1. Главная
  2. Статьи

Согласие на обработку персональных данных, разрешенных для распространения. Роскомнадзор указал, какие сведения должны в нем быть

| статьи | печать
автор:
опубликовано:«ЭЖ-Юрист» №16 (1667) 2021

В марте 2021 г. вступили в силу поправки, в которых из Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» исключили термин «общедоступные данные», а вместо него появились «персональные данные, разрешенные субъектом персональных данных для распространения». На распространение таких персональных данных компаниям нужно получать согласие субъектов персональных данных, причем отдельное от других согласий. Теперь Роскомнадзор утвердил приказ, в котором указал конкретный перечень сведений, которые должны содержаться в таком согласии. Кому придется соблюдать требования, изложенные в этом приказе, — в нашем материале и комментариях экспертов.

Роскомнадзор утвердил приказ от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения» (далее — Приказ Роскомнадзора № 18). В приказе предусмотрен перечень сведений, которые должны быть указаны в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Этот перечень будет применяться в обязательном порядке с 01.09.2021.

Зачем нужно получать согласие по новым требованиям?

С марта 2021 г. вступил в силу Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“». Этим законом исключено понятие «общедоступные данные» и дополнены особенности обработки персональных данных.

Вместо него появились «персональные данные, разрешенные субъектом персональных данных для распространения».

Также установлены требования к обработке таких данных (подробнее см. «(Не)доступные данные: новые требования к обработке общедоступных данных», «ЭЖ-Юрист», № 11 (1162), 2021).

В связи с этим Роскомнадзор установил требования к согласию на обработку персональных данных, разрешенных субъектом персональных данных для распространения. То есть речь идет не о любом согласии, которое дает субъект персональных данных, а о согласии на распространение данных, разрешенных субъектом персональных данных.

Что нужно указать в согласии?

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, должно содержать следующую информацию:

1. Фамилия, имя, отчество (при наличии) субъекта персональных данных.

2. Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных).

3. Сведения об операторе персональных данных.

Если оператором является организация, то потребуется указать наименование, адрес, указанный в ЕГРЮЛ, ИНН, ОГРН (если он известен субъекту персональных данных), а если оператор — это физическое лицо, то его фамилию, имя, отчество (при наличии), место жительства или место пребывания. Если же оператором является индивидуальный предприниматель, то нужно будет указать фамилию, имя, отчество (при наличии), ИНН, ОГРН (если он известен субъекту персональных данных).

4. Сведения об информационных ресурсах оператора, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных. В частности, придется указывать адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имени файла веб-страницы.

5. Цель (цели) обработки персональных данных. Здесь нужно обратить внимание, что в одном согласии можно будет указать несколько целей обработки персональных данных (до утверждения Приказа Роскомнадзора № 18 были предположения, что придется на каждую цель иметь отдельное согласие).

6. Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:

  • персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);

  • специальные категории персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);

  • биометрические персональные данные.

7. Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта персональных данных).

8. Условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных).

9. Срок действия согласия.

Сколько будут действовать новые требования?

В Приказе Роскомнадзора № 18 указано, что он вступает в силу с 01.09.2021 и будет действовать до 01.09.2027.

Комментарий эксперта

С 01.09.2021 вступит в силу Приказ Роскомнадзора № 18 об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Следует различать обработку персональных данных (сбор, систематизация, накопление и др.) и распространение. Распространение отличается от всех остальных видов обработки (в том числе от предоставления) неопределенным кругом получателей. Примером распространения персональных данных может быть опубликование на сайте рекламы с данными сотрудника (контактами, ФИО, фото). Требования, предусмотренные Приказом Роскомнадзора № 18, необходимо соблюдать в случае распространения персональных данных неопределенному кругу лиц.

В Приказе Роскомнадзора № 18 речь идет о требованиях к согласию об обработке персональных данных, разрешенных их субъектом для распространения. Это информация, к которой ее субъект предоставляет доступ неограниченному кругу лиц, давая согласие на их обработку. Такое разрешение дается конкретному оператору, другие операторы не могут использовать данные без согласия их владельца.

Если раньше получение одного согласия давало возможность распространять персональные данные и осуществлять все иные виды обработки, то теперь помимо общего согласия на обработку требуется дополнительное согласие на распространение. Случаи, когда согласие на обработку не требуется, предусмотрены в п. 2—11 ч. 1 ст. 6 Закона № 152-ФЗ. К ним относятся случаи:

  • когда обработка необходима для достижения целей, предусмотренных международным договором РФ;

  • в связи с участием лица в судопроизводстве;

  • для исполнения судебного акта, акта другого органа или должностного лица;

  • для осуществления профессиональной деятельности журналиста или СМИ и др.

В отличие от общего согласия на обработку персональных данных, в новой форме указывается более подробная информация об операторе, а именно сведения об информационном ресурсе, а также условия, при которых полученные данные могут передаваться оператором. В согласии требуется указать сведения об операторе организации, об операторе — физическом лице, об операторе-гражданине, а также сведения об информационном ресурсе, где будут распространяться сведения. Такую «новую» форму согласия необходимо будет получать тем компаниям, которые собираются распространять (неопределенному кругу лиц) данные о человеке, например, на корпоративном сайте, в социальных сетях, путем публикаций в журнале. В случае если осуществляется предоставление, то есть круг лиц определен, то необходимо просто перечислить лица, которым будут передаваться данные, в согласии на обработку, то есть отдельного согласия на распространение не потребуется.

