С марта 2021 г. вступили в силу поправки в законодательство о персональных данных, касающиеся «общедоступных персональных данных». Теперь этого понятия больше не будет, и, соответственно, нельзя будет осуществлять свободную обработку данных, которые раньше попадали под данную категорию, без согласия субъекта персональных данных. Вместо него в законе появится новое понятие — «персональные данные, разрешенные субъектом персональных данных для распространения». Под эту категорию подпадают данные, доступ неограниченного круга лиц к которым предоставлен лицом путем дачи согласия и которые разрешены этим лицом для распространения. О том, какие новые требования придется выполнять операторам персональных данных при работе с этой категорией персональных данных, а также какие новые штрафы теперь грозят за правонарушения в области персональных данных, читайте в материале.
С 1 марта 2021 г. вступил в силу Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“». Этим законом устранена категория «общедоступные данные» и введена новая категория — «персональные данные, разрешенные субъектом персональных данных для распространения», а также установлены весьма строгие требования к обработке таких данных.
Изменения коснутся в первую очередь владельцев сайтов и сервисов с данными (социальные сети, сайты объявлений, различные приложения и пр.), работодателей, публикующих на своих сайтах информацию о сотрудниках, а также компании, обрабатывающие общедоступные данные (например, при помощи технологий автоматизированного сбора данных, таких как парсинг и скрейпинг).
История принятия закона
Законопроект был внесен в Госдуму депутатом А.В. Горелкиным в ноябре 2020 г. Как указано в пояснительной записке, цель поправок — дать возможность субъектам контролировать судьбу своих персональных данных, опубликованных на интернет-сайтах, и запрещать их использование в целях, отличных от цели их первоначального распространения. Также в ней отмечено, что положения законопроекта являются дополнительным регулированием применительно к правовым механизмам охраны частной жизни, изображения, защиты чести, достоинства и деловой репутации, установленным ст. 152—152.2 Гражданского кодекса Российской Федерации.
После незначительных доработок законопроект прошел три чтения в декабре 2020 г. и уже 30 декабря был подписан Президентом РФ.
Новая категория данных
Поправки исключают из Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных») понятие «общедоступные персональные данные» и положения, предусматривающие свободную обработку таких данных без согласия субъекта персональных данных.
В Федеральный закон «О персональных данных» была введена новая ст. 10.1 и категория данных — «персональные данные, разрешенные субъектом персональных данных для распространения». Под эту категорию подпадают данные, доступ неограниченного круга лиц к которым предоставлен лицом путем дачи согласия и которые разрешены этим лицом для распространения.
Из определения следует, что речь идет именно о данных, которые распространяются среди неограниченного круга лиц, а не просто передаются третьим лицам, например, по договору в рамках сотрудничества. Таким образом, представляется, что передача персональных данных, которая не подразумевает доступ к данным неограниченного круга лиц, не требует соблюдения требований новой ст. 10.1.
Новая форма согласия
Согласно новым положениям Федерального закона «О персональных данных», оператор (лицо, которое организовало обработку данных и определило ее цели) обязан получить у субъекта согласие на распространение персональных данных. При этом Федеральный закон «О персональных данных» впервые выдвинул требование о том, что такое согласие должно получаться отдельно от иных согласий, например, на другие виды обработки данных работников или пользователей сайта.
При этом в законе не содержится требование о получении согласия на распространение персональных данных в письменной форме. Дополнительные требования к согласию может утверждать Роскомнадзор. В проекте приказа, опубликованном на сайте ведомства, указано, что согласие должно получаться в письменной форме либо в электронной форме с использованием информационной системы Роскомнадзора. Однако на текущий момент эта система не разработана.
Кроме того, из проекта следует, что в согласие будет включаться весьма существенное количество информации о субъекте персональных данных — вероятно, даже более существенное, чем количество данных, согласие на распространение которых он дает. В частности, в согласии будут указываться контактные данные субъекта: номер телефона, адрес электронной почты или почтовый адрес.
Примечательно, что в проекте приказа Роскомнадзора указано, что в согласие будут включаться «цель (цели) обработки персональных данных», что может указывать на смягчение позиции регулятора в отношении того, что в одном согласии должна содержаться одна цель. Ранее такая позиция высказывалась представителями Роскомнадзора на различных мероприятиях и в ходе проверок.
Проект все еще находится на согласовании, текст его не окончательный, и не исключено, что он будет дорабатываться. Однако обязательство операторов по получению согласий действует уже с 1 марта 2021 г., в связи с чем игнорировать это требование в связи с отсутствием утвержденной Роскомнадзором формы согласия не следует.
Молчание не знак согласия
Впервые в российском законодательстве о персональных данных нашел отражение принцип «активного согласия». В статье 10.1 появился абзац, согласно которому молчание или бездействие со стороны субъекта данных не будет считаться согласием. Оно должно быть выражено в активных действиях субъекта, а также быть однозначным.
На практике это означает, что простой отсылки к политике обработки персональных данных, принятой в компании или размещенной на сайте, или включения согласия в договор-оферту будет недостаточно, как и проставления единой «галочки» о согласии на обработку данных при регистрации на сайте. Следует выделить согласие на распространение данных в отдельные поле или документ.
Несмотря на то что норма об «активном согласии» относится только к согласию на распространение персональных данных, полагаем, что такого подхода следует придерживаться при получении любых иных согласий на обработку персональных данных или на рассылку рекламы, поскольку включение такого положения явно отражает общий тренд в регулировании и практике.
