Главная страница

Изменения в законодательстве коснувшиеся персональных данных

С 1 марта 2021 года вступает в силу Федеральный закон от 30 декабря 2020 года №519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».

По замыслу создателей изменения вступят в силу в два этапа: основная часть с 1 марта 2021 г., вторая — с 1 июля 2021 г.

Данным законом вводится понятие «персональные данные, разрешенные субъектом персональных данных для распространения», которое фактически заменяет использовавшееся ранее понятие «персональные данные, сделанные общедоступными субъектом персональных данных».

В новом определении делается акцент на том, что это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном ФЗ «О персональных данных». Таким образом, несмотря на то, что эти персональные данные передаются именно для распространения, т.е. сохраняют определенную часть «общедоступности», но вводится обязанность оператора персональных данных получать на это согласие субъекта.

Доступ к опубликованным (распространяемым) с разрешения субъекта персональным данным сохраняется, но использование этих персональных данных третьими лицами, не имеющими на это согласия субъекта, запрещено.

Необходимость получения согласия на распространение общедоступных персональных данных подчеркивается исключением их из перечня условий обработки персональных данных, согласие субъекта на обработку которых не требуется (п. 10 ч. 1 ст. 6 ФЗ «О персональных данных»).

ФЗ «О персональных данных» дополняется новой статьей 10.1, регулирующей особенности обработки общедоступных персональных данных. В соответствии с данной статьей, согласие на обработку общедоступных персональных данных должно быть получено отдельно от иных согласий субъекта на обработку его персональных данных. Оператор персональных данных обязан обеспечить возможность субъекта определить перечень персональных данных, на распространение которых дается согласие, т.е. оператор не вправе навязать субъекту заранее определенный перечень персональных данных.

В случаях, когда субъект персональных данных сам раскрыл их для неограниченного круга лиц или они были раскрыты вследствие правонарушения, преступления или обстоятельств непреодолимой силы, то законность их дальнейшего распространения должно будет доказывать каждое лицо, осуществившее такое распространение. Иными словами, любое лицо, скопировавшее общедоступные персональные данные и распространившее их без согласия субъекта персональных данных принимает на себя риски привлечения к административной ответственности в соответствии с ч. 2 ст. 13.11 КоАП РФ за обработку персональных данных без согласия субъекта.

В случае, если в согласии на обработку общедоступных персональных данных не указано согласие на их распространение, то оператор вправе осуществлять только обработку без распространения.

Если в согласии субъектом персональных данных не установлены запреты, условия обработки, категории и перечень персональных данных, то они обрабатываются оператором без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

Законом предусматривается, что согласие может быть предоставлено оператору двумя способами: 1 - непосредственно, 2 - с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

Норма о возможности использования информационной системы уполномоченного органа по защите прав субъектов персональных данных вступает в силу с 1 июля 2021 года. Правила использования данной информационной системой определяются ведомственным актом Роскомнадзора.

В Законе отдельно закреплено, что молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Если какое-либо лицо желает осуществлять обработку персональных данных, находящихся в общем доступе, и обращается к соответствующему субъекту персональных данных за получением согласия, то отсутствие ответа от субъекта не дает права данному лицу обрабатывать его персональные данные, в т.ч. под предлогом того, что были предприняты все возможные меры для получения согласия.

В согласии на обработку общедоступных персональных данных субъект имеет право строго определить, кому именно они могут быть переданы, т.е. конкретным лицам или организациям, но не неограниченному кругу лиц. Оператор не вправе ограничить в этом субъекта персональных данных.

Оператор, получивший согласие на распространение общедоступных персональных данных, обязан опубликовать информацию об условиях обработки и установленных субъектом запретах. Установленные субъектом персональных данных запреты не распространяются на обработку в государственных, общественных и иных публичных интересах.

Передача (распространение, предоставление, доступ) общедоступных персональных данных должна быть прекращена в любое время по требованию субъекта. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента поступления оператору такого требования.

Ссылка на законопроект О внесении изменений в Федеральный закон "О персональных данных" (в части уточнения порядка обработки персональных данных): https://sozd.duma.gov.ru/bill/992331-7#bh_histras

Кроме того, Роскомнадзор готовит интернет-платформу, на которой каждый гражданин сможет отследить, кому и когда он дал согласие на сбор и обработку своих персональных данных. Проект правил работы платформы ведомство разместило для общественного обсуждения.

Презентации с 26 ноября 2020 г. онлайн-трансляции, проведенной Роскомнадзором по вопросам персональных данных:

https://mediapravo.com/wp-content/uploads/2020/11/D.A.-Rudakov.pdf

https://mediapravo.com/wp-content/uploads/2020/11/A.H.-Gafurova.pdf


27 января 2021 года Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) объявлено о разработке проекта ведомственного приказа «Об установлении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

Проект приказа разработан в целях реализации норм Федерального закона от 30 декабря 2020 года №519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», вступающего в силу с 1 марта 2021 года (см. раздел «Принятые или вступающие в силу федеральные законы»).

В соответствии с проектом приказа, согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения (далее – Согласие) должно включать в себя следующую информацию:

1) фамилия, имя, отчество (при наличии) субъекта персональных данных на русском языке (в русской транскрипции для иностранного гражданина и лица без гражданства);

2) контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных). Номер телефона должен представлять собой абонентский номер подвижной радиотелефонной или фиксированной связи. Номер телефона указывается в формате: код страны, код города или код мобильного оператора связи (до 3 знаков), номер телефона. Адрес электронной почты должен состоять из двух частей, разделенных символом «@». В левой части указывается имя электронного почтового ящика, в правой части указывается доменное имя сервера, на котором располагается электронный почтовый ящик. Почтовый адрес указывается в соответствии со сведениями, содержащимися в Государственном адресном реестре (ФИАС).

3) наименование или фамилия, имя, отчество (при наличии) ‎и адрес оператора, получающего согласие субъекта персональных данных. Указывается полное и сокращенное (при наличии) наименование оператора, осуществляющего обработку персональных данных, индивидуальный номер налогоплательщика (ИНН), а также ссылки на код(ы) классификаторов (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС) по направлениям деятельности. Адрес оператора, осуществляющего обработку персональных данных, указывается в соответствии со сведениями, содержащимися в Государственном адресном реестре (ФИАС), с обязательным указанием субъекта Российской Федерации, населенного пункта (муниципального образования) в пределах которого находится адрес оператора, осуществляющего обработку персональных данных.

4) цель (цели) обработки персональных данных. Формулировки цели (целей) обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.

5) категории и перечень персональных данных, на обработку которых дается Согласие субъекта персональных данных. Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:

- общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);

- специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);

- биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).

Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

6) категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов. Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных. Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно. Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.

7) срок, в течение которого действует Согласие. В указанном поле Согласия должен быть отражен конкретный срок его действия (определенный период времени или дата окончания срока действия). Не допускается указание положений об автоматической пролонгации срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.

8) сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных. Сведения об информационных ресурсах оператора указываются в виде адреса, состоящего из наименования протокола (http или https), сервера (www), домена (персональные данные.ru), имя каталога на сервере и имя файла веб-страницы, на которой будут размещены персональные данные субъекта персональных данных.

Ссылка на проект приказа «Об установлении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»: https://regulation.gov.ru/projects#npa=112660

Материал подготовлен в рамках реализации проекта «Устойчивая правовая поддержка НКО Самарской области», поддержанного Фондом президентских грантов

qamwzqqo0omqfmvic0al3fg5 lo.width 1200