной статье.

Такая мера, как предупреждение больше не применяется в качестве наказания за совершение неправомерных действий с ПД.

Статья 6. Условия обработки персональных данных

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

(см. текст в предыдущей редакции)

Перспективы и риски арбитражных споров и споров в суде общей юрисдикции. Ситуации, связанные со ст. 6

Споры в суде общей юрисдикции:

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

(п. 3 в ред. Федерального закона от 29.07.2017 N 223-ФЗ)

(см. текст в предыдущей редакции)

3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

(п. 3.1 введен Федеральным законом от 29.07.2017 N 223-ФЗ)

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

(в ред. Федерального закона от 05.04.2013 N 43-ФЗ)

(см. текст в предыдущей редакции)

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

(в ред. Федеральных законов от 21.12.2013 N 363-ФЗ, от 03.07.2016 N 231-ФЗ)

(см. текст в предыдущей редакции)

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

(в ред. Федерального закона от 03.07.2016 N 231-ФЗ)

(см. текст в предыдущей редакции)

О выявлении конституционно-правового смысла п. 8 ч. 1 ст. 6 см. Постановление КС РФ от 25.05.2021 N 22-П.

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

(п. 9.1 введен Федеральным законом от 24.04.2020 N 123-ФЗ; в ред. Федерального закона от 02.07.2021 N 331-ФЗ)

(см. текст в предыдущей редакции)

10) утратил силу с 1 марта 2021 года. - Федеральный закон от 30.12.2020 N 519-ФЗ;

(см. текст в предыдущей редакции)

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1.1. Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года N 57-ФЗ "О государственной охране".

2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Е. А. Юрова
автор статьи, консультант Аскон по трудовому праву

В связи с ростом криминального интереса к данным граждан защита персональных данных (далее по тексту – ПД) приобретает особое значение, что находит отражение и в изменениях законодательства.

В частности, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" был изменен в 2020 году пять раз, и очередная новация вступила в силу 1 марта 2021 года.

В статье рассмотрим два значимых изменения 2020 года, касающихся трудовых отношений и имеющих действующий юридический статус.

Федеральный закон от 30.12.2020 N 515-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности" изменил 29 декабря 2020 года пункт 6 части 2 статьи 19. Оператора персональных данных, т.е. работодателя и его полномочные лица (в частности: кадровиков, бухгалтеров, системных администраторов), обязали обратить особое внимание на факты несанкционированного доступа к персональным данным и принимать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных, а также меры по реагированию на инциденты в них.

Многие работодатели это делали, делают и будут делать без напоминания регулятора, но это новшество обязывает обратить внимание на:

Персональные данные, разрешенные работником для распространения

Специальной категорией ПД являются персональные данные, разрешенные субъектом персональных данных для распространения, какими считаются данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законодательством о ПД.

Немногие работодатели предоставляют неограниченному кругу лиц доступ к своей информации, доступ к ПД работников. Соответственно, немногие работодатели должны актуализировать свою деятельность, свои локальные акты, приводя их в соответствие с обновлениями, вступившими в силу 1 марта текущего года.

Те же работодатели, которые предоставляют доступ к ПД работников неограниченному кругу лиц, должны получить согласие субъекта ПД, к содержанию которого будут установлены единые требования.

Обратите внимание, что работодателям нужно будет актуализировать локальные акты после утверждения единых требований к содержанию согласия на обработку персональных данных, разрешенных их субъектом для распространения.

Кстати сказать, пунктом 2 статьи 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" работодателю как оператору ПД позволено осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных во многих случаях отношений работник – работодатель. В том числе и в случае наличия разрешенных субъектом персональных данных ПД для распространения.

Названные два из пяти изменений 2020 года Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" являются улучшением, защитой прав работника. Новшества обязывают работодателя актуализировать локальные акты. Согласно статье 12 Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ в случаях, когда вступает в силу закон, устанавливающий более высокий уровень гарантий работникам по сравнению с установленным локальным нормативным актом, локальный акт или его часть просто прекращают свое действие. Именно поэтому следует обратить внимание на текст положения о защите персональных актов и привести его в соответствие с действующим законодательством.

Тем более, что 27.03.2021 актуализированы нормы Кодекса Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ, усугубляющие ответственность оператора персональных данных, ответственность должностных лиц, принимающих участие в процедурах обработки ПД.

