С сегодняшнего дня вступают в силу серьезные изменения в ФЗ «О защите персональных данных» и это важно как для многих представителей бизнеса, так и для рядовых граждан.
Что изменилось?
Теперь из закона исчезает понятие «персональные данные, сделанные общедоступными субъектом персональных данных» и появляется новое «персональные данные, разрешенные субъектом персональных данных для распространения».
Что такого важного скрывается за этими формулировками?
Если говорить максимально коротко и упрощая, ситуация выглядит следующим образом. Ранее персональные данные (ПДн), которые субъект ПДн указывал о себе самостоятельно на ресурсах, доступ к которым не ограничен, могли впоследствии использоваться третьими лицами почти без ограничений без выполнения дополнительных действий.
Например, если раньше человек хотел продать свою вещь и размещал объявление об этом на каком-нибудь интернет-сервисе (например, Авито, Юла, eBay и др.), в дальнейшем его ПДн можно было использовать (кроме распространения) без получения отдельного согласия, так как этот человек самостоятельно предоставил доступ к персональным данным для неограниченного круга лиц.
Таким образом действовала презумпция открытости информации: общедоступной является любая информация (в нашем случае персональные данные), кроме той, к которой ограничен доступ.
При помощи этого механизма многие компании, которым была нужна эта информация, могли получать ее без отдельного согласия и иных условий:
- HR-менеджеры могли отслеживать резюме кандидатов и самостоятельно их обрабатывать,
- сотрудники службы безопасности могли вести персональный портрет лиц, основываясь на таких сведениях,
- банки могли делать выводы о платежеспособности клиента,
ведь лицо самостоятельно размещает информацию о себе в «открытых источниках» и это является законным и достаточным основанием для их последующего использования в своих целях.
Теперь действует обратное правило: от субъекта ПДн необходимо получить согласие на то, чтобы его персональные данные оказались доступными неограниченному кругу лиц.
Это согласие должно быть получено отдельно от иных согласий и в нем субъект ПДн может установить много различных ограничений: например, запретить обрабатывать свои ПДн (кроме получения доступа) неограниченным кругом лиц.
Следует предположить, что на практике это будет означать серьезное усложнение деятельности лиц, которые ранее на законных основаниях использовали «общедоступные» персональные данные. Теперь необходимо проверять, разрешил ли субъект ПДн распространение этих данных и не установил ли он каких-либо ограничений.
Ситуация осложняется тем, что требования к содержанию такого согласия должны быть установлены Роскомнадзором. Но эти требования до сих пор не утверждены и не опубликованы в окончательном варианте. Получается патовая ситуация: согласие в отношении этих ПДн с 1 марта получить необходимо, иначе использование этих ПДн будет незаконно, но фактически сделать это невозможно, так как РКН не утвердил форму согласия, и потому распространение этих ПДн, следуя строгой логике, попросту незаконно.
На кого распространяются данные правила?
Представители РКН утверждают, что указанные нововведения не коснутся старых отношений, а будут распространяться только на новых пользователей (площадок). Но такую позицию сложно назвать окончательной или однозначной, так что необходимо ждать развития практики правоприменения.
Это лишь некоторые проблемы и вопросы, которые возникают в связи с указанными изменениями в Законе о защите персональных данных. На самом деле их в разы больше.
При этом у указанных нововведений видна «социальная» направленность на рядовых граждан: у них появилось больше прав и возможностей по контролю за «оборотом» своих персональных данных.
Согласно Пояснительной записке к принятому законопроекту, цель введения нового регулирования – исключить бесконтрольное использование персональных данных, в частности, опубликованных на веб-сайтах, то есть использование в целях, отличных от цели первоначального распространения (опубликования) данных.
Но учитывая те сложности, которые будет испытывать бизнес, не приведет ли это к существованию слишком большого количества недостатков, перекрывающих плюсы новых правил?
О каких актах шла речь:
Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».