Важно: благодаря изменениям в 152-ФЗ компании больше не могут свободно использовать персональные данные, которые доступны в интернете.
см. 519 ФЗ Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон О персональных данных»
С 1 марта 2021 года обрабатывать персональные данные, к которым разрешен доступ неограниченного круга лиц, нужно по новым правилам.
К таким данным относится информация о субъекте, которую публикуют в социальных сетях, на сайтах различных площадок, развлекательных платформ и в различных банках данных. Теперь размещать их в свободном доступе без отдельного согласия субъекта на это нельзя.
Возникает вопрос: " А как по новым правилам брать согласие на обработку персональных данных и когда придется их удалить или ограничить к ним доступ?"
В законодательстве появилось следующее определение «Персональные данные, разрешенные субъектом для распространения» — данные, к которым сам субъект разрешил неограниченный доступ. Это определение заменило в законе общедоступные персональные данные.
Работать с персональными данными (разрешенными субъектом для распространения) по новым правилам придется не только владельцам сайтов, социальных сетей и других интернет-ресурсов, на которых субъект сам опубликовал сведения о себе, но также любому оператору, который будет такие сведения обрабатывать!
Изменения действуют в отношении российских и иностранных операторов, если деятельность их сайтов направлена на территорию РФ.
Как получить согласие на обработку по новым требованиям
Чтобы предоставить доступ к персональным данным неограниченному кругу лиц, необходимо получить отдельное согласие на обработку персональных данных.
Совмещать его с другим согласием, например, на обработку персональных данных при регистрации на сайте социальной сети, нельзя. Раньше обрабатывать персональные данные, которые сделал общедоступными сам субъект, можно было и без отдельного согласия.
Молчание или бездействие субъекта не будет означать, что он дал согласие на распространение его персональных данных
Таким образом, поправки в Закон о персональных данных подтверждают сложившуюся практику, согласно которой согласие на обработку требует от субъекта активных действий.
Из текста согласия на обработку персональных данных, разрешенных для распространения, должно четко следовать, что субъект согласился предоставить к ним доступ неограниченного круга лиц.
Кроме того, у него должна быть возможность самостоятельно определить, какие именно сведения о себе субъект разрешает публиковать в открытом доступе, а также установить запреты на обработку персональных данных или их передачу неограниченному кругу лиц.
Например, в согласии может разрешить опубликовать свои Ф. И. О. и email, но запретить размещать номер телефона, который указывал при регистрации на сайте, а третьим лицам разрешить только доступ к этим данным, но запретить их хранение или распространение.
Субъект может, наоборот, разрешить опубликовать все его персональные данные, но запретить третьим лицам систематизировать и использовать данные каким-либо образом. Однако установить такие запреты нельзя, если персональные данные обрабатывают в публичных интересах.
Например, раскрытие данных в той мере, которая требуется для исполнения судебного решенияили предупреждения правонарушения.
Опубликовать информацию о запретах для третьих лиц оператор должен в течение трех рабочих дней после того, как получит согласие субъекта.
Требования к содержанию согласия на обработку персональных данных установил Роскомнадзор.
Приказ Роскомнадзора определяет,что согласие должно включать Ф. И. О. субъекта, его контакты, наименование и адрес оператора, цель обработки, категории и перечень персональных данных, на которые дается согласие и, отдельно, в отношении которых устанавливаются запреты и ограничения, срок согласия, данные ресурса, на котором распространяются данные.
Раньше владельцы сайтов навязывали субъектам согласия на обработку, в которых нельзя было установить ограничения или запреты. Фактически у них не было выбора: субъекты могли принять согласие полностью без оговорок или не пользоваться услугами сайта, если не согласны с тем, что у третьих лиц будет доступ к их персональным данным.
Сейчас предоставить согласие на обработку субъект может напрямую оператору или оформить согласие через информационную систему Роскомнадзора.
Когда необходимо удалить персональные данные
Если субъект, чьи данные оператор планировал опубликовать, не даст на это отдельное согласие, компания все равно сможет их обрабатывать при наличии других оснований, но с одним условием — так, чтобы неограниченный круг лиц не мог получить к ним доступ.
Если оператор разместит данные без согласия субъекта, последний вправе обратиться к нему с требованием удалить информацию. Выполнить такое требование нужно в течение трех рабочих дней.
Если оператор опубликует данные с согласия субъекта, но затем последний передумает, оператор обязан будет прекратить их распространение после того, как получит от субъекта соответствующий запрос.
В запросе субъект должен указать свои Ф. И. О., контактные данные, например, номер телефона, адрес электронной почты или почтовый адрес, а также перечень персональных данных, передавать которые третьим лицам больше нельзя. Прекратить передачу данных третьим лицам оператор должен сразу после того, как получит запрос.
Если субъект ранее дал свое согласие на предоставление доступа к его данным неограниченному кругу лицу, однако требования согласия и/или закона не выполняются, субъект вправе обратиться к любому лицу, обрабатывающему его данные, с требованием прекратить передачу своих персональных данных. Такое требование должно быть выполнено в течение трех рабочих дней.
Если компания опубликует данные без согласия субъекта, Роскомнадзор оштрафует ее на сумму до 75 тыс. руб.КоАП
Если проигнорирует запрос субъекта или управления Роскомнадзора удалить персональные данные с сайта или другого интернет-ресурса, заплатит штраф до 45 тыс. руб.
Для должностного лица максимальный штраф за первое нарушение — 25 тыс. руб., а за второе — 10 тыс. руб.
Помощь эксперта по 152-ФЗ
Меня зовут Сергей Воробьев, эксперт по защите данных.
Защита персональных данных по 152-ФЗ:
- защита информации, содержащейся в информационных системах;
- прохождение проверок Роскомнадзора;
- приведение обработки персональных данных в соответствие с требованиями законодательства 152-ФЗ;
- экспертный аудит по информационной безопасности с выдачей практических рекомендаций;
- техническая поддержка информационных систем;
- анализ уязвимостей и тестирование на проникновение;
- выполнение требований 187-ФЗ;
- улучшение веб-безопасности.