В частности, новации статьи 13.11 КоАП за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных предусматривает наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от шестидесяти тысяч до ста тысяч рублей, с увеличением величины штрафа за повторность.

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть, влечет наложение административного штрафа на граждан в размере от шести тысяч до десяти тысяч рублей; на должностных лиц - от двадцати тысяч до сорока тысяч рублей; на юридических лиц - от тридцати тысяч до ста пятидесяти тысяч рублей. И это не предел.

Образовательное мероприятие по теме

Лектор: Наталия Юрьевна Неверовская, управляющий партнер Unicomlegal Russia, Санкт-Петербургское отделение. Судья Полномочного международного экономического суда при Ленинградской областной ТПП, а также третейский судья при Санкт-Петербургской Торгово-Промышленной Палате

Персональные данные: что учесть работодателям в 2021 году

Найдите решение по своей ситуации в КонсультантПлюс. Активируйте пробный доступ к системе на 3 дня прямо сейчас.

Е. А. Юрова
автор статьи, консультант Аскон по трудовому праву

Бухучет, налогообложение, ФСБУ, отчетность за 2021 год

Поможем не забыть сделать главное

Посмотрите актуальные чек-листы для бухгалтера, специалиста по кадрам и юриста.

Возможно, вам будут интересны эти темы:

Так, разработали форму заявления о назначении пособия по уходу за ребенком. Сейчас его составляют произвольно, но указывают обязательные реквизиты.

Необходимые мероприятия должны завершиться к началу 2023 года.

Поправки вступят в силу 1 января 2022 года.

С 23:00 31 декабря до 06:00 1 января в северной столице не будет действовать запрет на работу предприятий общепита.

Назначаться новое детское пособие будет не автоматически, а на основании заявления родителей.

Минтруд утвердил, как информировать работников об их правах, в том числе о праве на безопасные условия и охрану труда.

В марте начали действовать изменения в законе о персональных данных (ПД). Правила стали жестче, а штрафы больше. Предприниматели и юристы рассказывают, как это изменит бизнес.

Как изменился закон о персональных данных 2021

Новые поправки вводят и штрафы за обработку данных без согласия:

6-10 тысяч рублей для граждан;
20-40 тысяч рублей для должностных лиц и ИП;
30-150 тысяч для организаций.

При повторном нарушении суммы увеличиваются почти в 2 раза.

Почему закон изменили

Жизнь и бизнес переходят в электронное пространство, там теперь располагаются базы с данными пользователей и клиентов. Мошенники постоянно воруют эту информацию. Мемом стали звонки службы безопасности зеленого банка из тюрьмы, но это не всегда смешно. По данным Центробанка в 2020 году кибермошенники украли у россиян 10 миллиардов рублей, а это на 52,2% больше, чем в 2019 году.

Информацию воруют, берут из открытых источников или покупают у операторов через сотрудников. Поэтому государство решило ужесточить закон о персональных данных в 2021 году.

Главный юрист PR-агентства 2L Александр Штыров считает изменения в законе обоснованными:

Скорее всего, изменения в законе — это один из этапов ужесточения контроля за личными данными граждан. Одно дело, если телефон человека получает компания, чтобы предложить услуги, и совсем другое, когда номер в руках преступников.

Что делать бизнесу, чтобы не получить штраф

Некоторые юристы отмечают, что в закон о персональных данных 2021 содержит много расплывчатых формулировок. Но есть рекомендации, позволяющие избежать претензий от контролирующих органов:

Оформить новые соглашения. Закон не имеет обратной силы, но лучше сделать новые соглашения с сотрудниками и контрагентами. В документе стоит прописать, какую информацию можно передавать, а какую нет.
Назначить ответственных за работу с ПД. Обычно это кадровые сотрудники, но некоторые выбирают бухгалтера или руководителя.
Разработать документы и локальные акты. Это правила, которые прописывают работу, охрану, условия хранения и передачи ПД, а также цель использования.
Рассказать сотрудникам о законе. Все работники должны знать, что не имеют права передавать ПД клиентов без согласия. Кроме этого, они узнают, что и их собственные данные тоже не уйдут на сторону.
Уведомить Роскомнадзор. Любая компания, которая использует персональные данные, становится оператором ПД. Нужно сообщить в РКН, что бизнес использует данные клиентов или партнеров. Летом начнет работу Информационная система ведомства для регулирования этих процессов.

