Prezentaciya-
.pdf
Персональные данные работников.
Как правильно организовать процессы и оформить документы.
Елена Агаева, адвокат, советник
23.11.2021
© Егоров, Пугинский, Афанасьев и партнеры
Персональные данные: ключевые изменения (1)
Федеральный закон от 30.12.2020 № 519-ФЗ "О внесении изменений в Федеральный закон "О персональных данных"
Новые правила распространения (раскрытия неопределенному кругу лиц) ПДн и обработки ПДн из открытых источников:
Введено понятие «персональные данные, разрешенные субъектом персональных данных для распространения».
При этом сохранилось отдельное понятие «общедоступные источники персональных данных» (например, справочники, адресные книги и др.).
Необходимость получения отдельных и более конкретных согласий на раскрытие.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, должно быть оформлено отдельно от иных согласий. Оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии. Молчание или бездействие гражданина не может считаться согласием.
© Егоров, Пугинский, Афанасьев и партнеры |
| 2 |
Данный документ подготовлен в информационных и образовательных целях и не является юридической консультацией или заключением. Бюро не несет ответственности за любые неблагоприятные последствия использования настоящего документа любыми лицами.
Персональные данные: ключевые изменения (2)
Федеральный закон от 30.12.2020 № 519-ФЗ "О внесении изменений в Федеральный закон "О персональных данных"
Право субъекта персональных данных установить запреты на обработку / условия обработки раскрытых данных.
В согласии на распространение следует четко указать, в отношении каких персональных данных установлены запреты и условия последующей обработки раскрытых данных, а факт отсутствия какихлибо запретов или условий обработки должен недвусмысленно следовать из формулировок согласия.
Обязанность каждого оператора доказать законность обработки персональных данных из открытых источников.
Данное требование может создать дополнительные сложности при использовании компаниями различных систем мониторинга активности в сети Интернет, например, при подборе кадров HR-службами.
Право субъекта персональных данных в любой момент потребовать прекращения передачи персональных данных.
© Егоров, Пугинский, Афанасьев и партнеры |
| 3 |
Данный документ подготовлен в информационных и образовательных целях и не является юридической консультацией или заключением. Бюро не несет ответственности за любые неблагоприятные последствия использования настоящего документа любыми лицами.
Персональные данные: ключевые изменения (3)
Во исполнение Федерального закона от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»
РОСКОМНАДЗОР разработал:
Приказ Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»
(вступил в силу 01.09.2021)
Приказ Роскомнадзора от 21.06.2021 N 106 «Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором» (вступит в силу 01.03.2022)
Регулируется порядок получения оператором согласия на распространение ПДн через информационную систему Роскомнадзора.
© Егоров, Пугинский, Афанасьев и партнеры |
| 4 |
Данный документ подготовлен в информационных и образовательных целях и не является юридической консультацией или заключением. Бюро не несет ответственности за любые неблагоприятные последствия использования настоящего документа любыми лицами.
Персональные данные: ключевые изменения (4)
Федеральный закон от 24.02.2021 № 19-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"
Увеличены штрафы за нарушения в области персональных данных.
Установлена повышенная ответственность за повторные правонарушения.
Обработка |
персональных |
данных |
в |
случаях, |
не |
предусмотренных |
для ДЛот 10 тыс. до 20 тыс. руб.; |
законодательством РФ в области персональных данных, либо обработка |
для компаний – от 60 тыс. до 100 тыс. руб.; |
||||||
персональных данных, несовместимая с целями сбора персональных данных. |
при повторном правонарушении: |
||||||
|
|
|
|
|
|
|
для ДЛ - от 20 тыс. до 50 тыс. руб.; |
|
|
|
|
|
|
|
для компаний – от 100 тыс. до 300 тыс. руб. |
|
|
||||||
Обработка персональных данных без согласия в письменной форме субъекта, когда |
для ДЛот 20 тыс. до 40 тыс. руб.; |
||||||
такое согласие обязательно, либо нарушение требований к его содержанию. |
для компаний – от 30 тыс. до 150 тыс. руб.; |
||||||
|
|
|
|
|
|
|
при повторном правонарушении: |
|
|
|
|
|
|
|
для ДЛ - от 40 тыс. до 100 тыс. руб.; |
|
|
|
|
|
|
|
для компаний – от 300 тыс. до 500 тыс. руб. |
|
|
|
|
|
|
||
Неопубликование политики |
оператора |
в |
отношении |
обработки персональных |
для ДЛот 6 тыс. до 12 тыс. руб.; |
||
данных или сведений о реализуемых требованиях к защите персональных данных. |
для компаний – от 30 тыс. до 60 тыс. руб. |
||||||
|
|
||||||
Невыполнение оператором требования об уточнении персональных данных, их |
для ДЛот 8 тыс. до 20 тыс. руб.; |
||||||
блокировании или уничтожении в случае, если персональные данные являются |
для компаний – от 50 тыс. до 90 тыс. руб.; |
||||||
неполными, устаревшими, неточными, незаконно полученными или не являются |
при повторном правонарушении: |
||||||
необходимыми для заявленной цели обработки. |
|
|
для ДЛ - от 30 тыс. до 50 тыс. руб.; |
||||
© Егоров, Пугинский, Афанасьев и партнеры |
|
|
для компаний – от 300 тыс. до 500 тыс. руб. |
||||
|
|
|
|||||
Данный документ подготовлен в информационных и образовательных целях и не является юридической консультацией или заключением. Бюро не несет ответственности за любые неблагоприятные последствия использования настоящего документа любыми лицами.
