Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
С 01 марта 2021 года вступают в силу новые правила обработки персональных данных, сделанных доступными неопределенному кругу третьих лиц «общедоступных персональных данных».
Поправки введены законом N 519-ФЗ от 30.12.2020 и существенным образом меняют порядок использования персональных данных, находящихся в общем доступе, и в первую очередь, размещенных на сайтах в сети Интернет. В большей части поправки важны для сайтов по типу агрегаторов и социальных сетей. Однако и корпоративным сайтам с отзывами и контактными данными сотрудников тоже досталось.
Как всегда, смотрите подробности под катом. </cut>
Из закона исключается понятие «персональные данные, сделанные общедоступными субъектом персональных данных», используемое в качестве правового основания обработки таких ПДн любыми лицами (пп.10 п.1 ст.6 152-ФЗ). Взамен вводится понятие «персональные данные, разрешенные субъектом персональных данных для распространения».
Принципиальное отличие этих понятий в режиме использования персональных данных, доступ к которым предоставляется третьим лицам. Новые условия предусматривают получение отдельного согласия субъекта ПДн на их распространение и обработку третьими лицами, тогда как ранее такое согласие предполагалось (достаточно было доказать факт их публикации субъектом ПДн или с его разрешения).
Как следствие, с 01 марта 2021 года нельзя собирать и использовать опубликованные в Интернете сведения об отдельном лице или массово извлекать и осуществлять последующее использование персональных данных с сайтов и прочих ИСПДн в автоматическом режиме (посредством «парсинга»), если не получено согласие каждого субъекта на такие действия. Ссылка на то, что сведения «общедоступны» перестает работать.
Требуется ли владельцам сайтов согласие на обработку публикуемых персональных данных
Нужно понимать, что отдельное согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, требуется только для случаев, когда нет иных законных оснований для их обработки.
Обычно владельцы сайтов осуществляют сбор и последующее использование персональных данных пользователей в целях заключения или исполнения договора. Это самостоятельное основание для обработки ПДн, не требующее отдельного согласия (пп.5 п.1 ст.6 ФЗ 152). В таком случае достаточно сформулировать условия договора с пользователем в общем виде в Пользовательском соглашении, а порядок обработки ПДн включить в Политику конфиденциальности.
Если сайт позволяет публиковать персональные данные в общем доступе, то важно обозначить, что пользователь раскрывает такие данные неопределенному кругу лиц по собственной инициативе (п.2 ст.10.1 ФЗ 152 в новой редакции). Для предоставления доступа к таким сведениям третьим лицам администрации не требуется отдельное согласие субъекта, поскольку у нее есть действующий договор. Однако третьим лицам потребуется подтвердить наличие законных оснований для копирования материалов с сайта и их последующего использования, поскольку прямого договора с субъектом у них нет.
Поэтому примем за общее правило, что согласие на обработку ПДн требуется при отсутствии между сторонами сделки. В законе есть и другие основания для обработки ПДн без согласия субъекта (например, такое право дано журналистами в целях их профессиональной деятельности или гос. органам - для осуществления возложенных на них функций и т.д.). Однако это частные случаи, которые не касаются оборота данных в гражданских отношениях.
Возьмем в качестве наглядного примера вариант сайта, на котором персональные данные публикуются администрацией. В основном, это корпоративные сайты с фотографиями сотрудников компании, их именами, телефонами и электронными адресами, размещаемыми в имиджевых или сервисных целях. У администрации отсутствует договор с сотрудником, предусматривающий обработку его ПДн указанным способом. Поэтому требуется получить отдельное согласие на предоставление доступа и распространение ПДн сотрудника на сайте компании.
Таким образом, изменения направлены на пресечение бесконтрольного использования персональных данных неопределенным кругом лиц. Субъекту вернули контроль над его персональными данными. Теперь он волен давать согласие на обработку ПДн неопределенным кругом лиц или конкретным лицам, вводить ограничения и условия использования отдельных персональных данных, опубликованных в общем доступе.
Ограничения и условия использования персональных данных
Наибольшие затруднения с правовой и технической стороны вызывают изменения 152-ФЗ в части возможности установления субъектом персональных данных в согласии ограничений и условий их использования.
Оператор ПДн обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения (п.1 ст.10.1 ФЗ 152).
Если в согласии прямо не указано, что субъект не установил запретов и условия их использовании или не определил категории и перечень ПДн, к которым такие запреты и условия относятся, оператор ПДн вправе осуществлять их обработку без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц (п.5 ст.10.1 ФЗ 152).
На основании п.9 новой статьи 10.1 ФЗ 152, в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
При этом оператор обязан обеспечить субъекту возможность установления запретов и условий использования персональных данных. Отказ оператора в установлении субъектом персональных данных предусмотренных выше запретов и условий, не допускается.
Более того оператор, оператор обязан в срок не позднее 3 рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения (п.10 ст.10.1 ФЗ 152).
Иными словами, для обеспечения возможности использования третьими лицами опубликованных в общем доступе персональных данных, помимо ознакомления с ними (получения доступа), владелец сайта (оператор ИСПДн) обязан получить согласие субъекта на их распространение. Одновременно оператор должен обеспечить возможность установления запретов и условий использования отдельных категорий и перечня ПДн и опубликовать данную информацию.
Представьте себе сайт для поиска работы, на котором публикуются резюме соискателей, или доску объявлений, где есть контактные данные пользователей. Как обеспечить с 1 марта возможность копирования с них персональной информации пользователей, размещенной в общем доступе?
Выше мы рассмотрели 2 варианта правовых оснований для обработки ПДн: по договору и на основании согласия. Что необходимо сделать в каждом из указанных случаев?
При наличии договора с субъектом ПДн согласие необходимо получать для обеспечения возможности копирования и последующего использования персональных данных неопределенным кругом лиц. Если такой задачи перед администрацией сайта не стоит, можно ограничиться включением в соглашение (договор) с пользователем и политику конфиденциальности, условий о возможности из предоставления заранее определенному кругу лиц (например, агентствам по подбору персонала или работодателям в примере с сайтами поиска работы).
Если владелец сайта по каким-то причинам намерен распространять ПДн пользователей заранее неопределенному кругу лиц (например, любым интернет-пользователям), потребуется выполнить план мероприятий по ограничению копирования третьими лицами персональных данных пользователей до получения тельных согласий, обеспечению возможности установления различных запретов и условий использования таких данных и публикации таких сведений совместно с такими данными.
Полагаем, что операторов, желающих делиться данными со всеми, найдется не много. Поэтому поправки в ФЗ 152 в целом можно воспринимать в положительном ключе для большинства агрегаторов, поскольку они явным образом запрещают парсинг. Для корпоративных сайтов новшества не несут ничего хорошего, т.к. потребуется получать отдельные согласия со всех субъектов, персональные данные которых у них публикуются