В марте текущего года стали действовать новые поправки к ФЗ «О персональных данных», а с 1 сентября вступил в силу соответствующий приказ Роскомнадзора. Рассказываем, что изменилось, какие теперь требования нужно соблюдать и чем грозит пренебрежение новыми правилами.
Что изменилось в законе «О персональных данных»
С 1.09.2021 года организации, которые собирают и используют персональные данные (ПД) граждан, должны:
- четко оговаривать, в течение какого срока будет действовать разрешение;
- обозначать, с какой целью собирается и может использоваться личная информация клиента;
- указывать все информационные ресурсы, которым будут переданы ПД.
Согласно новым требованиям, также запрещается размещать какие-либо сведения о человеке без его согласия, даже если речь идет о корпоративном сайте или личной странице в социальной сети.
Пользователи в любой момент имеют право запретить распространять любую информацию о себе. Данные требования Приказа №18 Роскомнадзора действуют с 1.09.2021 по 1.09.2027 года.
На ком эти изменения отразятся в первую очередь? Конечно же, на сфере информационных технологий, а именно операторах порталов, приложений и сервисов, которые используют персональные данные. Также новые требования сильно повлияют на компании, обрабатывающие огромные объемы общедоступных сведений, например, образовательные, транспортные, медицинские, финансовые и пр.
Цель поправок ясна – защитить личные данные граждан от утечек ПД и их незаконного использования, в том числе для совершения противоправных действий.
Кроме того, есть надежда, что благодаря более строгим требованиям к сбору личной информации, компании умерят свою избыточную активность в данном вопросе. Ведь ни для кого не секрет, что часто бизнес превышает нужный целесообразный минимум.
Правила получения и оформления согласия
Согласие на сбор, обработку и распространение персональных данных действительно нужно получить – бездействие и «молчание» пользователя не считаются одобрением с его стороны. Причем разрешение необходимо на каждое действие, к примеру, получение, передачу и публикацию данных.
Таким образом, концепции «молчаливого согласия» больше нет. Более того, закон очень строго регламентирует процесс получения одобрения на обработку ПД:
- это согласие должно даваться отдельно от прочих;
- требования к нему утверждает Роскомнадзор в Приказе №18;
- операторы ПД не могут использовать свои формы согласия — только установленные Роскомнадзором.
Когда возможны штрафы
Если раньше в случае нарушения законодательства в сфере ПД можно было отделаться предупреждением, по новым правилам регулятор сразу прибегает к денежным взысканиям. По сравнению с прежними цифрами, размер штрафов с 1 сентября 2021 года увеличен в два, а то и три раза.
Незаконная обработка личной информации влечет за собой такие штрафные санкции:
- 2-6 тысяч рублей для физических лиц;
- 10-20 тысяч рублей для должностных лиц;
- 60-100 тысяч рублей для юридических лиц.
Кроме того, по новым правилам вводится норма, предусматривающая ужесточение наказания в случае повторного нарушения:
- 4-12 тысяч рублей для физических лиц;
- 20-50 тысяч рублей для должностных лиц;
- 50-100 тысяч рублей для индивидуальных предпринимателей;
- 100-300 тысяч рублей для юридических лиц.
Теперь пользователь имеет полное право самостоятельно решать, каким сайтам и приложениям и на какой срок предоставлять разрешение на использование своей персональной информации. При желании можно в любой момент обратиться к администрации ресурса и потребовать удалить ПД из открытого доступа.