Новое в регулировании

Ограничение возможности обработки общедоступных персональных данных

30 декабря 2020 года были внесены изменения в Федеральный закон «О персональных данных» (далее – Закон о персональных данных) в части особенностей обработки персональных данных, доступных неограниченному кругу лиц.

В соответствии с внесенными изменениями:

  • исключается понятие «персональных данных, сделанных субъектом персональных данных общедоступными» и возможность обработки таких данных без согласия субъекта;
  • вводится понятие «персональные данные, разрешенные субъектом для распространения» и специальная процедура предоставления согласия на обработку таких данных неограниченному кругу лиц.

Почему это важно?

Теперь доступные неограниченному кругу лиц персональные данные, размещенные самим субъектом персональных данных в открытых источниках, например, на публичных интернет-сайтах, в публичных разделах блогов и социальных сетей, нельзя обрабатывать свободно, без согласия субъекта.

Для обработки таких персональных данных (при отсутствии иных оснований для их обработки без согласия) необходимо либо получить напрямую соответствующее согласие у субъекта персональных данных в общем порядке, либо убедиться, что субъект предоставил неограниченному кругу лиц специальное согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Нормативно-правовой акт

Изменения внесены Федеральным законом от 30 декабря 2020 года № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Данные изменения вступают в силу с 1 марта 2021 года, за исключением положения о возможности предоставления согласия через специальную информационную систему Роскомнадзора. Указанное положение, соответственно, вступает в силу с 1 июля 2021 года.

Подробности

Подробнее

Как указано выше, в соответствии с внесенными изменениями утрачивает силу пункт 10 части 1 статьи 6 Закона о персональных данных, на основании которого персональные данные субъекта, сделанные им общедоступными, могли в дальнейшем обрабатываться без согласия субъекта.

Вместо этого, доступ неограниченного круга лиц к персональным данным теперь возможен на основании специального согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Такое согласие предоставляется оператору обработки персональных данных, в результате действий которого или при содействии которого персональные данные стали доступны неограниченному кругу лиц.

Согласие должно быть предоставлено отдельно от всех иных согласий на обработку персональных данных либо оператору непосредственно, либо путем размещения в специальной информационной системе, которую должен создать Роскомнадзор.

Если субъект разместил свои персональные данные в неограниченном доступе, но не предоставил согласие на обработку персональных данных, разрешенных для распространения, то такие данные могут обрабатываться другими лицами только на общих основаниях — то есть, либо на основании обычного согласия, либо при наличии установленных законом оснований для обработки персональных данных без согласия.

В согласии на обработку персональных данных, разрешенных субъектом для распространения, могут быть установлены ограничения в отношении перечня раскрытых персональных данных или способов обработки персональных данных. Субъект также вправе установить в согласии запрет на обработку персональных данных неограниченным кругом лиц любыми способами кроме непосредственно доступа к таким данным, либо определенные условия такой обработки.

Оператор, осуществляющий распространение персональных данных на основании согласия субъекта, обязан публиковать условия обработки персональных данных в соответствии с представленными согласиями.

Субъект персональных данных также вправе в любое время обратиться с требованием о прекращении обработки персональных данных как к оператору, осуществившему распространение персональных данных, так и к любому лицу, которое впоследствии начало обработку персональных данных, разрешенных для распространения. Обработка персональных данных при получении такого требования должна быть прекращена.

Предусмотренные правила не распространяются на обработку персональных данных в государственных, общественных и иных публичных интересах, а также в целях выполнения возложенных законодательством РФ на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.

Предусмотренные правила также, судя по всему, не распространяются на данные, размещенные в общедоступных источниках персональных данных, например, в справочниках и адресных книгах — поскольку изменения в соответствующую статью 8 Закона о персональных данных не были внесены. С другой стороны, общедоступные источники персональных данных теперь можно рассматривать как разновидность площадок, на которых размещены данные, разрешенные субъектом для распространения. В любом случае по данному вопросу следует дождаться появления соответствующей практики применения Закона о персональных данных с учетом изменений.

Таким образом, с момента вступления в силу указанных изменений, при совершении любых действий с персональными данными, доступными неограниченному кругу лиц, в отношении каждого субъекта персональных данных необходимо:

  • либо убедиться, что субъект персональных данных предоставил оператору площадки, на которой размещены данные, специальное согласие, допускающее обработку персональных данных неограниченным кругом лиц, и обрабатывать такие данные в соответствии с условиями согласия;
  • либо напрямую получить согласие на обработку персональных данных у субъекта;
  • либо воспользоваться иным предусмотренным законом основанием для обработки персональных данных без согласия.

Скачать PDF

Кирилл Саськов

Адвокат
Партнер
Руководитель корпоративной и арбитражной практики

Cкачать VCARD

ПРОЕКТЫ