Изменения касаются тех компаний, на сайте которых есть персональные данные в открытом доступе, либо если персональные данные публикуются в печатной или иной форме. Например, социальные сети, сайты объявлений, печатные издания с объявлениями и т.д. Если на сайте компании закрытый доступ (то есть персональные данные видят только зарегистрированные лица), например, если это закрытая корпоративная сеть, если компания предоставляет персональные данные в государственных или иных публичных интересах (по вопросам безопасности государства) или оператор является государственным органом власти или органом местного самоуправления, которые распространяют персональные данные в силу своих полномочий, то такое специальное согласие на распространение не потребуется.

Ранее полученные согласия можно оставить и использовать до истечения срока их действия. Они сохранят свою силу для всех случаев обработки персональных данных, кроме распространения, для пос­леднего потребуется новое согласие субъекта. Без отдельного согласия обработка и распространение данных будут считаться незаконными.

Комментарий эксперта

«ЭЖ-Юрист»: В каких случаях придется получать согласия об обработке персональных данных, разрешенных субъектами персональных данных к распространению, с учетом требований, предусмотренных в Приказе Роскомнадзора № 18?

Александр Афонин: С 01.03.2021 было введено понятие персональных данных, разрешенных к распространению (ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ). Согласие на обработку таких персональных данных нужно получать с учетом следующих особенностей:

  • оно должно быть оформлено отдельно от иных согласий (п. 1 ст. 10.1 Закона № 152-ФЗ);

  • согласие должно быть выражено явно (п. 1 ст. 10.1 Закона № 152-ФЗ). Молчание не предоставляет право на распространение (п. 8 ст. 10.1 Закона № 152-ФЗ);

  • согласие должно быть выражено непосредственно, но с 01.07.2021 допускается с использованием информационной системы Роскомнадзора (п. 6 ст. 10.1 Закона № 152-ФЗ);

  • оператор должен обеспечить субъекту персональных данных возможность определять перечень данных, разрешенных к распространению (п. 1 ст. 10.1 Закона № 152-ФЗ);

  • субъект при предоставлении согласия вправе устанавливать запреты и ограничения, кроме ограничения на предоставление доступа неограниченному кругу лиц (п. 9 ст. 10.1 Закона № 152-ФЗ).

В случае если лицо раскроет свои персональные данные неопределенному кругу лиц, то на операторе все равно будет лежать обязанность предоставить согласие на обработку (п. 2 ст. 10.1 Закона № 152-ФЗ). При этом если персональные данные получены от третьего лица, которое само обрабатывает или распространяет данные без согласия в результате нарушения (сервисы третьих лиц), то лицо, обрабатывающее данные (наш сервис, наши клиенты), все равно обязано иметь согласия (п. 2 ст. 10.1 Закона № 152-ФЗ).

«ЭЖЮ»: Эти требования точно придется соблюдать соцсетям. А какие компании еще затронет обязанность получать согласие на обработку данных, разрешенных для распространения?

А.Ф.: Указанные требования относятся не только к социальным сетям, но и к другим ресурсам, которые предполагают возможность доведения до сведения неопределенного круга лиц персональных данных пользователей, в том числе:

  • сервисы по поиску работы (например, hh.ru);

  • сервисы по проверке пользователей, обрабатывающие данные из социальных сетей и общедоступных источников (популярные чат-боты в telegram);

  • составители базы данных контактов лиц организаций, содержащих ФИО и мобильные телефоны (например, лиц, принимающих решение о проведении закупок).

В то же время под действие новых правил не подпадают те организации, которые не осуществляют распространение персональных данных, например:

  • организации торговли и сферы услуг, принимающие заявки через сайт (СберМаркет);

  • организации, предоставляющие платный или бесплатный доступ к своему функционалу (Яндекс.Музыка).

«ЭЖЮ»: В целом есть ли что-то новое в Приказе Роскомнадзора № 18? Или на практике и так в согласии указывают все сведения, перечисленные в этом документе?

А.Ф.: Требования, предъявляемые к содержанию согласия на распространение персональных данных, являются достаточно подробными. В целом они повторяют существовавшие ранее Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», размещенные на сайте Роскомнадзора 27.07.2017 в разделе «Персональные данные» (https://rkn.gov.ru/personal-data/p908/). Однако на практике далеко не все компании:

  • отражали ранее информацию о категориях обрабатываемых данных, целях обработки, о сроке действия согласия;

  • реализовали установленные в ст. 10.1 Закона № 152-ФЗ и указанные выше требования к порядку получения такого согласия: возможность выбора категорий данных, разрешенных к распространению, возможность установления запретов, отделенность специального согласия на распространение персональных данных от общего согласия на обработку.

«ЭЖЮ»: Если компания получила согласие на обработку персональных данных еще до 01.03.2021, но оно не соответствует новым требованиям, нужно ли ей получать согласие на распространение персональных данных по новым требованиям?

А.Ф.: Если компания не осуществляет распространение персональных данных (предоставление возможности ознакомления неопределенного круга лиц), то получать новое согласие не требуется. Если же компания получила согласие до 01.03.2021 без учета требований к содержанию согласия (то есть без учета Приказа Роскомнадзора № 18) и без учета способа его получения (п. 10.1 Закона № 152-ФЗ), то действия по распространению персональных данных требуют получения нового согласия.