17  ноября 2020г. депутатом Государственной Думы А. В. Горелкиным был внесен законопроект № 1057337-7 «О внесении изменений в Федеральный закон «О персональных данных»» в части особенностей обработки персональных данных, разрешенных субъектом персональных данных для распространения.  Проект уже прошел все обсуждения и 30-го декабря был подписан президентом. В этой статье мы попробуем проанализировать какие-же изменения нас ждут уже в этом году в части обработки и защиты персональных данных.

Первое, что мы видим это новое определение, появившееся в ст. 3:

Персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом

Т.е., по сути, определение общедоступные персональные данные заменили на персональные данные разрешенные для распространения. Интересный момент заключается в том, что сохраняются общедоступные источники ПДн, однако, как следует из внесённых поправок, включение ПДн в такие источники теперь не означает, что данные ПДн можно распространять свободно (нужно получить соответствующее согласие).

Если раньше обработка персональных данных допускалась с согласия субъекта или в ряде других случаях, в т.ч. если персональные данные, сделаны общедоступными самим субъектом персональных данных, то теперь этот пункт, п. 10 ч.1 ст.6 был упразднён. Но взамен этого пункта, появилась целая статья, в которой описываются особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения. Она так и называется.

Особенности обработки персональных данных, разрешенных субъектом персональных данных для рапространения

Первый пункт нововведенной статьи касается оформления согласия и звучит он следующим образом:

Согласие    на   обработку   персональных   данных,   разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Т.е., мы не видим требований к оформлению согласий в письменном виде, что значительно может упростить процесс их сбора, но об этом чуть позже.

В случае раскрытия ПДн неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, обязанность предоставить доказательства законности распространения или иной обработки лежит на каждом лице, осуществляющем их распространение или иную обработку.

Т.е. по факту ничего особенного не добавилось, оператор как и раньше должен доказать свое право на обработку ПДн своих субъектов и основания на такую обработку. В новой версии Федерального закона основания должны быть представлены в виде отдельного согласия на распространение . Учитывая, что общедоступные источники никуда не делись, то возможно придется собирать уже два согласия. Одно письменное для включения персональных данных субъекта в общедоступные источники информации, второе же на распространение.

Пока это лишь наша трактовка, но вероятность этого велика. В любом случае, после вступления закона в силу и возникновения подобных инцидентов нужно ждать позиции судов.

Интересный момент, что если по каким-то причинам ПДн оказались доступны неопределенному кругу лиц, то любое лицо осуществившее их распространение или иную обработку также должны предоставить доказательства законности последующего их распространения.

Если субъект ПДн дал согласие на обработку своих персональных данных, но из этого согласия не следует, что субъект ПДн согласился с распространением, такие персональные данные должны обрабатываться оператором без права распространения.

В новом законопроекте субъектам персональных данных дается возможность самим регулировать  условия обработки, накладывать запреты на обработку своих ПДн, а также устанавливать запрет на передачу своих данных третьим лицам. Интересный момент, что если сам бланк согласия не подразумевает полей устанавливающих запреты или не указаны перечень ПДн или категории ПДн для которых субъект устанавливает условия и запреты, то такие персональные данные должны обрабатываться оператором без распространения или без предоставления доступа к этим данным. Отказать в установлении запрета или ограничения в отношении распространения своих персональных данных оператор не имеет права. Более того Оператор  обязан опубликовать информацию об условиях обработки и о наличии запретов и условий обработки в срок не превышающий 3-х дней с момента получения соответствующего согласия.

На самом деле не совсем понятно, что имеется в виду под формулировкой «опубликовать»,  разместить информацию в ИС регулятора или же на собственном сайте, а может быть просто распечатать в завизировать  соответствующий внутренний документ. Если кто-то уже разобрался в данном вопросе, напишите пожалуйста в комментариях Ваше мнение.

