Размещение персональных данных

Просмотров 446 Опубликовано

Закон.Ру – официально зарегистрированное СМИ. Ссылка на настоящую статью будет выглядеть следующим образом: Рожкова М.А. «Общедоступная информация», «открытые данные» и «персональные данные, разрешенные субъектом для распространения»что это такое и как они между собой связаны? [Электронный ресурс] // Закон.ру.

2021. 13 января. URL: https://zakon.ru/blog/2021/1/13/obschedostupnaya_informaciya_otkrytye_dannye_i_personalnye_dannye_razreshennye_subektom_dlya_raspros

Довольно часто в публикациях и выступлениях употребляется выражение «открытый доступ» применительно к информации. Насколько это верно?

В международном контексте термин «открытый доступ» (англ. open access) впервые был употреблен в 2002 году на конференции Будапештской инициативы открытого доступа[1] (англ. The Budapest Open Access Initiative, BOAI) – общественной инициативы, устанавливающей принципы открытого доступа к научно-исследовательским работам (в форме книг, статей, диссертаций и проч.). В рамках этой инициативы «открытый доступ» определен так: «…открытые для всех публикации в Интернете, которые можно читать, разгружать, копировать, распространять, распечатывать, находить или присоединять к полным текстам соответствующих статей, использовать для составления указателей, вводить их как данные в программное обеспечение или использовать для других законных целей при отсутствии финансовых, правовых и технических преград, за исключением тех, которые регулируют доступ к собственно Интернету. Единственным ограничением на воспроизводство и распространение публикаций и единственным условием копирайта в этой области должно быть право автора контролировать целостность своей работы и обязательные ссылки на его имя при использовании работы и ее цитировании»[2].

Кратко говоря, открытый доступ толкуется как свободный, ничем не ограничиваемый доступ в сети Интернет к научно-исследовательским публикациям, подразумевающий возможность любого их использования, но исключающий внесение изменений в эти работы и предусматривающий обязательное указание автора при цитировании и ином использовании.

Сегодня выражение «открытый доступ» широко применятся в отношении данных. Но нельзя забывать и о существовании легальных терминов.

Почитать  Статья 109. Причинение смерти по неосторожности

В ч. 1 ст. 7 Закона об информации упоминается «общедоступная информация», под которой понимаются «общеизвестные сведения и иная информация, доступ к которой не ограничен». Разумеется, этим понятием охватывается и информация, размещенная в открытом доступе в сети Интернет. Комментируя эту норму, А.И.

Савельев подчеркивает: «По сути, Закон вводит тем самым презумпцию открытости информации: общедоступной является любая информация, кроме той, к которой ограничен доступ. Отнесение информации к категории общедоступной в самом общем виде означает, что любое лицо без указания причин и целей может получать такую информацию и использовать по своему усмотрению, с соблюдением установленных федеральным законом ограничений на ее распространение»[3]. Иными словами, п. 2 ст.

7 Закона об информации для всех видов общедоступной информации – закон не предусматривает изъятий – установлен общий правовой режим: в отношении такой информации разрешен любой способ использования, ограничивается только ее распространение – оно должно осуществляться в соответствии с требованиями соответствующего федерального законодательства.

Частным случаем изложенного правила является закрепленное в абз. 2 п. 1 ст. 152.2 ГК РФ положение, согласно которому в ситуации, когда информация о частной жизни гражданина ранее стала общедоступной либо была раскрыта самим гражданином или по его воле, не будет признаваться нарушением сбор, хранение, распространение и иное использование такой информации без согласия этого гражданина.

То есть здесь федеральное законодательство закрепляет правило о допустимости распространения обозначенной общедоступной информации без согласия субъекта данных.

Сказанное позволяет утверждать, что размещение информации в открытом доступе в сети Интернет автоматически переводит ее в разряд общедоступной. И как следствие: такая информация подпадает под соответствующие положения Закона об информации, а в части ее распространения – под специальное законодательство.

Таким образом, применительно к персональным данным в контексте п. 2 ст. 7 Закона об информации можно говорить о том, что, как и любая иная информация, ставшие общедоступными персональные данные допускают их свободное использование, за исключением распространения – в отношении распространения продолжает действовать правило ст. 9 Закона о персональных данных об обязательности получения согласия субъекта персональных данных.

