29 июля, 2021

Поправки в федеральный закон о персональных данных

Федеральный закон России от 27 июля 2006 г. 152-ФЗ («Закон о персональных данных») о персональных данных, который гарантирует защиту персональных данных физических лиц и применяется к компаниям, которые собирают, используют или передают такие данные.

1 марта 2021 г. в Федеральный закон «О персональных данных» от 30 декабря 2020 г. внесены изменения 519-ФЗ, внесшие изменения в вступивший в силу Закон «О персональных данных» (за исключением раздела, вступающего в силу 1 июля 2021 г.) («Исправления»).

Поправки существенно меняют правовую среду для компаний, которые хотят публиковать персональные данные в Интернете и офлайн, например, аудиторию работодателя. Изменения в основном предоставят субъектам данных больший контроль над обработкой их персональных данных в целях распространения. Введение конкретного определения персональных данных разрешено субъектом данных для распространения («Разрешение на распространение личных данных”) Станет частью действующего законодательства о данных в России:

Распространение разрешено для широкой публики, уполномоченной субъектом данных, одобрив обработку персональных данных..

По сути, любой заинтересованный оператор данных может доверять только согласию субъекта данных при размещении личных данных в общедоступных источниках и использовании их после публикации данных. Цель пояснительных примечаний к поправкам – предотвратить «сбор и неограниченное использование таких личных данных на Веб-сайтах для целей, отличных от первоначальной цели, для которой они были распространены».

Поправки также предусматривают, что форма и содержание согласия должны устанавливаться аккредитованным органом, ответственным за защиту прав субъектов персональных данных («Роскоммонтор»).

Какие требования к утверждению следует учитывать операторам данных?

С таким упором на согласие мы приводим краткое изложение новых требований ниже:

  • Статус по умолчанию:

    • Если объект данных позволяет общественности передавать данные, должно быть прямое указание на то, что данные могут быть переданы общественности по согласию. Указание условий и ограничений является обязательным требованием.

    • При отсутствии условий и ограничений согласия оператору разрешается обрабатывать такие персональные данные, но без передачи (распространения, размещения, доступа и других действий) для всеобщего сведения.

  • Меньшинство: одобрение должно быть дано отдельно от других согласий и должно быть конкретным для каждой цели.

    • Что касается публикации данных о сотрудниках, то теперь работодатели несут большую нагрузку. Ранее работодатели могли получить разрешение от сотрудника на обработку его / ее личных данных в целях управления персоналом, и это разрешение могло разрешить размещение сведений о сотруднике на корпоративном веб-сайте, хотя такое разрешение должно было быть получено отдельно с 1 марта 2021 года. .

  • Явный: в поправках указано, что требуется явное одобрение – по умолчанию согласие недействительно. Ранее это было рассмотрено, но прямо не указано в законе.

  • Положения и условия: объект данных имеет право перечислять личные данные и налагать ограничения на публикацию (исключая доступ) и условия обработки (кроме предоставления доступа).

    • Это изменение теперь позволяет сотруднику дать свое согласие на публикацию своих личных данных (фотографии, имени, образования, опыта работы, ключевой квалификации и т. Д.) На корпоративном веб-сайте и одновременно накладывает ограничение на дальнейший обмен этими данными. данные. Это включает преобразование в потенциальных клиентов как часть плана по предоставлению услуг.

  • Разглашение: Оператор должен опубликовать информацию об условиях процесса и любых ограничениях в течение трех рабочих дней с момента получения одобрения. Оператор обязан рассмотреть, существуют ли какие-либо ограничения или ограничения на раскрытие, передачу или другую обработку персональных данных для всеобщего сведения, а затем незамедлительно сделать эту информацию доступной в интересах прозрачности. Это обязательство действует до 1 марта 2021 года.

  • Право на отзыв согласия: поправки подтверждают право на отзыв данных.

READ  Россия продолжает удерживать права на проведение чемпионата мира по волейболу 2022 года среди мужчин

Какие есть возможности для третьих лиц?

Акцент на умножении и утверждении такой нагрузки на операторов данных также очевиден в отношениях с третьими сторонами. С 1 марта 2021 года третьи лица, желающие обрабатывать разрешенные к распространению персональные данные, имеют три варианта:

  1. Доверять согласию, полученному оператором данных от субъекта данных при обработке персональных данных, разрешенных к передаче в соответствии с правилами обработки данных;

  2. Доверять согласию, предоставленному Субъектом данных Роскомнатур через специальный веб-сайт, созданный в соответствии с Законом, но в соответствии с Правилами обработки данных (этот вариант будет доступен с 1 июля 2021 г.); Или же

Еще неизвестно, останется ли в силе одобрение, полученное до 1 марта 2021 года. Кроме того, неясно, имеют ли поправки какие-либо последствия (т.е. необходимо ли получать новое согласие в соответствии с новыми требованиями).

Роскомнадзор выпустил проект приказа, детализирующий форму и содержание утверждения, хотя на сегодняшний день приказ официально не утвержден. Некоторые положения поправок (например, требования к утверждению, упомянутые выше; доказательство правомерности последующего распространения в случаях, связанных с утечками; без согласия). На сегодняшний день Роскомнацер такого объяснения не опубликовал.

Предложения

В свете вышеизложенного мы рекомендуем операторам и третьим лицам делать следующее:

  • Следите за обновлениями и разъяснениями Роскомнатура относительно регулирования обработки разрешенных к распространению персональных данных.

  • Отредактируйте политики в отношении защиты личных данных, которые разрешено передавать, чтобы привести их в соответствие с изменениями.

  • Если возможно, проверьте все согласия и при необходимости внесите в них поправки. В частности, если компания опубликовала данные о своих сотрудниках на своем корпоративном веб-сайте, теперь она должна получить их разрешения с использованием требований, указанных в поправках.

  • Публикуйте информацию об Условиях обработки и любых ограничениях в отношении разрешенных к передаче личных данных.

READ  Военная хунта Мьянмы заявляет, что связи с Россией не прекращаются, а связи с США - нет

В свете этих изменений любой оператор, желающий получить возможность обрабатывать разрешенные к передаче персональные данные, должен теперь рассмотреть, какие изменения необходимо внести в свою политику, и утвердить ее, чтобы обеспечить соблюдение поправок. Мы ожидаем, что Роскомнацер может дать официальное указание исключить некоторые из этих правил, особенно в отношении содержания согласия и регрессивного эффекта поправок, эта история еще не полностью завершена.

© Авторское право 2020 Sky Patton Box (US) LLPОбзор национального законодательства, Том XI, № 62