Федеральным законом от 30.12.2020 N 519-ФЗ внесены изменения в Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон от 27.07.2006 N 152-ФЗ).
Введено новое понятие персональных данных, разрешенных субъектом персональных данных для распространения, - это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи соответствующего согласия.
Изменения касаются в том числе и сферы трудовых отношений.
На практике под распространением персональных данных неограниченному кругу лиц чаще всего имеется в виду размещение информации о работнике на сайте или в социальных сетях организации в сети Интернет.
Суть изменений заключается в следующем (ст.10.1 Федерального закона от 27.07.2006 N 152-ФЗ):
- для распространения персональных данных работника работодателю необходимо получить не только согласие на обработку, но и отдельно согласие на распространение персональных данных;
- если работник дал свое согласие на обработку персональных данных, но не на их распространение, работодатель может их обрабатывать (хранить, уточнять, использовать и т.д.), но не имеет права их передавать (распространять);
- работник вправе самостоятельно выбрать, какие именно персональные данные и на каких условиях может распространять работодатель;
- установленные работником запреты и условия распространения не действуют, когда обработка его персональных данных осуществляется в государственных, общественных или иных публичных интересах (в Пенсионный фонд РФ, Фонд социального страхования РФ, налоговую службу, военкомат, полицию и т.д.);
- молчание или бездействие работника не может считаться согласием на распространение его персональных данных;
- у работника необходимо запрашивать также письменное согласие на обработку и (или) распространение его общедоступных персональных данных (т.е. тех, которые работник самостоятельно разместил, например, в социальных сетях);
- после получения согласия работника на распространение персональных данных, содержащее условия или запреты на их обработку, работодатель должен опубликовать информацию об этих условиях или запретах в течение трех рабочих дней (например, на сайте организации, где опубликованы и персональные данные работника);
- работодатель обязан прекратить распространение персональных данных по требованию работника.
Работник может дать работодателю свое согласие на распространение персональных данных (ч.6 ст.10.1 Федерального закона от 27.07.2006 N 152-ФЗ):
- лично в письменной форме;
- через информационную систему Роскомнадзора (с 01.07.2021 года).
Требования к содержанию нового согласия на распространение персональных данных устанавливаются Роскомнадзором (ст.9 Федерального закона от 27.07.2006 N 152-ФЗ).
В настоящее время форма согласия не утверждена, однако соответствующий проект находится на стадии общественного обсуждения на Федеральном портале проектов нормативных правовых актов https://regulation.gov.ru/ (ID 01/02/01-21/00112660).
Из текста проекта следует, что согласие на распространение персональных данных должно содержать:
- Ф.И.О. субъекта персональных данных;
- контактную информацию субъекта персональных данных (работника) (телефон, электронная почта или почтовый адрес);
- наименование или Ф.И.О. и адрес оператора (работодателя), получающего согласие;
- цель обработки персональных данных;
- категории и перечень персональных данных, на обработку которых дается согласие или обработка которых запрещена;
- условия разрешения и запрета обработки персональных данных;
- срок, в течение которого действует согласие;
- сведения об информационных ресурсах оператора, посредством которых они будут предоставлены неограниченному кругу лиц (например, адрес сайта).
Следует также отметить, что многократно увеличены штрафы за нарушение законодательства о защите персональных данных.
Например, обработка персональных данных без письменного согласия субъекта, если такое согласие должно быть получено, может повлечь штраф в размере до 500 тысяч рублей (ст.13.11 Кодекса РФ об административных правонарушениях).