Важно заметить, что такой вывод применим для ситуаций наличия легального свободного доступа к персональным данным, а не в случаях, например, утечек персональных данных в результате хакерских атак.

В развитие сказанного представляется уместным прокомментировать ст. 8 Закона о персональных данных, которую нередко трактуют в том ключе, что общедоступные персональные данные – это только те данные, которые включены в прямо указанные в данной статье источники (справочники, адресные книги). Отсюда делается вывод, что персональные данные, размещенные в открытом доступе в сети Интернет, общедоступными не являются, так как они взяты из источника, не поименованного в ст. 8 Закона о персональных данных. Это находит прямое подтверждение и в судебной практике: «…персональные данные, сделанные общедоступными субъектом персональных данных могут содержаться только в общедоступных источниках персональных данных… информация о субъекте (в том числе персональные данные), содержащиеся в социальных сетях (в сети Интернет), не может быть отнесена к персональным данным, сделанным субъектом общедоступными, поскольку социальные сети не являются источником общедоступных персональных данных применительно к положению ст.

8 Закона»[4].

Возражая против такого толкования ст. 8 Закона о персональных данных, следует заметить, что в этой статье говорится о возможности создания общедоступных источников персональных данных (в целях информационного обеспечения). При этом формулировка статьи вовсе не исключает иных общедоступных источников персональных данных кроме прямо названных, а в условиях цифровой трансформации точно не позволяет ограничивать эти источники только справочниками и адресными книгами.

Хорошей иллюстрацией последнему утверждению являются положения, введенные в 2013 году в ст. 7 Закона об информации и касающиеся «общедоступной информации, размещаемой в форме открытых данных».

Вообще идея открытых данных (англ. open data) состоит в том, что некоторые данные должны быть предоставлены (доступны) каждому для любого использования без платы и без каких-либо механизмов контроля, в том числе со стороны правообладателей авторских произведений и патентов[5]. И одной из наиболее значимых разновидностей открытых данных признаются открытые правительственные данные (англ. open government data, OGD) – открытые данные, создаваемые правительственными учреждениями (для России это, например, открытые данные Минфина России[6], МВД России[7], Росстата[8] и др.).

Но правительственные сайты – это лишь один из источников этих данных[9]. Открытые данные могут публиковаться на различных информационных ресурсах сети Интернет: в частности, открытые научные данные (англ. open science data) или открытые исследовательские данные (англ.

open research data) размещаются на сайтах университетов и исследовательских организаций или специально создаваемых сайтах[10].

Изложенное позволяет заключить, что «общедоступная информация, размещаемая в форме открытых данных» является разновидностью общедоступных данных, которую из прочих общедоступных данных выделяет то, что она размещена в сети Интернет в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования (ч. 4 ст. 7 Закона об информации). Важно заметить, что на эти данные распространяется общий режим общедоступной информации (с некоторыми уточнениями, предусмотренными в ч. 5 и 6 ст.

7 Закона об информации)[11].

Может ли информация, относимая к числу персональных данных, попасть в состав открытых данных? Учитывая широту «охвата» легальной дефиниции понятия «персональные данные» и с учетом концепции персональных данных[12] можно предположить, что это вовсе не исключено. Вследствие сказанного закономерным будет вывод о том, что персональные данные могут становиться общедоступными посредством сети Интернет.

Поэтому утверждение, согласно которому к числу источников общедоступных персональных данных относятся только справочники и адресные книги, является явно архаичным.

Неточным надо признать и вывод о том, что в условиях, когда персональные данные размещены в открытом доступе в сети Интернет самим субъектом этих данных, необходимо еще и его согласие на обработку / использование этих данных третьими лицами. Правда, в судебной практике это заключение основывается и на совершенно неверной посылке: «По смыслу Закона о персональных данных, размещение персональных данных в указанных открытых источниках, не делает их автоматически общедоступными. Следовательно, не допускается обработка таких данных без согласия субъекта»[13].

Обосновывая несогласие с таким заключением, надо обратить внимание на п. 4 ч. 2 ст. 22 Закона о персональных данных, согласно которому оператор осуществляет без уведомления уполномоченного органа обработку «персональных данных, сделанных субъектом персональных данных общедоступными», то есть закон прямо выводит такие данные из-под общего правила. Это дает основание говорить о том, что, если субъект персональных данных сам разместил эти данные в открытом доступе, они автоматически становятся общедоступными со всеми вытекающими отсюда последствиями. Эту позицию подтверждает Роскомнадзор, который на вопрос «В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?» отвечает, что такое согласие не требуется, если «осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных)» (п. 10[14]).

