Расчет стоимости
Скачать прайс

Новые правила обработки персональных данных

«Клерк», март 2021
Анастасия Бекичева
Анастасия Бекичева
юрист
UK
UK

«Клерк», март 2021

1 марта 2021 года вступили в силу изменения в ФЗ № 152 «О персональных данных». Предлагаемые изменения назревали уже очень давно, но были приняты только сейчас. Зачем же они потребовались?

Дело в том, что сбор персональных данных разного рода операторами происходит довольно часто. Свои данные мы указываем везде: открытие счета, получение посылки по почте, запись на прием к приставу и пр. При этом гарантировать сохранность персональных данных после их обработки очень сложно. Безусловно, ФЗ № 152 обязывает их охранять. Но некоторые данные могут стать публичными из-за злоупотребления полномочиями или банальной неосторожности. Также можно предоставить свои персональные данные неограниченному кругу лиц из-за невнимательности. Например, при оформлении sim карты в салоне мобильной связи покупателю предоставляют договор, в котором уже проставлены отметки о согласии на предоставление персональной информации третьим лицам, не только в рекламных целях. Причем, на требование убрать проставленные отметки могут ответить отказом, мотивируя свое решение политикой организации и пр. Как результат, данные клиента могут попасть совершенно в любые руки, включая недоброжелателей и злоумышленников.

Поправки в ФЗ № 152 направлены на урегулирование механизма защиты прав неограниченного круга лиц, чьи данные тем или иным способом участвуют в обороте или станут известны в будущем.

До вступления поправок в силу у третьих лиц оставалась некая «лазейка» в законе. В частности, они также могли осуществлять сбор, хранение и передачу данных. А субъекты, чьи персональные данные были переданы третьим лицам могли требовать их удаления только при соблюдении обязательных условий: необходимо доказать, что данные получены незаконно, потеряли актуальность, являются неполными и т.п. С принятием поправок в ФЗ данное правило изменилось. Теперь лицо может требовать ограничения пользования и удаления персональных данных у любого оператора, которому стали известные персональные данные. Причину такого решения субъект персональных данных указывать больше не обязан.

Кроме того, теперь лицо само сможет решать какие из его персональных данных могут быть использованы. Если субъект не дал прямого письменного разрешения на использование своих персональных данных, то оператор, получивший сведения, имеет право на их обработку, но не имеет права на распространение.

Соблюдать положения закона обязаны все операторы, в том числе те, которые публично выкладывают персональные данные для общего доступа. Например, таковыми признаются социальные сети. Согласие на использование персональных данных необходимо будет направить через социальную сеть или на юридический адрес компании. Впоследствии предполагается, что предоставить согласие можно будет через специальную систему, которую создаст Роскомнадзор. Таким же способом предполагается передавать требование на прекращение использования персональных данных. С момента получения требования оператор должен прекратить использование персональных данных в течение 3 рабочих дней.

В случае, если использование персональных данных так и не было прекращено, лицо имеет право обратиться в суд. По Решению суда, вступившему в законную силу, оператор обязан прекратить передачу и использование персональных данных.

Если оператор не прекратил использовать и передавать персональные данные, то для него предусмотрена ответственность, согласно ст. 13.11 действующего КоАП от 3000 до 75 000 рублей, в зависимости от вида субъекта нарушителя.

Кроме того, с 27 марта 2021 такой вариант наказания как предупреждение будет полностью упразднен, а санкции статьи ужесточаются, вследствие чего штрафы для оператора увеличатся вдвое, т.е. от 6000 до 150 000 рублей.

Внесение поправок в действующее законодательство имеет своей целью более корректное использование персональных данных, полученных оператором для обработки. В первую очередь, это необходимо для того чтобы операторы понимали серьезность вверенных им данным и последствий своих действий. Поскольку нарушения в хранении и передачи данных третьих лиц так или иначе все еще встречаются, у операторов не сложилось четкого представления о необходимости получения письменного согласия на передачу любых персональных данных. Примером недобросовестного отношения к персональным сведениям является судебная практика. Так, в Москве, гражданин обратился в Мировой суд за защитой своих нарушенных прав. На его номер телефона поступали звонки от коллекторской службы. При этом письменного или устного согласия на предоставление номера телефона гражданин коллекторскому агентству не давал. Данные находились только у банка, с которым был заключен кредитный договор. В заключенном договоре не содержалась информация о возможности передачи персональных данных третьим лица. Иных данных, кроме номера телефона, у коллекторов не было. Кроме того, представители агентства считали, что номер телефона не относится к персональным данным. Мировой суд посчитал такие действия со стороны коллекторской компании нарушением ФЗ № 152 «О защите персональных данных». Позже Черемушкинский районный суд г. Москвы, как апелляционная инстанция, поддержал Решение Мирового суда в полном объеме и согласился с выводами нижестоящего суда в части привлечения организации к административной ответственности и выплате штрафа в размере 30 000 рублей (решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу № 12-973/2019). Во-вторых, увеличение размера штрафов, возможно, сократит уровень халатного отношения к полученным персональным данным.

Наконец, изменения ФЗ № 152 необходимы были самим субъектам персональных данных. Теперь требовать удалить персональные данные можно не изыскивания каких-либо доказательств. Одного нежелания лица теперь достаточно. При этом удалить данные или прекратить их передачу операторы обязаны в течение 3 дней после обращения лица.

Вас может заинтересовать