В 2021 году в России серьезно ужесточились правила обработки персональных данных. Теперь операторы должны получать отдельное специальное согласие на распространение ПД. Параллельно с этим серьезно выросли штрафы за нарушение законодательства в области персональных данных. Старший юрист Центра защиты прав СМИ Светлана Кузеванова в наших новых рекомендациях объясняет, кого коснутся изменения, каким должно быть согласие и всегда ли нужно его получать.
1. ЧТО ТАКОЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ И ИХ ОБРАБОТКА?
Персональные данные (ПД) − это любая информация, прямо или косвенно относящаяся к физическому лицу, с помощью которой он может быть идентифицирован. Закрытого перечня таких данных не существует – к ним относят любые сведения, по которым можно идентифицировать человека: ФИО, паспортные данные, ИНН, СНИЛС, место работы и должность, сведения об образовании, имуществе и здоровье, cookie в браузере пользователя, семейное и социальное положение, а также изображение человека вкупе с другими данными. Для определения того, могут ли сведения идентифицировать человека, важны скорее не сами данные, а их совокупность.
Обработка персональных данных — это любое действие или операция, которые совершается с персональными данными. Например, к обработке относят, в том числе, сбор, запись, систематизацию, накопление, хранение, распространение или уничтожение персональных данных.
2. ЧТО БЫЛО РАНЬШЕ?
С 2006 года в России действует Федеральный Закон «О персональных данных». Согласно ему сбор, хранение и иная обработка персональных данных могут осуществляться только с согласия человека, которому эти персональные данные принадлежат. Это согласие можно получить в письменной или любой другой форме, позволяющей подтвердить факт его получения. Например, вполне подходит кнопка на сайте «Я даю согласие на обработку своих персональных данных».
| Это — если коротко. Если вы хотите узнать подробнее о том, что такое персональные данные и как законодательство регулируют их обработку, то читайте рекомендации на нашем сайте: «СМИ vs Роскомнадзор. Как сделать журналистский материал и не нарушить закон о персональных данных?» |
3. ЧТО ИЗМЕНИЛОСЬ?
В конце 2020 года в Закон «О персональных данных» были внесены изменения — появилась новая статья 10.1 «Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения». Она начала действовать с марта 2021 года.
Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Если раньше нужно было брать только одно согласие на обработку (которая включала в себя и распространение) персональных данных, то теперь для их распространения нужно еще одно — специальное (в нем должны быть данные, перечень которых утвержден Роскомнадзором, об этом читайте ниже).
Получается, что до вступления в силу этих изменений было достаточно, если на сайте, опубликована политика конфиденциальности и есть кнопка, при нажатии которой человек дает согласие на обработку персональных данных, теперь же, в случае, если вы после планируете распространять эти данные, то такой кнопки уже недостаточно и человек должен дать отдельное согласие.
| Подробнее о политики конфиденциальности читайте в наших рекомендациях «Политика конфиденциальности: зачем она нужна на сайте?» |
4. КОГО КОСНУТСЯ НОВЫЕ ПРАВИЛА?
Дополнительное согласие нужно брать только в том случае, если вы распространяете собранные персональные данные для неопределенного круга лиц. Поэтому изменения коснутся всех, кто это делает. Например:
- Компании, на сайтах которых есть раздел “Сотрудники”.
- Сайты, на которых создаются профайлы пользователей, блогеров, экспертов и т.д.
- Ресурсы для аренды жилья, на которых можно посмотреть информацию о съёмщике или арендаторе, и им подобные.
- Сервисы, на которых публикуется информация о специалистах в разных областях и отзывы на них, и так далее.
Во всех этих случаях теперь для распространения персональных данных людей нужно их согласие. Если человек не дал его, то вы не имеете права их распространять.
Если же вы только собираете персональные данные, или же собираете и распространяйте их в обезличенном виде, например, в форме статистики, то изменения вас не коснутся.
5. ТАК ЧТО ЗА СОГЛАСИЕ? КАКИМ ОНО ДОЛЖНО БЫТЬ?
1 сентября начал действовать Приказ Роскомнадзора «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Согласно документу согласие должно содержать:
- ФИО субъекта персональных данных.
- Его контактную информацию (номер телефона, почтовый адрес или адрес электронной почты).
- Сведения об операторе персональных данных:
— для организации: наименование, адрес, указанный в ЕГРЮЛ, ИНН, основной государственный регистрационный номер;
— для гражданина: ФИО, место жительства или место пребывания;
— для ИП: ФИО, ИНН, основной государственный регистрационный номер. - Сведения об информационных ресурсах оператора, где будут распространяться персональные данные.
- Цель обработки персональных данных.
- Категории и перечень персональных данных, на обработку которых человек дает согласие.
- Категории и перечень персональных данных, для обработки которых человек устанавливает запреты и условия, а также перечень этих запретов и условий (заполняется по желанию субъекта ПД)
- Условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации только для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта ПД).
- Срок действия согласия.
Это согласие может быть дано непосредственно оператору или через информационную систему Роскомнадзора. Оно обязательно должно быть активным — согласно пункту 8 статьи 10.1
«молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения»ю
Важно:получив согласие на обработку персональных данных человека, оператор обязан в течение трех дней опубликовать информацию об «условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения». То есть фактически он должен проинформировать всех, на каких условиях он получил разрешение.
6. СОГЛАСИЕ МОЖНО ОТОЗВАТЬ?
Человек можете отозвать свое разрешение на обработку персональных данных и потребовать прекратить их распространение. Для этого человек должен направить требование оператору. В нем должны быть указаны:
- ФИО субъекта персональных данных;
- контактная информация;
- перечень персональных данных, обработка которых подлежит прекращению.
В этом случае действие согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается в момент получения оператором требования от человека.
Кроме того, человек может обратиться с требованием прекратить распространение его персональных данных, на которое он ранее дал разрешение, к любому лицу, обрабатывающему его персональные данные с нарушением закона. В этом случае распространение должно быть прекращено в течение трех дней. Также человек, чьи персональные данные, разрешенные ранее для распространения, обрабатываются с нарушениями, может подать иск в суд.
7. ЕСТЬ СЛУЧАИ-ИСКЛЮЧЕНИЯ, КОГДА МОЖНО РАСПРОСТРАНЯТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ БЕЗ СОГЛАСИЯ?
Да. Все описанное не относится к случаям, когда персональные данные обрабатываются органами власти в целях выполнения возложенных на них законом функций, полномочий и обязанностей. Кроме того, в самой статье 10.1 есть еще одно исключение:
«Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации».
Получается, что если субъект персональных данных запретил распространять информацию о нем, вы все равно можете это делать, если есть, например, общественный интерес.
| О том, что такое общественный интерес, читайте здесь: «Как отличить общественный интерес от светского любопытства» |
8. КАК ЭТО ВСЕ КАСАЕТСЯ СМИ?
С точки зрения распространения информации именно в публикациях СМИ, то будем надеяться, что почти никак: в Законе «О персональных данных» есть общий список исключений, которые позволяют обрабатывать персональные данные без согласия субъекта. Все они прописаны в статье 6. Из них к деятельности СМИ применимы лишь некоторые. Например, обрабатывать (в том числе и распространять) персональные данные человека без его согласия можно, если:
- обработка персональных данных необходима для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Под последним исключением имеются в виду ситуации, когда персональные уже опубликованы по требованию закона. Например, сюда относят декларации госслужащих, данные из открытых реестров, персональные сотрудников на сайте органов власти и т.д. Это все случаи, когда закон требует раскрывать информацию о людях.
Но помните, что в отдельных случаях редакциям все-таки придется брать дополнительные согласия, ведь не все деятельность редакций укладывается в исключения. Так, дополнительное согласие на распространение персональных данных нужно будет, если, например, редакция публикует списки победителей конкурса или данные о сотрудниках редакции на своем сайте.
9. А ЕСЛИ ЧЕЛОВЕК САМ ОПУБЛИКОВАЛ СВОИ ПЕРСОНАЛЬНЫЕ ДАННЫЕ?
До вступления в силу изменений в закон, действительно, обрабатывать персональные данные можно было без согласия человека, если он сам их сделал общедоступными, например, опубликовал в социальных сетях. Однако теперь это исключение действовать перестало. Более того, в статье 10.1 отдельным пунктом прописано, что в случае, если человек сам раскрыл неопределенному количеству лиц свои персональные данные, но не дал согласие оператору на их распространение, то доказать законность использования персональных данных должен каждый, кто их распространит без разрешения.
10. ОТВЕТСТВЕННОСТЬ
За нарушение этих правил предусмотрена ответственность по статье 13.11 Кодекса об административных правонарушениях — «Нарушение законодательства Российской Федерации в области персональных данных».
Источник: Центр защиты прав СМИ
