Удаляем персональные данные из общего доступа: нововведения с 1 марта

9-03-2021, 09:37

Первого марта вступили в силу поправки в Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных», сообщил телеканалу НТР 24 помощник нижнекамского городского прокурора Ренал Гараев.

Зачем нужен новый закон?

Теперь гражданин имеет право обратиться к любому лицу с требованием удалить его персональные данные из общего доступа без дополнительных условий доказывания факта неправомерной обработки персональных данных.

Требовать от лица блокирования или уничтожения персональных данных можно было и раньше, однако с соблюдением условия – необходимо было доказать, что они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (в соответствии с ч.1 ст.14 закона №152-ФЗ). Новый закон позволяет осуществлять соответствующие запросы только по причине того, что персональные данные принадлежат гражданину.

Основное отличие нововведений от предыдущей версии закона заключается в том, что любой человек теперь сам может принять решение в отношении того, какие персональные данные могут использоваться публично. Гражданин сам устанавливает их перечень, при этом причины можно не указывать – лицо обязано удалить данные из общего доступа просто потому, что они относятся к определенному или определяемому лицу. Согласие должно быть выражено отдельно от других согласий на обработку персональных данных.

Что нового вводит закон в отношении законодательства о персональных данных?

Поправки вводят новый термин – персональные данные, разрешенные гражданином для распространения. К ним относятся такие персональные данные, доступ неограниченного круга лиц к которым предоставлен им самим гражданином (подп.1.1 ст.3 закона 152-ФЗ).

Такое разрешение выражается путем дачи согласия на обработку персональных данных. Согласие должно оформляться отдельно от других согласий гражданина на обработку его персональных данных. Лицо обязано обеспечить гражданину возможность определить перечень персональных данных по каждой категории, указанной в таком согласии (ч.1 ст.10.1 закона №152-ФЗ).

Гражданин также имеет право ограничить обработку персональных данных лицом – например, если в согласии не было прямого разрешения на распространение персональных данных, лицо имеет право их обрабатывать, но без распространения (ч.4 ст.10.1 закона №152-ФЗ). При этом молчание и бездействие гражданина не является согласием на обработку (ч.8 ст.10.1 закона №152-ФЗ).

На кого распространяются положения закона?

Под ответственность попадают все лица, которые выкладывают персональные данные в общий доступ. К таким лицам относятся, например, социальные сети. Таким образом согласие может быть предоставлено непосредственно лицу (в соответствии с п.1 ч. 6 ст.10.1 закона №152-ФЗ), то есть направлено в письменном виде самой социальной сети.

Впоследствии предоставление согласия можно будет совершать с использованием системы Роскомнадзора как уполномоченного органа по защите прав субъектов персональных данных – соответствующие поправки вступают в силу с 1 июля текущего года. Согласие должно быть рассмотрено оператором в срок не позднее трех рабочих дней (ч.9 ст.10.1 закона №152-ФЗ).

Каким образом можно прекратить обработку персональных данных в общем доступе?

Любой гражданин, чьи персональные данные находятся в общем доступе, может прекратить такую обработку, включая передачу, распространение, предоставление и доступ к персональным данным. Закон определяет перечень сведений, которые должно содержать такое требование:

ФИО;
контактная информация (например, номер телефона, адрес электронной почты);
перечень персональных данных, обработка которых подлежит прекращению.

Таким образом, с момента поступления лицу соответствующего требования прекращается действие согласия на обработку персональных данных, разрешенных для распространения. Лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования гражданина.

Также гражданин имеет право обратиться с соответствующим требованием в суд (в соответствии с ч.14 ст.10.1 закона №152-ФЗ). Лицо обязано прекратить передачу персональных данных в срок, указанный во вступившем в законную силу решении суда. Если такого указания в решении суда нет – в течение трех рабочих дней с момента вступления решения суда в законную силу.

Важно обратить внимание, что гражданин вправе обратиться с таким требованием к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений законодательства. Иными словами, гражданство и местонахождение лица не имеют значения – если осуществляется обработка персональных данных субъекта-гражданина РФ, то требования закона на этот случай распространяется.

Какая ответственность предусмотрена за неисполнение требований закона?

Ответственность за нарушение законодательства о персональных данных регламентируется ст. 13.11 КоАП РФ. На данный момент санкции за обработку персональных данных без согласия предусмотрены следующие:

для граждан – предупреждение или штраф в размере от 3 тыс. до 5 тыс. рублей;
для должностных лиц – предупреждение или штраф от 10 тыс. до 20 тыс. рублей;
для юридических лиц – предупреждение или штраф от 15 тыс. до 75 тыс. рублей.

С 27 марта текущего года вступят в силу поправки об ужесточении ответственности лица за нарушение положений законодательства о персональных данных (Федеральный закон от 24 февраля 2021 года №19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»).

Во-первых, все существующие санкции в виде штрафов увеличиваются вдвое. Также упраздняется такой вид санкции как предупреждение. И, наконец, устанавливаются санкции за повторное нарушение.

После вступления в силу поправок санкции будут предусмотрены следующие: