Новые нормы ФЗ «О персональных данных»: ограничения для распространения. Зачем они нужны и как будут работать?
Напомним, в декабре 2020 был принят пакет поправок к закону «О персональных данных», которые вступают в силу постепенно в течение этого года. С 1 сентября заработали новые правила работы с персональными данными (ПД) граждан.
В чем отличие?
Теперь на территории страны действует понятие «персональных данных, разрешенных для распространения», и теперь граждане (т. е. субъекты ПД) должны давать разрешение (а операторы ПД — брать его) на обращение с вот таким вот новым видом ПД, — это помимо уже привычного согласия на обработку ПД.
Ранее все места, где граждане оставляли свои персональные данные — медицинские организации, госорганы, банки и пр. — просили подписать согласие на обработку ПД. В понятие «обработки» обычно включалось все, что было написано в законе в старой редакции: («сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение»), плюс добавлялась для подстраховки формулировка про «иные действия, предусмотренные действующим законом Российской Федерации».
Теперь закон выделил отдельную конкретную категорию: те данные, которые пользователь разрешает распространять.
Что это значит и как будет применяться?
Например: ваш работодатель решил на веб-сайте компании сделать раздел «Команда», в котором намерен разместить фото, имя и должности сотрудников. В этом случае ПД работников тоже окажутся доступны неограниченному числу лиц — любому пользователю Интернета.
Вот для таких случаев, а также многих аналогичных, теперь у субъекта ПД — т. е. сотрудника — необходимо брать разрешение на распространение части его ПД. Это и будут «данные, разрешенные для распространения». Список таких данных перечисляется в согласии (фото, имя, и пр.), которые должен подписать субъект ПД (т. е. гражданин) и оператор ПД (тот, кто собирает персональные данные — администрация веб-сайта или организация, и пр.).
Важная ремарка: это простой и понятный пример. Но, как водится, жизнь сложнее; и властям и бизнесу предстоит найти еще много решений для не столь очевидных случаев, — например, для социальных сетей, на площадках которых распространяются личные данные миллионов людей.
При этом отдельно сохраняет силу старое привычное согласие на обработку ПД: ведь оператор ПД (работодатель или социальная сеть в наших примерах) не утрачивает ответственности за прочие операции по обработке ПД: сбору, блокированию и пр., пр. — согласно формулировке закона.
То есть, в ряде случаев субъектам ПД — т. е. гражданам — будет необходимо подписывать два соглашения по ПД:
- на обработку и
- для распространения.
А оператор ПД, т.е. любая организация или человек, берущая данные, — теперь будет обязана такие соглашения запрашивать.
Зачем это сделано?
Закон направлен на создание механизмов защиты прав и свобод тех субъектов ПД, чьи персональные данные участвуют в общедоступном обороте — как это может быть в примерах, приведенных выше.
В соответствии с мнением депутатов Госдумы, действующая ранее правовая конструкция «позволяла третьим лицам осуществлять сбор и последующее неконтролируемое использование персональных данных на различных интернет-сайтах в целях, отличных от цели их первоначального распространения, а равно с ориентиром на иные целевые аудитории, что нарушает принцип целеполагания, установленный ст. 5 Закона № 152-ФЗ».
Поэтому был введен термин «персональные данные, разрешенные субъектом персональных данных для распространения». Согласие на обработку этих данных оформляется отдельно от других согласий на обработку ПД, а оператор ПД обязан обеспечить в нем субъекту ПД (т. е. гражданину) возможность определить перечень ПД по каждой категории. В том числе законодатель указывает, что в отсутствие согласия на обработку «ПД, разрешенных для распространения», персональные данные граждан (т. е. субъектов ПД) обрабатываются оператором ПД без права распространения.
Также поправки в закон устанавливают, что можно отозвать свое согласие на распространение его ПД: «субъект ПД (т.е. гражданин) вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих ПД, ранее разрешенных субъектом ПД для распространения, к любому лицу, обрабатывающему его персональные данные».
Правила для оформления согласий в соответствии с новыми нормами закона выпустил Роскомнадзор в приказе от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
Как это будет работать?
Теперь под ответственность попадают все операторы, которые выкладывают персональные данные в общий доступ. К таким оператором относятся, например, социальные сети — мы отмечали выше этот пример. Теперь в соответствии с новой редакцией закона (п.1 ч. 6 ст. 10.1 Закона № 152-ФЗ), согласие может быть предоставлено непосредственно оператору, т.е. направлено в письменном виде пользователю самой социальной сетью, либо с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных. Результат нововведений — пока смутный.
Полагаем, что данные нововведения значительно осложнят работу миллионов сайтов, особенно в части сбора данных для запуска таргетированной рекламы.
Стоит отметить, что сбор персональных данных в том числе может быть затруднен в связи с количеством собираемой информации или нежеланием пользователей тратить лишнее время на дачу такого согласия.
Нововведения усложняют работу операторов персональных данных, тем более не отечественных, однако, надеемся, что цель должна оправдать средства: станет возможным в наибольшей степени защитить права субъектов ПД (т.е. граждан РФ).