Указание на запреты и ограничения использования персональных данных
Согласно обновленной версии Федерального закона «О персональных данных», субъект должен иметь возможность запретить передачу данных неограниченному кругу лиц (после ее опубликования), а также запретить обработку или установить условия обработки данных неограниченным кругом лиц (кроме получения доступа к таким данным).
Получается, что лицо должно иметь возможность ограничить последующее использование опубликованных данных третьими лицами. При этом если субъект готов не ограничивать обработку, это должно прямо и недвусмысленно следовать из согласия.
Ограничения и условия использования опубликованных данных, однако, не будут распространяться на обработку данных в государственных, общественных и иных публичных интересах. Вопрос о том, отвечает ли, например, деятельность СМИ общественным и публичным интересам, не урегулирован и, вероятнее всего, будет решаться в каждом конкретном случае с учетом освещаемых фактов и объема используемых данных.
цитируем документ
Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом.
Подпункт 1.1 ст. 3 Закона № 152-ФЗ
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Пункт 1 ст. 10.1 Закона № 152-ФЗ
Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Пункт 8 ст. 10 Закона № 152-ФЗ
Новое обязательство операторов персональных данных
У операторов персональных данных также появилось дополнительное, весьма необычное обязательство. В течение трех дней после получения согласия оператор должен опубликовать условия и ограничения использования персональных данных, установленные субъектом персональных данных.
Как именно, в каком виде и где должна публиковаться такая информация, в законе не сказано, каких-либо разъяснений на эту тему пока что нет.
Требование о публикации условий и ограничений использования вступает в силу с 1 июля 2021 г., поэтому время на выработку решений для соблюдения этого требования еще есть.
Использование данных из открытых источников — риск оператора
Закон устанавливает, что в случае раскрытия персональных данных самим физическим лицом, а также если данные становятся доступными в результате неправомерных действий или обстоятельств непреодолимой силы, обязанность доказывания законности обработки персональных данных лежит на каждом операторе, обрабатывающем данные.
Это положение направлено на ограничение использования данных, ставших доступными в результате утечек или взлома. Оператор не вправе обрабатывать данные, полученные в результате их незаконной публикации в интернете, при отсутствии надлежащего законного основания.
Таким образом, обработка данных из интернета после 1 марта 2021 г. становится весьма рискованной и требует дополнительного анализа. В случае претензий от субъекта или проверки оператору будет сложно аргументировать обработку тем, что данные были общедоступными и согласие не требовалось, — в таком случае необходимо будет доказать, что данные были опубликованы и собраны до вступления в силу новых положений Федерального закона «О персональных данных».
Прекращение обработки по требованию субъекта
Статья 10.1 Федерального закона «О персональных данных» прямо закрепляет, что субъект персональных данных вправе потребовать прекращения передачи (распространения, предоставления, доступа) персональных данных в любой момент от любого оператора — как распространившего данные, так и обрабатывающего данные в дальнейшем.
Следовательно, даже если данные были получены в открытом доступе на законном основании, оператор будет обязан прекратить их использование по требованию субъекта.
Что необходимо сделать в связи с новыми положениями закона?
Новые требования распространяются на работу с персональными данными компаний, которые публикуют данные или используют данные из интернета. На текущий момент неоднозначность формулировок и отсутствие разъяснений и практики не дают ответы на то, как правильно соблюдать требования на практике. Будем надеяться, что новые положения будут разъяснены Роскомнадзором в ближайшее время. Несколько практических советов о том, что нужно делать в связи с принятием поправок в Федеральный закон «О персональных данных», можно дать уже сейчас:
-
Проанализировать работу с персональными данными, при их публикации на сайтах — внедрить механизмы получения новых согласий.
-
Получить новые согласия работников, чьи данные публикуются на сайтах компаний. В качестве ориентира можно использовать проект согласия, подготовленный, но еще не утвержденный Роскомнадзором.
-
Избегать получения согласия с помощью «предпроставленных» галочек или через механизм «молчаливого» продолжения использования сайта.
-
До 1 июля 2021 г. разработать механизмы публикации информации о запретах и ограничениях на использование данных и следить за новостями от Роскомнадзора в этой части.
-
Перед использованием данных, размещенных в открытом доступе, провести дополнительную проверку на предмет законности их распространения, а также возможных запретов и ограничений использования таких данных, установленных субъектом.
-
В случае получения требования субъекта персональных данных о прекращении распространения данных незамедлительно удалить данные из открытого доступа.
Новые штрафы за нарушения в области персональных данных
Напомним, что Федеральным законом от 24.02.2021 № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» были увеличены штрафы за нарушения в области персональных данных, а также установлена повышенная ответственность за повторные нарушения. Размеры штрафов с учетом новых изменений приведены в таблице. Данные поправки вступают в силу с 27 марта 2021 г.
Таблица
Неопубликование политики оператора в отношении обработки персональных данных или сведений о реализуемых требованиях к защите персональных данных |
для компаний — до 60 000 руб. |
Невыполнение оператором предусмотренной законодательством обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных |
для компаний — до 80 000 руб. |
Невыполнение оператором требования об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки |
для компаний — до 90 000 руб.; при повторном нарушении — до 500 000 руб. |
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных |
для компаний — до 100 000 руб. |
Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных |
для компаний — до 100 000 руб.; при повторном нарушении — до 300 000 руб. |
Обработка персональных данных без согласия в письменной форме субъекта, когда такое согласие обязательно, либо нарушение требований к его содержанию |
для компаний — до 150 000 руб.; при повторном нарушении — до 500 000 руб. |
Невыполнение оператором при сборе персональных данных предусмотренной законодательством обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации |
для компаний — до 6 млн руб.; при повторном нарушении — до 18 млн руб. |