Особые требования к обработке общедоступных персональных данных
В Закон о персональных данных внесены изменения: новые требования Для обработки общедоступных персональных данных. Поправки вступили в силу 1 марта 2021 года, за исключением одного пункта, касающегося новой информационной системы, поддерживаемой Российским органом по защите данных (обсуждается ниже). По данным Управления по защите данных России, нет необходимости повторно вводить согласие на разглашение персональных данных, полученных в соответствии с законодательством, до 1 марта 2021 года.
Новые требования направлены на защиту опубликованных персональных данных от неконтролируемого распространения путем создания гипотетического предположения, что общедоступные персональные данные не могут быть распространены сторонними читателями. Это также дает субъектам данных возможность указывать свои личные данные, которые могут стать общедоступными, и то, как данные, опубликованные сторонними «читателями», могут быть обработаны.
В соответствии с предыдущей версией российского Закона о персональных данных операторы данных (то есть контроллеры данных) могут обрабатывать персональные данные без согласия субъекта данных, если данные предоставляются неограниченному количеству людей (то есть публикуются) посредством заинтересованного субъекта данных или по его указанию. Фактически это означало, что опубликованные персональные данные, включая персональные данные в Интернете, могли собираться и распространяться любой компанией.
Модификации существенно изменили этот подход. Во-первых, они ввели новую категорию персональных данных — «общедоступные персональные данные» — определяемые как персональные данные, к которым может получить доступ неограниченное количество людей на основании конкретного согласия данных, подлежащих публикации («согласие к публикации »). Во-вторых, поправки устанавливают особые правила обработки общедоступных персональных данных, в частности:
(а) Оператор данных не может публиковать общедоступные личные данные без согласия. Чтобы согласие было эффективным, согласие на публикацию должно быть получено отдельно от других типов согласия и содержать четкое заявление о том, что публикация разрешена субъектом данных. Ни при каких обстоятельствах молчание или бездействие субъекта данных не может рассматриваться как согласие на публикацию.
(b) Субъекты данных могут предоставить согласие на публикацию непосредственно оператору данных или через информационную систему, поддерживаемую Российским органом по защите данных (эта система должна быть введена в действие в июле 2021 года).
(c) Субъекты данных могут по своему усмотрению устанавливать определенные ограничения или условия для обработки своих общедоступных персональных данных, и операторы данных должны соблюдать такие ограничения и условия. Согласие на публикацию должно четко показывать, были ли эти ограничения и условия установлены субъектами данных; В противном случае такие личные данные должны обрабатываться без защиты авторских прав.
(d) Оператор данных обязан публиковать информацию об условиях и ограничениях обработки, применимых на любой платформе, открытой для «читателей» (онлайн или офлайн), в течение 3 дней после получения согласия на публикацию.
(e) Если субъект данных публикует свои персональные данные без согласия публикации, обязательство по установлению законности любой последующей публикации или дальнейшей обработки таких персональных данных возлагается на каждое лицо, которое опубликовало или обработало такие данные.
(f) Распространение персональных данных оператором данных (например, распространение, предоставление или доступ) может быть остановлено в любое время по запросу субъекта данных. Согласие на публикацию субъекта данных истекает после получения запроса оператором данных.
(g) В случае несоблюдения требований оператором данных субъект данных может подать запрос оператору данных или подать иск в суд. Оператор данных должен прекратить распространение любых таких персональных данных в течение 3 рабочих дней с момента получения запроса или вступления в силу решения суда или в течение срока, указанного в решении суда.
Разработано Российским агентством по защите данных Требования О стандартной форме согласия на публикацию, которой должны строго следовать операторы данных. Эти требования вступают в силу 1 сентября 2021 г. и требуют утверждения публикации, включающей следующие сведения:
(i) полное имя и контактные данные субъекта данных;
(2) полное наименование, адрес, регистрационный номер и налоговый идентификационный номер оператора данных;
(3) сведения о веб-сайте, на котором личные данные субъекта данных будут опубликованы или обработаны иным образом;
(iv) цель (цели) обработки данных;
(v) категории (общие, биометрические, конфиденциальные) и список обрабатываемых персональных данных;
(6) категории и список персональных данных, для которых субъект данных определяет ограничения и условия обработки в связи со списком таких ограничений (ожидается, что такие субъекты данных будут заполнять такие данные по своему усмотрению; оператор данных не может предлагать несколько вариантов для таких ограничений);
(vii) условия передачи персональных данных через внутреннюю корпоративную сеть оператора данных, Интернет или любой другой запрет на передачу персональных данных (заполняется по усмотрению субъекта данных); И
условие согласия.