Уведомлять службу не придется, если:

действует трудовой договор;
ПД нужны для оформления договора;
ПД используются для разового пропуска;
в данных только фамилия, имя и отчество;
ПД обрабатывают без автоматизированных сервисов.

Эксперт в области информационной безопасности и CEO компании AtreIdea Сергей Белов считает, что предприниматели столкнуться с некоторыми затратами:

Как изменения в законе повлияют на работу бизнеса

Пока получается картина, что предпринимателям придется сделать упор на работу с документами. Потому что под действие закона попадают типовые ситуации, когда используются персональные данные:

Взаимодействие с банками. Отправка данных для оформления зарплаты или других выплат.
ЧОП. Для оформления пропуска на территорию предприятия или офисного здания.
Медицинские центры и страховые компании. Осмотры или диспансеризация сотрудников, ОМС.
Образовательные учреждения. Учеба или повышение квалификации сотрудников.
Туристическая сфера. При покупке билетов и бронировании проживания в командировках.

Наверное, больше всего проблем появится в рекламных и маркетинговых акциях. Например, компания получила от партнеров базу мобильных номеров для обзвона. По новым правилам, люди из базы должны дать согласие на это. Поэтому они могут потребовать, чтобы им не звонили и перестали давать контакты на сторону. В принципе они могут пожаловаться и в контролирующие органы.

Сергей Белов считает, что в ближайшее время правила продвижения бизнеса поменяются:

С этим согласен и Александр Штыров:

Закон о персональных данных 2021 не принесет радикальных изменений для бизнеса, но теперь придется аккуратнее работать с любыми данными клиентов и сотрудников.

Специалисты рекомендуют привести в порядок документы и переписать соглашения.

Как изменился закон о персональных данных 2021

Новые поправки вводят и штрафы за обработку данных без согласия:

6-10 тысяч рублей для граждан;
20-40 тысяч рублей для должностных лиц и ИП;
30-150 тысяч для организаций.

При повторном нарушении суммы увеличиваются почти в 2 раза.

Почему закон изменили

Главный юрист PR-агентства 2L Александр Штыров считает изменения в законе обоснованными:

Что делать бизнесу, чтобы не получить штраф

Оформить новые соглашения. Закон не имеет обратной силы, но лучше сделать новые соглашения с сотрудниками и контрагентами. В документе стоит прописать, какую информацию можно передавать, а какую нет.
Назначить ответственных за работу с ПД. Обычно это кадровые сотрудники, но некоторые выбирают бухгалтера или руководителя.
Разработать документы и локальные акты. Это правила, которые прописывают работу, охрану, условия хранения и передачи ПД, а также цель использования.
Рассказать сотрудникам о законе. Все работники должны знать, что не имеют права передавать ПД клиентов без согласия. Кроме этого, они узнают, что и их собственные данные тоже не уйдут на сторону.
Уведомить Роскомнадзор. Любая компания, которая использует персональные данные, становится оператором ПД. Нужно сообщить в РКН, что бизнес использует данные клиентов или партнеров. Летом начнет работу Информационная система ведомства для регулирования этих процессов.

Уведомлять службу не придется, если:

действует трудовой договор;
ПД нужны для оформления договора;
ПД используются для разового пропуска;
в данных только фамилия, имя и отчество;
ПД обрабатывают без автоматизированных сервисов.

Как изменения в законе повлияют на работу бизнеса

Взаимодействие с банками. Отправка данных для оформления зарплаты или других выплат.
ЧОП. Для оформления пропуска на территорию предприятия или офисного здания.
Медицинские центры и страховые компании. Осмотры или диспансеризация сотрудников, ОМС.
Образовательные учреждения. Учеба или повышение квалификации сотрудников.
Туристическая сфера. При покупке билетов и бронировании проживания в командировках.

Сергей Белов считает, что в ближайшее время правила продвижения бизнеса поменяются:

С этим согласен и Александр Штыров:

Специалисты рекомендуют привести в порядок документы и переписать соглашения.

Читайте также: