Порядок обработки персональных данных, разрешённых для распространения

Порядок обработки персональных данных, разрешённых для распространения

Персональные данные, разрешённые для распространения, появились в российском правовом поле весной 2021 года. Они значительно отличаются от общедоступных персональных данных — их обработка регламентирована иначе. Новые правила обработки порождают ряд проблем, с которыми могут столкнуться операторы. Официальные разъяснения по этим проблемам можно ожидать с введением в действие новой информационной системы Роскомнадзора. Рассмотрим изменения в 152-ФЗ «О персональных данных» после вступления в силу закона № 519-ФЗ от 30.12.2020.

 

 

 

 

  1. Введение
  2. Отличия от персональных данных, ставших общедоступными
  3. Проблемы обработки персональных данных, разрешённых для распространения
  4. Выводы

Введение

Персональные данные, разрешённые для распространения, — это новая разновидность персональных данных в российском праве, которая была введена в марте 2021 года законом № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”». К ним могут иметь доступ любые лица, если субъект, которому принадлежат эти данные, дал специальное согласие — об этом говорится в п. 1.1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 30.12.2020) «О персональных данных». Рекомендуемая форма согласия обозначена приказом Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения». Формы согласий уже можно разрабатывать с учётом формы регулятора на уровне организаций, а применять их можно будет официально только с 1 сентября 2021 года. Разберёмся подробнее с природой персональных данных, разрешённых для распространения, и способами регулирования их обработки.

Отличия от персональных данных, ставших общедоступными

До вступления в силу 1 марта 2021 года закона № 519-ФЗ в 152-ФЗ существовал такой вид данных, как «персональные данные, сделанные общедоступными субъектом персональных данных». К ним могли иметь доступ вообще все люди. Такой доступ предоставлялся по просьбе субъекта. Также они могли содержаться в общедоступных источниках персональных данных.

Термин «общедоступные персональные данные» и категория «просьба субъекта» вводили физических и юридических лиц в заблуждение. Складывалось ошибочное мнение, что раз персональные данные стали общедоступными, да ещё и по просьбе субъекта, к которой не было установлено каких-либо формальных требований, то можно было брать такие персональные данные и обрабатывать их любыми способами без согласия субъекта.

Суды неоднократно сталкивались с этой проблемой и критиковали истцов и ответчиков за доводы, будто данные о субъекте, ставшие общедоступными, могут свободно использоваться и их распространение законодателем не ограничивается, а следовательно, не является нарушением 152-ФЗ. Суды указывали, что такая позиция необоснованна и не даёт права использовать сделанные общедоступными сведения в своих целях и без согласия субъекта. Например, нельзя публиковать на сторонних ресурсах выписки из ЕГРЮЛ в отношении организации с персональными данными генерального директора и учредителей, размещёнными в общедоступном источнике (на сайте ЕГРЮЛ) согласно п. «д» ч. 1 ст. 5 закона № 129-ФЗ от 08.08.2001 (ред. от 27.10.2020) «О государственной регистрации юридических лиц и индивидуальных предпринимателей» (см. решение привокзального районного суда г. Тулы № 2-997/2020 М-938/2020 от 28 июля 2020 г. по делу № 2-997/2020). Такая публикация будет считаться распространением — обработкой — персональных данных. А распространение возможно только при наличии согласия субъекта.

Для того чтобы гармонизировать правоприменительную практику, законодатель убрал из 152-ФЗ упоминания общедоступных персональных данных и ввёл новый термин — «персональные данные, разрешённые для распространения». Этот вид данных отрегулирован так, что субъект получает широкую легитимную возможность контролировать распространение своих данных в информационном пространстве. Делается это за счёт того, что субъект указывает в согласии условия и запреты на распространение данных. Оператор в свою очередь обеспечивает опубликование таких условий и запретов на странице, где размещены персональные данные субъекта, разрешённые для распространения. Так, оператор берёт на себя обязанность оповестить всех посетителей информационного ресурса о том, как следует работать с опубликованными данными и можно ли их распространять далее.