Наиболее прямое воздействие этот закон будет на компании, которые полагаются на сбор и обработку общедоступных персональных данных, которым будет запрещено публиковать данные, собранные из общедоступных источников, без согласия на публикацию. Но, кроме того, новые требования коснулись всех социальных сетей, веб-порталов и рынков, работающих в России, а также всех компаний, которые поддерживают общедоступные профили своих российских сотрудников, например, любое распространение данных в контексте, специально не одобренном субъектом данных. . Это можно считать незаконным. В целом, все компании должны пересмотреть свою деятельность по обработке опубликованных персональных данных.
Увеличиваются штрафы
24 февраля 2021 г. был введен в действие Кодекс Российской Федерации об административных правонарушениях. Показатель С увеличением штрафов за несоблюдение российского законодательства о защите данных. Данные изменения вступили в силу 27 марта 2021 года.
Большинство административных штрафов было увеличено вдвое. Поправки также ввели двойные штрафы за неоднократные нарушения. Вот список новых штрафов:
(a) Обработка персональных данных способами, не разрешенными российским Законом о персональных данных, или обработка персональных данных, несовместимая с целями сбора персональных данных, может повлечь за собой штраф в размере до 100000 рублей (около 1120 евро) для юридических лиц и до 20000 рублей ( около 220 евро) для чиновников;
(b) повторное нарушение пункта (а) выше может повлечь предупреждение или штраф в размере до 300 000 рублей (около 3400 евро) для юридических лиц и до 50 000 рублей (около 560 евро) для должностных лиц;
(c) Обработка персональных данных без письменного согласия субъекта данных, когда это требуется по закону, или обработка персональных данных без включения информации, требуемой в письменном согласии, может повлечь за собой штраф в размере до 150000 российских рублей (около 1680 евро) за юридические юридические лица и до 40 000 российских рублей (около 450 евро) для должностных лиц;
(d) повторное нарушение пункта (c) выше может привести к штрафу в размере до 500 000 рублей (около 5 590 евро) для юридических лиц и до 100 000 рублей (около 1120 евро) для должностных лиц;
(e) Неспособность опубликовать настоящую Политику конфиденциальности или обеспечить неограниченный доступ к этой Политике конфиденциальности или информации, запрошенной в отношении мер безопасности данных оператора данных, может повлечь за собой штраф в размере до 60 000 рублей (приблизительно 1010 евро) для юридических лиц и до 12 000 рублей (около 130 евро) для должностных лиц;
(f) непредоставление Субъектам данных информации об обработке их персональных данных может повлечь за собой штраф в размере до 80 000 рублей (около 670 евро) для юридических лиц и до 12 000 рублей (около 130 евро) для должностных лиц;
(g) несвоевременное выполнение запроса субъекта данных о подробностях, блокирование или удаление персональных данных, когда персональные данные являются неполными, устаревшими, неверными, незаконно полученными или ненужными для заявленной цели обработки, может повлечь за собой штраф в размере до 90000 рублей ( около 1010 евро) для юридических лиц и до 20 000 российских рублей (около 220 евро) для должностных лиц;
(h) повторное нарушение пункта (g) выше может повлечь за собой штраф в размере до 500 000 рублей (около 5 590 евро) для юридических лиц и до 50 000 рублей (около 560 евро) для должностных лиц;
(i) несоблюдение требований по обеспечению безопасности персональных данных и предотвращению несанкционированного доступа к таким персональным данным во время хранения физических копий (т.е. когда не используются автоматизированные средства обработки), если это приводит к незаконному или случайному несанкционированному доступу за, уничтожение или изменение, блокирование, копирование, предоставление или распространение персональных данных или другие незаконные действия, если это правонарушение не является преступлением, может повлечь за собой штраф в размере до 100000 рублей (около 1120 евро) для юридических лиц и до 20000 рублей ( около 220 евро) чиновникам.
Административные штрафы за несоблюдение требований локализации данных остаются прежними (Ссылка на сайт).
Прочие разработки
В отдельных случаях 16 февраля 2021 года Государственная Дума (нижняя палата российского парламента) приняла закон о смягчении требований к согласию субъекта письменных данных в первом чтении. В соответствии с действующим законодательством операторы данных должны получить письменное согласие при определенных обстоятельствах, в частности, для обработки конфиденциальных данных, передачи данных о сотрудниках третьим сторонам и передачи личных данных через границу в США и другие страны, которые этого не делают. Обеспечивает адекватную защиту прав лиц, имеющих отношение к персональным данным в соответствии с российским законодательством. Существующий закон технически требует, чтобы такие согласия предоставлялись и получали отдельно в строгом соответствии с требованиями закона в отношении их содержания и того, как они подписываются.
Этот законопроект изменен и предусматривает возможность получения единого письменного согласия, когда отдельные согласия могут потребоваться для многократного использования или раскрытия данных, что несовместимо с текущей правоприменительной практикой.
Чтобы законопроект стал обязательным, он должен пройти два чтения в Государственной Думе, быть принят Советом Федерации (верхней палатой российского парламента) и подписан президентом России как закон.
Наталья Специна, стажер нашего московского офиса, внесла свой вклад в создание этой записи.