🤔 Как соответствовать обновленному законодательству в сфере персональных данных?
Нормативные правовые акты постоянно совершенствуются, чтобы свести к минимуму возможность утечек чувствительной информации. 30 декабря 2020 года была принята новая редакция Федерального закона «О персональных данных», которая может внести неразбериху в процессы обработки и распространения личных сведений. Ведь для операторов (а это любые организации, к которым попадает личная информация граждан) подобные правки – головная боль и вмешательство в отлаженный механизм. Что изменилось и нужно ли глобально перекраивать процесс обработки персональных данных (ПД) или только немного его «отретушировать», разбираемся вместе с главным аналитиком по информационной безопасности компании «Элефус» Екатериной Голунчиковой.
🔵 Разрешённые для распространения
Итак, в законе «О персональных данных» появились изменения, корректирующие правила публикации (распространения) сведений, содержащих ПД, в открытых источниках.
Для начала еще раз поясним, что является ПД, о которых все постоянно говорят. В этот список входят (в любой последовательности и в любых сочетаниях):
— ФИО;
— дата рождения;
— номер телефона;
— адрес;
— электронный адрес;
—фото;
— ссылка на профили в социальных сетях и другие персональные ресурсы;
— информация из резюме сотрудника, включая сведения о предыдущем(-их) месте(-ах) работы, различных достижениях и наградах и другие личные данные.
🔵 Что такое обработка?
Кроме того, был обновлен перечень правовых оснований обработки ПД без согласия на это их владельца. Так, исчезла формулировка «обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных)».
Что-то из личных сведений скопировать можно только в том случае, если у разместившего их ресурса есть соответсвующее согласие от персоны.
И да, в согласии должно быть явно указано, что владелец личных сведений разрешает с ними делать.
🔵 Следовать правилам везде
Важно отметить, что изменения касаются не только публичных интернет-ресурсов, включая соцсети, форумы и так далее, но также и всех корпоративных сайтов, размещающих информацию о своих сотрудниках, например, в разделах сайта «Контакты», «Руководство» и т.п. Все они должны заручиться согласием своих работников с указанием разрешенных действий.
Главный вопрос, который возникает у многих операторов ПД: «Где все эти согласия и описания владелец сайта должен размещать и что делать, если у каждого субъекта будет свой взгляд на разрешенные виды обработки?» Вот здесь пока, увы, ясности нет.
Зато Роскомнадзор предписывает всем операторам ПД неукоснительно следовать правилам, а именно:
— Операторы обязаны разработать новую форму согласия на обработку ПД, разрешенных для распространения (требования к содержанию согласия устанавливает РКН).
🔵 Когда согласие на обработку ПД не требуется
Не стоит воодушевляться, увидев этот подзаголовок. Коротким ответом здесь будет «почти никогда». Ну а если посмотреть на то, что предписывает нам буква закона, мы сможем увидеть, что новые требования не применяются лишь в случае обработки ПД в целях выполнения возложенных законодательством на федеральные органы исполнительной власти и субъектов РФ, органы местного самоуправления функций, полномочий и обязанностей.
🔵 О штрафах
Если оператор распространяет ПД без отдельного согласия, то это влечет ответственность, предусмотренную законом.
Кроме того, всем, кто скачает эти данные, также придётся нести ответственность и доказывать законность их обработки.
Пока так и неясно, как будут выполняться и как будет контролироваться выполнение новых положений. Требования к форме нового согласия еще не утверждены (проект приказа Роскомнадзора еще только проходит процедуру регистрации), а система РКН для сбора согласий запустится ориентировочно в июле.
Нормативные правовые акты постоянно совершенствуются, чтобы свести к минимуму возможность утечек чувствительной информации. 30 декабря 2020 года была принята новая редакция Федерального закона «О персональных данных», которая может внести неразбериху в процессы обработки и распространения личных сведений. Ведь для операторов (а это любые организации, к которым попадает личная информация граждан) подобные правки – головная боль и вмешательство в отлаженный механизм. Что изменилось и нужно ли глобально перекраивать процесс обработки персональных данных (ПД) или только немного его «отретушировать», разбираемся вместе с главным аналитиком по информационной безопасности компании «Элефус» Екатериной Голунчиковой.
🔵 Разрешённые для распространения
Итак, в законе «О персональных данных» появились изменения, корректирующие правила публикации (распространения) сведений, содержащих ПД, в открытых источниках.
Для начала еще раз поясним, что является ПД, о которых все постоянно говорят. В этот список входят (в любой последовательности и в любых сочетаниях):
— ФИО;
— дата рождения;
— номер телефона;
— адрес;
— электронный адрес;
—фото;
— ссылка на профили в социальных сетях и другие персональные ресурсы;
— информация из резюме сотрудника, включая сведения о предыдущем(-их) месте(-ах) работы, различных достижениях и наградах и другие личные данные.
🔵 Что такое обработка?
Кроме того, был обновлен перечень правовых оснований обработки ПД без согласия на это их владельца. Так, исчезла формулировка «обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных)».
Что-то из личных сведений скопировать можно только в том случае, если у разместившего их ресурса есть соответсвующее согласие от персоны.
И да, в согласии должно быть явно указано, что владелец личных сведений разрешает с ними делать.
🔵 Следовать правилам везде
Важно отметить, что изменения касаются не только публичных интернет-ресурсов, включая соцсети, форумы и так далее, но также и всех корпоративных сайтов, размещающих информацию о своих сотрудниках, например, в разделах сайта «Контакты», «Руководство» и т.п. Все они должны заручиться согласием своих работников с указанием разрешенных действий.
Главный вопрос, который возникает у многих операторов ПД: «Где все эти согласия и описания владелец сайта должен размещать и что делать, если у каждого субъекта будет свой взгляд на разрешенные виды обработки?» Вот здесь пока, увы, ясности нет.
Зато Роскомнадзор предписывает всем операторам ПД неукоснительно следовать правилам, а именно:
— Операторы обязаны разработать новую форму согласия на обработку ПД, разрешенных для распространения (требования к содержанию согласия устанавливает РКН).
🔵 Когда согласие на обработку ПД не требуется
Не стоит воодушевляться, увидев этот подзаголовок. Коротким ответом здесь будет «почти никогда». Ну а если посмотреть на то, что предписывает нам буква закона, мы сможем увидеть, что новые требования не применяются лишь в случае обработки ПД в целях выполнения возложенных законодательством на федеральные органы исполнительной власти и субъектов РФ, органы местного самоуправления функций, полномочий и обязанностей.
🔵 О штрафах
Если оператор распространяет ПД без отдельного согласия, то это влечет ответственность, предусмотренную законом.
Кроме того, всем, кто скачает эти данные, также придётся нести ответственность и доказывать законность их обработки.
Пока так и неясно, как будут выполняться и как будет контролироваться выполнение новых положений. Требования к форме нового согласия еще не утверждены (проект приказа Роскомнадзора еще только проходит процедуру регистрации), а система РКН для сбора согласий запустится ориентировочно в июле.