Федеральный закон о персональных данных № 152-ФЗ
Федеральный закон № 152-ФЗ устанавливает, что нельзя собирать, обрабатывать и использовать личные данные без согласия их владельца. Цель закона – защита персональных данных (ПД). Защита ПД возлагается на операторов, которыми признаются компания, в которой есть хотя бы один сотрудник, и даже ИП, если они работают с ПД.
Защита персональных данных означает, что оператору от пользователя нужно получить согласие на сбор и обработку информации, уведомить уполномоченный орган о том, что он является оператором, а также обеспечить безопасность персональных данных.
С 2006 года закон все больше ужесточался, увеличивая требования к операторам. Если раньше компании было достаточно разместить всплывающее окно с информацией о cookies в интернете и форму согласия на сбор и обработку данных, то позднее этого уже стало недостаточно. Теперь операторы ПД должны более тщательно подходить к сбору данных. Им необходимо разработать индивидуальную политику использования, в которой отражены все возможные варианты применения личных данных пользователей, защитить сведения пользователей от кражи и взлома, хранить ПД только на российском хостинге. При этом провайдер хостинга тоже должен соблюдать 152-ФЗ.
Роскомнадзор сам или по жалобам пользователей, без участия прокуратуры, может проверять интернет-сайты, анализировать соблюдение закона и выносить решение.
Что является персональными данными?
Федеральный закон 152-ФЗ не содержит конкретного перечня, что относится к персональным данным. Это могут быть любые сведения, которые прямо или косвенно относятся к определенному частному лицу:
-
Ф.И.О.;
-
дата рождения;
-
адрес регистрации и адрес проживания;
-
паспортные данные, СНИЛС, ИНН;
-
номер телефона;
-
e-mail;
-
адрес страницы в соцсетях;
-
контакт в мессенджере.
По сути, к ПД относится любая информация, которая позволяет определить конкретного человека.
Обработка персональных данных в соответствии с ФЗ
Оператор, который занимается обработкой ПД, должен пользоваться услугами провайдера, который прошел все необходимые аттестации и имеет все необходимые требования безопасности. Это могут быть любые российские провайдеры, которые работают в соответствии с 152-ФЗ, зарегистрированы в РФ, состоят в реестре операторов обработки ПД и физически размещают свои серверы в ЦОД на территории России.
Закон о защите персональных данных 2022: какие изменения
Еще до начала обработки ПД оператор должен уведомить Роскомнадзор о своей деятельности, чтобы попасть в Единый реестр. При этом обработчики данных напрямую с субъектами ПД (то есть пользователями) не контактируют и несут ответственность только перед оператором.
С 1 сентября 2022 года действие закона распространяется на обработку ПД российских граждан, осуществляемую иностранными юрлицами или физлицами на основании договора или с согласия гражданина.
Только 48% интернет-магазинов предупреждают о том, что будут использовать персональные данные. 30% размещают на сайте политику конфиденциальности.
Глобальное изменение, которое вступило в силу 1 сентября 2022 года, – это сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД. Таких ситуаций только три:
-
работа с ПД без средств автоматизации;
-
включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка;
-
обработка в соответствии с законодательством РФ о транспортной безопасности.
С 1 сентября 2022 года любой работодатель должен быть зарегистрирован в Едином реестре ОПД. Работодателю тоже следует получить от сотрудника разрешение на сбор и обработку ПД.
Ранее Роскачество уже рассказывало, какие данные могут собирать мобильные приложения и почему нужно читать их политики конфиденциальности
Ответственность за нарушение закона
За невыполнение требований законодательства в области обработки ПД организации могут получить штраф (в зависимости от конкретного нарушения) от 30 тыс. до 6 млн рублей (ст. 13.11 КоАП РФ).
Кроме того, с 1 сентября 2022 года введена административная ответственность за отказ потребителю в заключении договора, если тот не предоставляет ПД. Штраф за нарушение для организаций составляет от 30 тыс. до 50 тыс. рублей.
Компания имеет право отказать потребителю в заключении договора из-за непредоставления ПД, если персональные данные обязательны по законодательным требованиям или непосредственно нужны для исполнения договора. Отказ предоставлять адрес доставки при использовании курьера относится к таким случаям, поэтому потребителю будет отказано в получении услуги на законных основаниях.
Следите за новостями, подписывайтесь на рассылку.
При цитировании данного материала активная ссылка на источник обязательна.