При этом стоит отметить, что хотя из закона убран термин «общедоступные персональные данные», само это явление продолжает существовать. В ч. 2 ст. 10.1 закона № 152-ФЗ закреплено, что если субъект сам раскрыл свои персональные данные неопределённому кругу и не предоставлял оператору специального согласия, то любые третьи лица, которые распространили такие персональные данные, должны доказать законность их обработки. Такие данные, опубликованные без специального согласия, но по воле самого субъекта, — это персональные данные, сделанные общедоступными самим субъектом.

Проблемы обработки персональных данных, разрешённых для распространения

Правоприменительной практики по обработке персональных данных, разрешённых для распространения, ещё не сложилось. Однако при анализе ст. 10.1 закона № 152-ФЗ можно выделить ряд проблем, с которыми столкнутся операторы при работе с новым видом персональных данных:

  1. Проблема организационного исполнения установленных субъектом условий и запретов по обработке персональных данных, разрешённых для распространения. Каждый субъект может установить свои особенные условия и запреты. Такие условия и запреты должны соблюдаться оператором и публиковаться в явной и понятной форме рядом с данными, к которым они относятся.
  2. Проблема выстраивания взаимодействия с контрагентами и иными лицами, обрабатывающими персональные данные, разрешённые для распространения. В ч. 14 ст. 10.1 закона № 152-ФЗ установлено, что субъект персональных данных вправе обратиться с требованием прекратить передачу своих персональных данных, ранее разрешённых им для распространения, к любому лицу, обрабатывающему его персональные данные. Таким образом, каждому оператору при заключении соглашений о защите персональных данных с контрагентами нужно дополнительно урегулировать порядок взаимодействия двух операторов в случае получения одним из них такого требования.
  3. Проблема выстраивания процессов по сбору согласий на обработку персональных данных, разрешённых для распространения, посредством информационной системы Роскомнадзора. В соответствии с ч. 6 ст. 10.1 закона № 152-ФЗ согласие можно принимать непосредственно от субъекта либо с 1 июля 2021 года через информационную систему Роскомнадзора. Проект приказа Роскомнадзора об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций сейчас находится на стадии оценки регулирующего воздействия (см. Федеральный закон от 31.07.2020 № 247-ФЗ «Об обязательных требованиях в Российской Федерации»). Порядок взаимодействия с субъектом персональных данных в новой системе нужно будет учитывать, когда оператор станет разрабатывать локальные нормативные акты в сфере защиты персональных данных.

Этот небольшой перечень проблем, с которыми могут столкнуться операторы при обработке персональных данных, разрешённых для распространения, выявлен на момент вступления в силу закона № 519-ФЗ и носит прогностический характер. С развитием правоприменительной практики список может быть скорректирован.

Компании-операторы уже начали выстраивать систему работы с новым видом персональных данных. Наиболее частые вопросы, которые возникают у операторов:

  • Как грамотно обеспечить публикацию условий и запретов, установленных субъектом?
  • Как обеспечить публикацию условий и запретов в отношении персональных данных, разрешённых для распространения, если такие данные публикуются в закрытых или открытых группах в социальных сетях?
  • Будут ли являться персональными данными, разрешёнными для распространения, Ф. И. О. и фотографии, используемые в новостных публикациях, и нужно ли брать согласия субъектов для таких публикаций?

Предполагается, что с момента запуска новой информационной системы Роскомнадзор представит бизнес-сообществу разъяснения по вопросам связанным с соблюдением новых требований 152-ФЗ. Такие разъяснения вкупе с судебной практикой позволят сформировать более целостное представление о том, как обрабатывать персональные данные, разрешённые для распространения.

Выводы

По нашему мнению, правовое регулирование нового вида персональных данных устанавливает для операторов немало организационно-административных барьеров. Новые требования распространяются на каждого оператора, в том числе на медицинские и образовательные организации, которые, казалось бы, обязаны публиковать персональные данные своих работников в открытом доступе на основании законов (см. п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и п. «з» ч. 2 ст. 29 Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» соответственно).

С 1 сентября 2021 года начнёт складываться практика их обработки и практика проверок такой обработки регулятором. Первые кейсы станут более чётким ориентиром для выстраивания в компаниях модели работы с персональными данными, разрешёнными для распространения. Сейчас рекомендуем ориентироваться на ст. 10.1 закона № 152-ФЗ и приказы Роскомнадзора, а также отслеживать позицию регуляторов на семинарах и конференциях.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru