Изменение в законе о персональных данных 2021, поправки
  • Главная  » 
  • Блог  » 
  • Закон о персональных данных 2021: что изменилось и как не нарушать

Закон о персональных данных 2021: что изменилось и как не нарушать

Закон о персональных данных


В марте начали действовать изменения в законе о персональных данных (ПД). Правила стали жестче, а штрафы больше. Предприниматели и юристы рассказывают, как это изменит бизнес.

Как изменился закон о персональных данных 2021

  • Появились персональные данные, разрешенные для распространения. Это новый термин, до этого использовали понятие «общедоступные персональные данные». Например, чтобы опубликовать на сайте отзыв довольного клиента, придется получить дополнительное согласие. Раньше было достаточно согласия на обработку, но теперь так нельзя.
  • Нельзя распространять данные из открытых источников. Допустим, человек в соцсетях указал фамилию, имя, номер телефона, e-mail. Согласно изменениям в законе, эту информацию нельзя использовать без разрешения субъекта.
  • Необходимо обезличить ПД. Раньше так делали только бюджетные организации, использовали не ФИО, а номер. Теперь все хранят персональные данные в обезличенном виде.
  • 3 дня на прекращение распространения. Например, у кадрового агентства есть банк резюме для клиентов. Хозяин резюме имеет право потребовать, чтобы анкету не показывали другим. Для этого он напишет заявление, а эйчары обязаны убрать информацию из базы в течение 3 дней. До этого резюме можно было взять на сайте поиска работы и спокойно предлагать клиентам. Теперь для этого придется взять согласие работника.
  • Новые правила приема на работу. Кадровики подписывают с новыми работниками соглашение об обработке и распространении данных. Иначе не получится передать информацию даже в банк для оформления зарплатной карты или написать имя сотрудника на сайте компании.
  • Передавать информацию без согласия можно только в определенных случаях. Например, в компанию пришли силовики и сказали, что нужны данные человека, который находится в розыске. Для этого согласие не понадобится.

Сооснователь компании «Б-152» Максим Лагутин считает, что закон не доработан, и непонятно, как будет действовать на практике. Но основные изменения можно выделить:

«Основная суть нововведений в том, чтобы человек мог лучше управлять распространением своих персональных данных. Если раньше опубликованные и публичные данные аккаунтов в социальных сетях можно было спокойно собирать и обрабатывать, прикрываясь соответствующей статьей 152-ФЗ «О персональных данных» (хотя еще с 2018 года Роскомнадзор требовал наличие договора с социальной сетью у компании или отдельного согласия на обработку общедоступных данных), то теперь и публикация в общем доступе и использование только с отдельного согласия. При этом человек может поставить условия (какие захочет) на то, как можно, а как нельзя использовать его публичные данные, и в любой момент может сделать их недоступными для распространения»

Новые поправки вводят и штрафы за обработку данных без согласия:

  • 6-10 тысяч рублей для граждан;
  • 20-40 тысяч рублей для должностных лиц и ИП;
  • 30-150 тысяч для организаций.

При повторном нарушении суммы увеличиваются почти в 2 раза.

Почему закон изменили

Жизнь и бизнес переходят в электронное пространство, там теперь располагаются базы с данными пользователей и клиентов. Мошенники постоянно воруют эту информацию. Мемом стали звонки службы безопасности зеленого банка из тюрьмы, но это не всегда смешно. По данным Центробанка в 2020 году кибермошенники украли у россиян 10 миллиардов рублей, а это на 52,2% больше, чем в 2019 году.

Информацию воруют, берут из открытых источников или покупают у операторов через сотрудников. Поэтому государство решило ужесточить закон о персональных данных в 2021 году.

Главный юрист PR-агентства 2L Александр Штыров считает изменения в законе обоснованными:

«В области обработки персональных данных назрела необходимость большей защиты субъекта ПД. Каждый день происходят утечки, поэтому сегодня данные о человеке находят в открытом доступе в сети, причем не всегда ясно, появились они санкционировано, есть ли согласие субъекта, соответствуют ли они действительности. Закон о персональных данных 2021 даст право требовать удаления своих ПД с любого ресурса без необходимости доказывать незаконность получения, неактуальность данных, несоответствие их действительности»

Скорее всего, изменения в законе — это один из этапов ужесточения контроля за личными данными граждан. Одно дело, если телефон человека получает компания, чтобы предложить услуги, и совсем другое, когда номер в руках преступников.

Что делать бизнесу, чтобы не получить штраф

Некоторые юристы отмечают, что в закон о персональных данных 2021 содержит много расплывчатых формулировок. Но есть рекомендации, позволяющие избежать претензий от контролирующих органов:

  • Оформить новые соглашения. Закон не имеет обратной силы, но лучше сделать новые соглашения с сотрудниками и контрагентами. В документе стоит прописать, какую информацию можно передавать, а какую нет.
  • Назначить ответственных за работу с ПД. Обычно это кадровые сотрудники, но некоторые выбирают бухгалтера или руководителя.
  • Разработать документы и локальные акты. Это правила, которые прописывают работу, охрану, условия хранения и передачи ПД, а также цель использования.
  • Рассказать сотрудникам о законе. Все работники должны знать, что не имеют права передавать ПД клиентов без согласия. Кроме этого, они узнают, что и их собственные данные тоже не уйдут на сторону.
  • Уведомить Роскомнадзор. Любая компания, которая использует персональные данные, становится оператором ПД. Нужно сообщить в РКН, что бизнес использует данные клиентов или партнеров. Летом начнет работу Информационная система ведомства для регулирования этих процессов.