Получите первичную консультацию по составлению согласия на обработку персональных данных обратившись на почту  или позвонив нам по номеру телефона +7 (495) 782-69-88

Как Оператору получить согласие на распространение персональных данных?

Напомню, что в текущей версии закона, в общедоступные источники персональных данных могут включаться сведения о субъекте с его письменного согласия.

Из новой статьи закона мы видим, что согласие на распространение персональных данных может быть предоставлено субъектом:

  • непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

Формулировки не подразумевают сбора письменных согласий операторами, что значительно упрощает сам процесс. Т.е. достаточно того, что субъект персональных данных соглашается с согласием размещенным на сайте. Но к оформлению таких согласий нужно подойти со всей серьезностью, т.к. как я уже описал выше, к самим согласиям будут предъявляться более жесткие требования.

Что касается специальной информационной системы РКН, предназначенной для сбора согласий на распространение персональных данных, то ее нет. Т.е. регулятор закладывает такую возможность, но когда реализует непонятно. Поэтому имеет смысл ориентироваться на согласия данные непосредственно субъектом оператору. Тем более, что молчание или бездействие субъекта ПДн ни при каких обстоятельствах  не могут считаться согласием на распространение персональных данных.

Как и любое правило, требования нововведенной статьи имеют исключения.  Установленные субъектом запреты на распространение его персональных данных могут быть проигнорированы оператором, если случаи обработки ПД касаются государственных, общественных или иных публичных интересов, определенных законодательством РФ.

Также требования новой статьи не применяются, если:

  • Обработка персональных данных производится в целях выполнения норм законодательства РФ.
  • Обработка производится федеральными  или региональными органами исполнительной власти или же органами местного самоуправления для исполнения своих функций, полномочий и обязанностей.

Передача персональных данных, разрешенных субъектом для распространения, должна быть прекращена по требованию субъекта. В данном случае, ничего нового требования статьи не содержат, т.к. оператор и так должен прекратить обработку ПДн субъекта, если тот пишет соответствующий отзыв ранее данного согласия. Данное требование должно включать в себя ФИО субъекта, контактную информацию, а также перечень персональных данных, распространение которых подлежит прекращению. Соответственно, действие ранее данного согласия прекращается в течение трех дней с момента поступления оператору подобного требования или в срок, указанных во вступившем в законную силу решения суда, если субъект обратился в суд.

Еще немного изменений

Помимо новой статьи закона, вводятся изменения в уже существующие и связанные с общедоступными источниками информации. В частности претерпела изменение статья 18. Если раньше Оператор освобождался от обязанности предоставлять субъекту персональных данных сведения, полученные из общедоступных источников информации, то теперь закон ссылается на все вышеописанные требования новой статьи.

Ровно тоже произошло и со статьей 22 152-го Федерального закона. В которой говорится об уведомлении Роскомнадзора. В старой версии закона говорится о том, что Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку ПД, полученных из общедоступных источников информации. В новой же версии Оператор должен учитывать все условия и запреты отраженные в вводимой статье.

На самом деле последние два описанных изменения, на мой взгляд, не накладывают каких –то дополнительных условий на оператора. Т.к. в большинстве случаев оператор и так должен был предоставить обрабатываемые данные субъекта по его запросу и уведомить РКН о своей деятельности как оператора.

Закон уже подписан, но требования вступают в силу с 1 марта 2021г. Поэтому рекомендую заранее подготовиться и разработать шаблон согласия на распространение, которое Вы будете использовать.

    Здесь можно задавать свои вопросы





    «Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности»

    Самое важное в одном абзаце

    Появилось новое понятие, пришедшее на смену «Общедоступные источники персональных данных», при этом сами общедоступные источники никуда не делись. Оператору нужно оформлять отдельным документом согласие на распространение персональных данных субъекта. Субъект ПД может устанавливать запреты на распространение своих персональных данных или их части. Должна появиться информационная система, оператором которой будет РКН. В этой ИС можно будет получить согласие на распространение персональных данных своих субъектов.