Изменения в правилах работы с персональными данными

С 1 марта 2021 года законодатель ввел новое понятие «персональные данные, разрешенные для распространения» с целью ограничить неконтролируемое использование персональных данных, размещенных на сайтах и в других открытых источниках (см. Федеральный закон от 30.12.2020 № 519-ФЗ).

Теперь, чтобы получить возможность размещения персональных данных на сайтах организации и в других открытых источниках (включая передачу данных в банк для оформления зарплатной карты), недостаточно получения письменного согласия на обработку персональных данных субъекта. Нужно получить новый документ — согласие на распространение персональных данных (примерную форму согласия на размещение персональных данных на сайте организации можно скачать здесь). Кроме того, в течение 3 рабочих дней потребуется также опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения (например, также путем размещения на сайте). Взять «без спроса» общедоступные данные, опубликованные самим субъектом, теперь также запрещается, – нужно получить предварительное согласие данного субъекта. При этом без согласия субъекта персональных данных, как и прежде, возможна обработка персональных данных и их передача органам власти в соответствии с нормативными правовыми документами (например, налоговым и следственным органам, полиции, Роструду и др.).

Ну и как и ранее субъект персональных данных в любой момент может отозвать свои согласия – в этом случае обработку или их размещение следует прекратить в течение 3 рабочих дней (если только нормативные правовые акты не разрешают продолжить их обработку).

Уведомлять Роскомнадзор о намерении начать обработку персональных данных, разрешенных для распространения, не нужно. При этом напоминаем, что штраф за размещение персональных данных (например, в отношении работников на сайте организации) без согласия их субъектов составляет для ИП — от десяти тысяч до двадцати тысяч рублей; для юридических лиц — от шестидесяти тысяч до ста тысяч рублей (п.1 ст.13.11 КоАП РФ). Срок давности – 1 год.

Рекомендуем оформить дополнительно к письменному согласию на обработку персональных данных субъекта также согласие на распространение персональных данных.