30 декабря 2020 года Президент РФ В.В.Путин подписал Федеральный закон N 519-ФЗ, вносящий существенные изменения в Федеральный закон N 152-ФЗ "О персональных данных", который вступает в силу с 1 марта 2021 года.
Первое, что мы видим, – новое определение, появившееся в ст. 3:
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом.
Т.е., по сути, определение "общедоступные персональные данные" заменили на "персональные данные, разрешенные для распространения". Интересный момент заключается в том, что сохраняются общедоступные источники персональных данных, однако, как следует из внесённых поправок, включение персональных данных в такие источники теперь не означает, что их можно распространять свободно (нужно получить соответствующее согласие).
Если раньше обработка персональных данных допускалась с согласия субъекта или в ряде других случаях, в т.ч. если персональные данные сделаны общедоступными самим субъектом персональных данных, то теперь этот пункт (п. 10 ч.1 ст.6) упразднён. Но вместо этого пункта появилась целая статья, в которой описываются особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения. Она так и называется: "Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения".
Первый пункт нововведенной статьи касается оформления согласия на обработку персональных данных и звучит он следующим образом:
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
В новой версии Федерального закона говорится, что основания на обработку персональных данных должны быть представлены в виде отдельного согласия на распространение. Учитывая, что общедоступные источники никуда не делись, то, возможно придется собирать уже два согласия: одно письменное для включения персональных данных субъекта в общедоступные источники информации, второе на распространение.
Если в прошлой редакции статьи 6 ФЗ-152 "О персональных данных" существовала норма, позволяющая любой организации свободно использовать персональные данные граждан, которые они самостоятельно разместили, например, в Интернете, то с 1 марта 2021 года это запрещено. Операторам персональных данных теперь придется доказывать, что у них есть законное основание на последующее распространение таких персональных данных.
Каждая организация, размещающая, например, персональные данные своих работников, клиентов, граждан на сайте, иных Интернет ресурсах, обязана после 1 марта получить отдельное согласие и тем самым отказаться от укоренившейся практики так называемых "общих" согласий. Каждая компания, которая использовала персональные данные граждан, взяв их из открытых источников, должна также получить отдельное согласие гражданина (субъекта персональных данных).
Интересен момент, что если по каким-то причинам персональные данные оказались доступны неопределенному кругу лиц, то любое лицо, осуществившее их распространение или иную обработку, также должны предоставить доказательства законности последующего их распространения.
Если субъект дал согласие на обработку своих персональных данных, но из этого согласия не следует, что он согласился с распространением, такие персональные данные должны обрабатываться оператором без права распространения.
В новом законопроекте субъектам персональных данных дается возможность самим регулировать условия обработки, накладывать запреты на обработку, а также устанавливать запрет на передачу своих персональных данных третьим лицам.
Если сам бланк согласия не подразумевает полей, устанавливающих запреты, или не указаны перечень или категории персональных данных, для которых субъект устанавливает условия и запреты, то такие персональные данные должны обрабатываться оператором без распространения или без предоставления доступа к этим данным. Отказать в установлении запрета или ограничения в отношении распространения персональных данных оператор не имеет права. Более того, Оператор обязан опубликовать информацию об условиях обработки и о наличии запретов и условий обработки в срок, не превышающий 3-х дней с момента получения соответствующего согласия.
В текущей версии закона, в общедоступные источники персональных данных могут включаться сведения о субъекте с его письменного согласия.
Из новой статьи закона мы видим, что согласие на распространение персональных данных может быть предоставлено субъектом:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
Формулировки не подразумевают сбора письменных согласий операторами, что значительно упрощает сам процесс. Т.е. достаточно того, что субъект персональных данных соглашается с согласием размещенным на сайте. Но к оформлению таких согласий нужно подойти со всей серьезностью, т.к. к самим согласиям будут предъявляться более жесткие требования.
Что касается специальной информационной системы Роскомнадзора, предназначенной для сбора согласий на распространение персональных данных, то ее нет. Т.е. регулятор закладывает такую возможность, но когда реализует – непонятно. По состоянию на 23 марта 2021 года имеются сведения о том, что Роскомнадзор разработал правила пользования информационной системой, которую можно будет использовать для дачи и отзыва согласия на обработку персональных данных. Поэтому имеет смысл ориентироваться на согласия данные непосредственно субъектом оператору. Тем более что молчание или бездействие субъекта ни при каких обстоятельствах не могут считаться согласием на распространение персональных данных.
Как и любое правило, требования нововведенной статьи имеют исключения. Установленные субъектом запреты на распространение его персональных данных могут быть проигнорированы оператором, если случаи обработки ПД касаются государственных, общественных или иных публичных интересов, определенных законодательством РФ.
Также требования новой статьи не применяются, если:
- обработка персональных данных производится в целях выполнения норм законодательства РФ;
- обработка производится федеральными или региональными органами исполнительной власти или же органами местного самоуправления для исполнения своих функций, полномочий и обязанностей.
Передача персональных данных, разрешенных субъектом для распространения, должна быть прекращена по требованию субъекта. В данном случае, ничего нового требования статьи не содержат, т.к. оператор и так должен прекратить обработку персональных данных субъекта, если тот пишет соответствующий отзыв данного ранее согласия. Данное требование должно включать в себя ФИО субъекта, контактную информацию, а также перечень персональных данных, распространение которых подлежит прекращению. Соответственно, действие данного ранее согласия прекращается в течение трех дней с момента поступления оператору подобного требования или в срок, указанный во вступившем в законную силу решение суда, если субъект обратился в суд.
Помимо новой статьи закона, вводятся изменения в уже существующие и связанные с общедоступными источниками информации. В частности, претерпела изменение статья 18. Если раньше Оператор освобождался от обязанности предоставлять субъекту персональных данных сведения, полученные из общедоступных источников информации, то теперь закон ссылается на все вышеописанные требования новой статьи.
Ровно тоже произошло и со статьей 22 152-го Федерального закона, в которой говорится об уведомлении Роскомнадзора. В старой версии закона говорится о том, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, полученных из общедоступных источников информации. В новой же версии оператор должен учитывать все условия и запреты, отраженные в вводимой статье.
На самом деле эти изменения не накладывают каких-то дополнительных условий на оператора, так как в большинстве случаев оператор и так должен был предоставить обрабатываемые данные субъекта по его запросу и уведомить Роскомнадзор о своей деятельности как оператора.
Итог
Появилось новое понятие, пришедшее на смену понятию "общедоступные источники персональных данных", при этом сами общедоступные источники никуда не делись. Оператору нужно оформлять отдельным документом согласие на распространение персональных данных субъекта. Субъект может устанавливать запреты на распространение своих персональных данных или их части. Должна появиться информационная система, оператором которой будет Роскомнадзор. В этой информационной системе можно будет получить согласие на распространение персональных данных своих субъектов. Закон запрещает используемый сегодня операторами персональных данных подход: "что не запрещено, то разрешено".
Отныне организация (оператор персональных данных) не имеет права распространять персональные данные по умолчанию или бездействию человека.