Другое дело, что исходя из смысла в совокупности п. 2 ст. 7 Закона об информации и ст. 9 Закона о персональных данных в отношении распространения общедоступных персональных данных требуется получение согласия субъекта этих данных, о чем говорилось выше.

Важно заметить, что рассматриваемый случай размещения самим субъектом данных своих персональных данных в открытом доступе в сети Интернет удостоился специального внимания и в новейшем законодательстве.

Федеральным законом от 30.12.2020 № 519-ФЗ (далее – Закон № 519-ФЗ) в Закон о персональных данных введено понятие «персональные данные, разрешенные субъектом персональных данных для распространения», а также новая статья, посвященная особенностям обработки таких персональных данных (ст. 10.1)[15]. Примечательно, что к числу «персональных данных, разрешенных субъектом персональных данных для распространения» по смыслу п. 1.1 ст. 3 и ч. 1 ст.

10.1 Закона о персональных данных) отнесены такие персональные данные, в отношении которых субъект этих данных дал самостоятельное согласие именно на распространение данных – новый закон требует оформлять его отдельно от иных согласий.

Ситуация, когда сам субъект данных делает свои персональные данные общедоступными (например, при размещении им своих персональных данных на собственной домашней странице в сети Интернет), не относится к числу «разрешенных субъектом персональных данных для распространения». То есть здесь продолжает действовать вышеназванное требование об обязательности получения третьими лицами согласия на распространение общедоступных персональных данных.

Это находит прямое подтверждение в Законе № 519-ФЗ. Во-первых, персональные данные, раскрытые неопределенному кругу лиц самим субъектом данных, не упоминаются в определении понятия «персональные данные, разрешенные субъектом персональных данных для распространения». Во-вторых, ч. 2 ст.

10.1 Закона о персональных данных прямо регламентирует ситуацию «раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия», устанавливая, что в этом случае обязанность предоставить доказательства законности распространения или иной обработки таких персональных данных возлагается на лиц, которые осуществляют их распространение или иную обработку.

Изложенное позволяет говорить о преждевременности громкого утверждения, что «понятия общедоступных персональных данных больше не будет»[16].

P.S. лента новостей IP CLUB в сфере права интеллектуальной собственности и цифрового права (IP & Digital Law) в:

Владельцам сайтов: изменения в законе
о персональных данных

Почти все владельцы сайтов обрабатывают персональные данные — например, собирают почтовые адреса для рассылки.

1 июля 2017 года вступают в силу изменения в законе о персональных данных, из-за которых в разы вырастут штрафы. Максим Лагутин, эксперт по персональным данным в компании Б-152, рассказывает, на кого это повлияет и как избежать штрафов.

Максим Лагутин
Эксперт по защите персональных данных,
основатель консалтинговой компании Б-152

Сейчас по статье 13.11 есть только одно нарушение со штрафом 10 000 рублей для юрлиц. После 1 июля их станет семь и общий штраф может составить до 295 000 рублей.

Почему сейчас? Все штрафы, которые вступают в силу с 1 июля, являются наиболее частыми нарушениями, которые Роскомнадзор выявлял в течение последних пяти лет. Ужесточение нашего законодательства связано с ужесточением законодательства в Евросоюзе.

Например, если в форме обратной связи нет ссылки на соглашение на обработку персональных данных, компания должна будет заплатить 50 000 рублей. Если на сайте нет политики конфиденциальности, ИП оштрафуют на 10 000 рублей, компанию — на 30 000 рублей.

Кого будут штрафовать?

Операторов персональных данных. Оператор — любая организация, ИП и физическое лицо, которые обрабатывают персональные данные, например, собирает электронные адреса для рассылки.

Определение из закона 152-ФЗ «О персональных данных»:

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Что такое персональные данные?

Любые данные о человеке, по которым его можно опознать. Точного перечисления в законе нет, но, например, если логин пользователя нам ни о чем не говорит, то электронная почта — это уже персональные данные.

