Опубликован закон, устанавливающий особенности обработки общедоступных персональных данных
Основные изменения, установленные законом, вступают в силу с 1 марта 2021 года.
Согласно Пояснительной записке к принятому законопроекту, цель введения нового регулирования – исключить бесконтрольное использование персональных данных (далее – ПДн), в частности, опубликованных на веб-сайтах, то есть использование в целях, отличных от цели первоначального распространения (опубликования) данных.
Закрепляется новое понятие – «ПДн, разрешенные субъектом для распространения», при этом под распространением понимается предоставление доступа неограниченному кругу лиц.
Практически из всех статей Закона о ПДн исключается понятие «общедоступных данных». Так, исключается такое правовое основание обработки ПДн, как «обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе» (т. е. «ПДн, сделанных общедоступными субъектом ПДн»).
Тем не менее, положение Закона о ПДн, регулирующее обработку ПДн в общедоступных источниках ПДн (ст. 8 Закона о ПДн) не подверглось изменениям. Полагаем, определенное количество вопросов в правоприменении может возникнуть при соотнесении механизмов использования (в том числе формирования) общедоступных источников ПДн и ПДн, разрешенных для распространения. |
Законом закрепляется необходимость получения согласия на обработку ПДн, разрешенных для распространения, отдельно от иных согласий. Требования к содержанию такого согласия будут установлены Роскомнадзором, и можно ожидать, что они будут достаточно жесткими. Так, например, из Пояснительной записки к законопроекту следует, что согласие «должно включать в себя перечень интернет-ресурсов оператора, на которых планируется размещать общедоступные ПДн».
Кроме того, законом устанавливается, что, помимо получения согласия на обработку ПДн для дальнейшего распространения непосредственно от субъекта, у оператора будет возможность получить такое согласие с использованием информационной системы Роскомнадзора.
В будущем следует ожидать опубликования информации Роскомнадзором, из которой станет известен полный перечень требований к содержанию согласия на обработку ПДн, подлежащих распространению. Также интерес представляет ожидаемая от Роскомнадзора информация о системе, через которую можно будет получать соответствующие согласия – он должен будет определить правила использования информационной системы, в том числе порядок взаимодействия субъекта персональных данных с оператором. |
Отметим, что сведения об условиях и запретах, упомянутых выше, оператор ПДн должен опубликовать в течение трех дней с момента получения соответствующего согласия субъекта ПДн.
Устанавливается несколько важных механизмов защиты распространяемых ПДн. Так, бремя доказывания обработки и последующего распространения ПДн на законном основании возложено на каждого оператора ПДн, осуществившего их обработку, в том числе распространение. Такое бремя возлагается на операторов в случаях:
- когда оператором осуществлено раскрытие ПДн неопределенному кругу лиц без соответствующего согласия,
- когда ПДн оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.
Положение, установленное новым законом в отношении согласия на обработку ПДн, разрешенных для распространения, во многом аналогично европейскому регулированию концепции и механизма получения согласия на обработку ПДн. Так, согласие должно быть явно и однозначно выражено, не может быть «пассивным». |
Наконец, регламентирован порядок прекращения обработки ПДн, разрешенных для распространения. Субъект ПДн вправе направить требование о прекращении передачи (распространения, предоставления, доступа) разрешенных к распространению ПДн. Законом устанавливаются требования к содержанию такого запроса. Кроме того, с соответствующим требованием субъект может обратиться в суд.
Оператор, в свою очередь, обязан прекратить передачу (распространение, предоставление, доступ) ПДн, разрешенных к распространению, в течение трех рабочих дней с момента получения соответствующего требования, либо в срок, указанный во вступившем в силу решении суда (а если такой срок не указан – в течение трех рабочих дней с момента вступления решения суда в силу).
О чем подумать, что сделать
Компаниям следует подготовиться к выполнению новых требований, установленных законом, и учитывать их в дальнейшей работе, в частности:- принять необходимые меры по обновлению локальных актов компании, регламентирующих порядок обработки ПДн, разработать новые либо скорректировать существующие формы согласий на обработку ПДн;
- если деятельность компании связана с обработкой распространяемых ПДн, организовать деятельность компании и ее работников в соответствии с новыми требованиями законодательства, в частности, при необходимости пересмотреть существующие бизнес-процессы.
Помощь консультанта
[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПДн).