В России изменены правила обработки общедоступных данных

С 1 марта 2021 года вступает в силу Федеральный закон от 30 декабря 2020 года № 519-ФЗ, который вносит поправки в Федеральный закон «О персональных данных».

Поправки исключают из закона понятие «персональные данные, сделанные общедоступными субъектом персональных данных» и статью, которая допускала обработку таких данных любым лицом без согласия субъекта персональных данных.

При этом введена новая статья 10.1 и категория «персональные данные, разрешенные субъектом персональных данных для распространения». Согласно определению под эту категорию подпадают данные, доступ неограниченного круга лиц к которым предоставлен лицом путем дачи согласия и которые разрешены этим лицом для распространения.

Новые требования обязывают операторов получать согласие субъектов персональных данных перед распространением их персональных данных.

Ожидается, что изменения коснутся в первую очередь владельцев сайтов, на которых публикуются персональные данные (например, социальные сети, сайты объявлений и пр.), а также работодателей, размещающих на своих сайтах информацию о сотрудниках.

В качестве исключений из новых правил предусмотрены лишь случаи обработки персональных данных в государственных, общественных и иных публичных интересах.

Требования к согласию

Согласие на обработку персональных данных, разрешенных для распространения, должно соответствовать следующим требованиям:

• Согласие должно получаться отдельно от иных согласий. Следовательно, работодателям придется собирать дополнительные согласия на размещение информации о работнике на сайте.
• Физическое лицо должно иметь возможность выбрать, в отношении каких данных оно предоставляет согласие на распространение.
• Согласие именно на распространение данных должно быть однозначным. На практике это означает, что простой отсылки к способам обработки, предусмотренным законодательством, будет недостаточно.
• Согласие должно быть выражено активными действиями субъекта, молчание и бездействие субъекта не считается согласием.
• Субъект персональных данных должен иметь возможность запретить передачу (кроме предоставления доступа) данных неограниченному кругу лиц, а также запретить обработку или установить условия обработки (кроме получения доступа) данных неограниченным кругом лиц. Таким образом, даже если данные будут доступны неограниченному кругу лиц после публикации, их последующее использование может быть ограничено, поскольку субъект сможет сформулировать определенные условия их обработки.
• Если лицо пожелает не устанавливать какие-либо ограничения в отношении обработки своих данных, это должно прямо и недвусмысленно следовать из согласия. При этом недостаточно просто не указать ограничения и запреты – необходимо четко прописать, что субъект не ограничивает обработку своих данных.

Дополнительные требования к согласию могут быть установлены Роскомнадзором, однако в настоящее время никаких пояснений не опубликовано.

По общему правилу согласие может быть дано в любой форме. При этом оно может быть получено оператором напрямую либо через информационную систему Роскомнадзора. Во время подготовки этого сообщения такая информационная система, а также правила ее использования еще не созданы.

Права и обязанности операторов и субъектов персональных данных

После получения согласия оператор обязан в течение трех дней опубликовать условия и ограничения использования персональных данных, установленные субъектом персональных данных.

При этом субъект персональных данных вправе потребовать прекращения передачи (распространения, предоставления, доступа) персональных данных в любой момент от любого оператора, как распространившего данные, так и обрабатывающего данные в дальнейшем.

В случае раскрытия персональных данных самим физическим лицом, а также если данные становятся доступными в результате неправомерных действий или обстоятельств непреодолимой силы, обязанность доказывания законности обработки персональных данных лежит на каждом операторе, обрабатывающем данные. Так, оператор не вправе обрабатывать данные, полученные в результате утечки данных или их незаконной публикации в Интернете, при отсутствии надлежащего законного основания.

Ответственность

Закон не содержит отдельных положений об ответственности за несоблюдение новых правил, в связи с чем мы ожидаем, что будут применяться общие положения об ответственности, в частности, за обработку персональных данных в случаях, не предусмотренных законодательством РФ (п. 1 ст. 13.11 КоАП).

Комментарий

Новые правила вводят дополнительные ограничения по работе с персональными данными, которые затрагивают почти все компании, которые публикуют данные или используют данные из Интернета.

Теперь перед использованием данных, размещенных в открытом доступе, необходимо будет провести дополнительную проверку на предмет законности распространения таких данных, а также возможных запретов и ограничений использования таких данных, установленных субъектом. Бремя доказывания законности использования данных лежит на лице, которое их использует.

Кроме того, учитывая необходимость именно активного согласия, на практике нужно избегать получения согласия с помощью «предпроставленных» галочек или через механизм продолжения использования сайта, в оферте которого «зашито» согласие на распространение персональных данных.

Учитывая неоднозначность формулировок, практическая реализация новых требований может вызывать вопросы, которые, мы надеемся, будут разъяснены Роскомнадзором в ближайшее время.

Мы рекомендуем компаниям проверить текущую деятельность по обработке персональных данных, при необходимости ввести новые формы согласий, а также закрепить внутренние правила использования данных, находящихся в открытом доступе.

Если у вас возникли вопросы в связи с настоящим информационным бюллетенем, просим вас связаться с экспертами CMS Russia Антоном Банковским, Ириной Шурминой, Владиславом Елтовским или с вашим постоянным контактным лицом в CMS Russia.