Определение из закона 152-ФЗ «О персональных данных»:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Часто используемые персональные данные

Неважно, используете ли вы эту информацию по отдельности или в сочетании — если вы как-то получаете ее от пользователей, вы — оператор персональных данных.

  • Email
  • Телефон
  • Имя, фамилия, отчество (и по отдельности)
  • Адрес
  • Дата рождения
  • Фотография
  • Ссылка на персональный сайт и профиль в соцсетях

Трактовка расплывчатая, но исходя из позиции судов и Роскомнадзора даже cookie , данные об IP-адресе, местоположении без указания фамилии и имени являются персональными данными. В деле LinkedIn (который заблокировали за использование cookie, сведений о поведении пользователя на странице и сведений о местонахождении) и провайдера Скартел позиция судов и Роскомнадзора подтверждается.

Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных.

Я не обрабатываю персональные данные, а только собираю

Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.

Определение из закона 152-ФЗ «О персональных данных»:

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Что делать с сайтом

Вам нужно сделать так, чтобы сайт соответствовал требованиям 152-ФЗ. Эти требования применимы для всех — физических лиц и компаний. Убедитесь, что вы соблюдаете следующие условия:

Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон № 242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года.

Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим.

Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.

Под каждой формой сбора данных, включая сбор email, разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». В тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.

В Тильде в каждом блоке с формой сбора данных есть поле, в котором можно разместить текст о согласии на обработку данных и ссылку на соглашение и таким образом выполнить требование закона.

Какая информация должна быть в соглашении об обработке персональных данных

Согласно ч.4 ст. 9 закона 152-ФЗ «О персональных данных» в соглашении обязательно должна быть следующая информация:

    наименование или фамилия, имя, отчество и адрес оператора , получающего согласие субъекта персональных данных;

Разместить на сайте в общем доступе (например, в подвале сайта) ссылку на документ — политику организации в отношении обработки персональных данных на сайте.

Пример политики организации в отношении обработки персональных данных на сайте

Показывать всем новым пользователям сайта предупреждение с текстом о том, что вы собираете метаданные пользователя (cookie, данные об IP-адресе и местоположении) для функционирования сайта и, если он не хочет, чтобы эти его данные обрабатывались, то должен покинуть сайт.

На Тильде блок с предупреждением находится в категории «Другое» под номером Т657

Подать уведомление , чтобы внести организацию в реестр операторов персональных данных Роскомнадзора — можно сделать через сайт.

Уведомление можно не подавать, если вы:

    обрабатываете только данные работников и только для исполнения требований трудового законодательства (без передачи данных в банки, например, оформления зарплатного проекта)

Подтверждать статус оператора в Роскомнадзоре не нужно. Вы или ваша компания итак уже является оператором, если имеет доступ к персональным данным.

Распространять персональные данные граждан по-старому больше не получится

Распространять персональные данные граждан по-старому больше не получится

С 1 марта 2021 г. в нашей стране введен новый порядок распространения персональных данных граждан 1 . В статье мы расскажем об этих изменениях и рассмотрим проблемы, которые могут возникнуть у предпринимателей уже сейчас.

Договоримся о терминах

Персональные данные (ПД) – это любая информация о человеке: Ф.И.О., дата рождения, паспортные данные, адрес, e-mail и т.д.

Оператор – лицо (компания), которое осуществляет любые действия с персональными данными (в законе эти действия называются обработкой), например собирает, записывает, систематизирует, копит, хранит, уточняет, извлекает, использует, передает, обезличивает, блокирует, удаляет, уничтожает, распространяет, предоставляет доступ.

Распространение ПД – это размещение ПД, при котором к данным имеет доступ неопределенный круг лиц. Например: размещенные в аккаунте социальной сети Ф.И.О., дата рождения, контактные данные могут быть просмотрены и скопированы как пользователями соцсети, так и теми, кто в ней не зарегистрирован.

Предоставление ПД – это размещение ПД, при котором к данным имеет доступ определенное лицо или определенный круг лиц. Например: размещенные в закрытом форуме ПД доступны только тем, кто зарегистрирован как участник форума.

ПД, размещенные в открытом доступе, – это ПД, размещенные в интернете, доступ к которым предоставлен всем желающим без необходимости регистрации на сайте.

Касаются ли изменения вашей компании?

Да, если соблюдено одно из указанных условий.