Понятие персональных данных: текущий подход и судебная практика (1)
Персональные данные - любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу.
Закон о персональных данных выделяет категории персональных данных, которые подлежат особому регулированию:
•специальные категории персональных данных – персональные данные,
касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
•биометрические данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
© Егоров, Пугинский, Афанасьев и партнеры |
| 6 |
Данный документ подготовлен в информационных и образовательных целях и не является юридической консультацией или заключением. Бюро не несет ответственности за любые неблагоприятные последствия использования настоящего документа любыми лицами.
Понятие персональных данных: текущий подход и судебная практика (2)
Судебная практика: подходы к пониманию понятия персональных данных
Узкий подход |
|
Широкий подход |
|
|
|
Информация, которая позволяет однозначно идентифицировать |
Сведения, хотя и не позволяющие однозначно определить конкретное |
|
лицо. |
лицо, но дающие возможность сделать это косвенным образом. |
|
Не признаются персональными данными, в частности, ИНН, СНИЛС, |
• |
номер и серия паспорта; СНИЛС; ИНН; биометрические данные; |
номер паспорта (Апелляционное определение Санкт-Петербургского |
|
банковский счет, номер банковской карты и т.д. (Апелляционное |
городского суда от 03.02.2015 N 33-1644/2015 по делу N 2-3097/2014, |
|
определение Новосибирского областного суда от 04.07.2017 по делу N |
Определение Московского городского суда от 29 февраля 2012 по делу N |
|
33-6394/2017); |
33-6709 и др.). |
• |
информация о соединениях и трафике абонента, хотя имя |
|
|
конкретного абонента не фигурировало (решение Арбитражного суда |
|
|
г. Москвы от 25 мая 2016 г. по делу N А40-51869/2016-145-449); |
|
• |
статистическая информация, необходимая для последующего |
|
|
предоставления адресной рекламы физическому лицу, состоящая |
|
|
из сведений о его поисковых запросах и просмотренных страницах |
|
|
(Постановление Тринадцатого апелляционного арбитражного суда от 1 |
|
|
июля 2016 г. по делу N А56-6698/2016); |
|
• |
данные Яндекс. Метрики, Google аналитики (Решение Таганского |
© Егоров, Пугинский, Афанасьев и партнеры |
|
районного суда г. Москвы от 19.12.2018 по делу № 02-4261/2018). | 7 |
|
|
|
Данный документ подготовлен в информационных и образовательных целях и не является юридической консультацией или заключением. Бюро не несет ответственности за любые неблагоприятные последствия использования настоящего документа любыми лицами.
Понятие персональных данных: текущий подход и судебная практика (3)
Понятие персональных данных: Роскомнадзор готовит матрицу по отнесению информации к персональным данным.
Относится к персональным данным или нет? – позиция Роскомнадзора:
Данные
военного
билета
Паспортные
данные
MAC-
адрес
© Егоров, Пугинский, Афанасьев и партнеры
СНИЛС |
Номер |
|
телефона |
||
|
Файлы |
ID |
|
cookies |
||
пользователя |
||
|
ИНН
Данные
медицинского
полиса
Лицевой счет для ЖКХ
VIN,
гос. номера т/с
| 8
Данный документ подготовлен в информационных и образовательных целях и не является юридической консультацией или заключением. Бюро не несет ответственности за любые неблагоприятные последствия использования настоящего документа любыми лицами.
Согласие на обработку персональных данных (1)
Формы согласия на обработку персональных данных
«Бумажное» согласие.
Согласие в электронной форме:
-регистрация пользователя на сайте, подтвержденная логином и паролем, через электронную почту;
-проставление "галочки" пользователем в соответствующей веб-форме;
-ввод кода из СМС-сообщения.
Согласие путем совершения
конклюдентных действий.
NB! В ряде случаев согласие должно быть оформлено в письменной форме или в форме электронного документа, подписанного, по общему правилу, усиленной квалифицированной электронной подписью, и должно соответствовать по содержанию ч. 4 ст. 9 ФЗ «О персональных данных»:
передача третьим лицам персональных данных работников;
обработка биометрических персональных данных;
обработка специальных категорий персональных данных;
передача на территорию государств, не обеспечивающих адекватную защиту персональных данных.
© Егоров, Пугинский, Афанасьев и партнеры |
| 9 |
Данный документ подготовлен в информационных и образовательных целях и не является юридической консультацией или заключением. Бюро не несет ответственности за любые неблагоприятные последствия использования настоящего документа любыми лицами.
Согласие на обработку персональных данных (2)
Требования к содержанию письменного согласия
•ФИО, адрес, паспортные данные субъекта ПДн (а также представителя при получении согласия от представителя субъекта ПДн).
•Наименование / ФИО и адрес оператора.
•Цель обработки ПДн.
•Перечень ПДн, на обработку которых дается согласие.
•Наименование или ФИО и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу.
•Перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн.
•Срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральным законом.
•Подпись субъекта ПДн.
© Егоров, Пугинский, Афанасьев и партнеры |
| 10 |
Данный документ подготовлен в информационных и образовательных целях и не является юридической консультацией или заключением. Бюро не несет ответственности за любые неблагоприятные последствия использования настоящего документа любыми лицами.