Уведомлять службу не придется, если:

  • действует трудовой договор;
  • ПД нужны для оформления договора;
  • ПД используются для разового пропуска;
  • в данных только фамилия, имя и отчество;
  • ПД обрабатывают без автоматизированных сервисов.

Если говорить про документы, то нужна форма для согласия о передаче данных. Управляющий директор консультационной группы «ТИМ» Виктор Миронов подчеркивает, что единой формы сегодня нет:

«В июле 2021 года планируют запустить единую информационную систему от РКН. Этот сервис будет регулировать распространение ПД. Пока системы нет и неизвестно, как она будет работать. Поэтому каждый оператор разрабатывает свою форму согласия. Необязательно в письменном виде. По закону допускаются любые варианты, которые подтвердят согласие. Но лучше сделать письменную форму, чтобы избежать сложных ситуаций. Главное, чтобы в бланке была информация, которую требует указать Роскомнадзор»

Кроме этого, предприниматели обеспечивают защиту от кибермошенников. Директор онлайн-бухгалтерии «Небо» Артем Туровец считает, что новый закон не сильно изменит работу бизнеса:

«Я бы не сказал, что бизнес должен сильно готовиться. Да, нужно обложить себя документами, чтобы у Роскомнадзора не было претензий, но это не трудно. А в целом вопрос хранения персональных данных — это больше не про закон, а про репутацию. В нашем сервисе десятки тысяч пользователей, и мы на уровне архитектуры сервиса ведем работу по защите. Мы регулярно видим атаки и попытки взлома, поэтому и без закона действуем. Также бизнес должен построить процессы внутри компании, чтобы доступ к ПД был у минимума сотрудников, и они несли за это ответственность»

Эксперт в области информационной безопасности и CEO компании AtreIdea Сергей Белов считает, что предприниматели столкнуться с некоторыми затратами:

«Дополнительные затраты бизнеса связаны с анализом и модификацией пользовательских соглашений, трудовых договоров и прочих документов, в рамках которых человек дает согласие на обработку персональных данных. При этом обязательная письменная форма согласия отсутствует, что определенно упростит задачу, например, для различных социальных сетей. Затрат может потребовать работа с заявлениями об отзыве согласия на распространение персональных данных. В рамках закона также увеличивается размер штрафов при первом и повторных нарушениях, но суммы далеки от зарубежных практик и едва ли нанесут значимый ущерб»

Как изменения в законе повлияют на работу бизнеса

Пока получается картина, что предпринимателям придется сделать упор на работу с документами. Потому что под действие закона попадают типовые ситуации, когда используются персональные данные:

  • Взаимодействие с банками. Отправка данных для оформления зарплаты или других выплат.
  • ЧОП. Для оформления пропуска на территорию предприятия или офисного здания.
  • Медицинские центры и страховые компании. Осмотры или диспансеризация сотрудников, ОМС.
  • Образовательные учреждения. Учеба или повышение квалификации сотрудников.
  • Туристическая сфера. При покупке билетов и бронировании проживания в командировках.

Наверное, больше всего проблем появится в рекламных и маркетинговых акциях. Например, компания получила от партнеров базу мобильных номеров для обзвона. По новым правилам, люди из базы должны дать согласие на это. Поэтому они могут потребовать, чтобы им не звонили и перестали давать контакты на сторону. В принципе они могут пожаловаться и в контролирующие органы.

Сергей Белов считает, что в ближайшее время правила продвижения бизнеса поменяются:

«Ужесточение правил приведет к повышению издержек при работе с персональными данными клиентов и внесет дополнительные ограничения в рекламные возможности. В последующие несколько лет с большой вероятностью мы увидим сокращение рынка рекламных оповещений с помощью e-mail, SMS, звонков. Бизнес станет бережнее работать с клиентами»

С этим согласен и Александр Штыров:

«Необходимо привыкнуть подписывать согласия на обработку ПД. Любая рекламная кампания, маркетинговое мероприятие должны проводится с учетом требований. Поэтому нужно предусмотреть максимальные возможности в форме согласия. Это залог отсутствия штрафов. Кроме того, стоит помнить, что при обращении клиента с требованием удалить персональные данные, лучше сделать это сразу, чтобы не получить штраф»

Закон о персональных данных 2021 не принесет радикальных изменений для бизнеса, но теперь придется аккуратнее работать с любыми данными клиентов и сотрудников.

Специалисты рекомендуют привести в порядок документы и переписать соглашения.