  • На вашем сайте в открытом доступе размещаются ПД.
  • Вы собираете и структурируете ПД, размещенные в открытом доступе.
  • Вы публикуете ПД в печатной или иной форме, при которой ПД находятся в открытом доступе. Пример: социальные сети, сайты объявлений, форумы, печатные издания с объявлениями и т.д.

Нет, если соблюдено одно из указанных условий.

  • На вашем сайте размещаются ПД, доступ к которым есть только у зарегистрированных пользователей, т.е. оператор может ограничить и определить круг лиц, имеющих доступ к ПД. Эта позиция была устно донесена Роскомнадзором в ходе ответов на вопросы на дне открытых дверей 28 января 2021 г. В отсутствие письменных разъяснений остается довериться данной позиции и надеяться на то, что Роскомнадзор не изменит ее. Пример: закрытая корпоративная социальная сеть или сайт-интегратор объявлений, на котором доступ к ПД продавцов можно получить только после регистрации на сайте.
  • Ваша компания распространяет или предоставляет ПД в определенных законом государственных, общественных или публичных интересах независимо от того, что распространение или предоставление ПД запрещено самим лицом 2 . Под государственными, общественными и публичными интересами в основном понимаются вопросы безопасности государства, граждан и т.д. Поэтому сложно придумать реальный случай, когда коммерческая организация могла бы прикрыться данным пунктом закона.
  • Вы являетесь государственным органом власти или органом местного самоуправления, распространяющим ПД в силу выполнения возложенных на вас полномочий 3 .

Как регулировалось распространение ПД до 1 марта 2021 г.?

1. Законность распространения ПД подтверждалась несколькими способами.

  • Оформление согласия на обработку ПД. Оно могло оформляться как письменно, так и путем заполнения формы на сайте 4 . Пример: предоставление согласия на обработку ПД на сайте объявлений о продаже автомобилей. Сайт получает согласие продавца, размещает его имя и номер телефона, чтобы с ним могли связаться покупатели.
  • Заключение договора с лицом, по которому компания распространяла ПД в его интересах. В этом случае согласие не требовалось 5 . Пример: заключение договора с рекрутинговым агентством, по которому оно размещает на своем сайте анкету с ПД соискателя и к ней получает доступ неограниченное число лиц.

2. Если оператор незаконно получил и распространил ПД, то «пострадавшее» лицо доказывало факт незаконности получения оператором его ПД. Оператор обязан был уничтожить ПД, если лицо предоставляло сведения, подтверждавшие, что ПД были получены оператором незаконно 6 .

Пример: гражданин получил на свой e-mail именное предложение оформить кредит. Он обращается письменно в банк (к оператору) с требованием уничтожить ПД как полученные незаконно и ссылается на то, что никогда не передавал свои ПД в этот банк и не заключал с ним договор.

3. Если оператор получал от лица отзыв согласия на обработку ПД, у него было 30 дней на то, чтобы прекратить обработку ПД и уничтожить их 7 .

Что изменилось в регулировании распространения ПД с 1 марта 2021 г.?

Введено новое понятие – ПД, разрешенные субъектом ПД к распространению.

Под этим термином закон понимает ПД, к которым лицо предоставило доступ неограниченному кругу лиц путем дачи согласия на обработку персональных данных, разрешенных для распространения (далее – согласие на распространение) 8 . Это означает, что установлен отдельный порядок регулирования распространения ПД, который не соответствует общему порядку регулирования обработки ПД. Если раньше для распространения ПД достаточно было получить общее согласие на обработку ПД, то теперь для этого нужно получить отдельное согласие.

Иными словами, оператор должен получить:

  • согласие на обработку ПД, по которому сможет собирать, систематизировать, хранить и осуществлять иные действия с ПД;
  • отдельное согласие на распространение ПД, без которого распространение ПД будет незаконным.

Законность распространения ПД и их сбора из открытых источников подтверждается исключительно наличием согласия на распространение.

Если ранее оператор мог законно распространять ПД путем получения согласия на обработку ПД, заключения договора или сбора ПД из открытых источников, то теперь законное условие одно – получение отдельного согласия на распространение ПД 9 .

Установлены требования к оформлению согласия на распространение ПД.

1. Требования к содержанию согласия на распространение ПД должны быть в ближайшее время приняты Роскомнадзором 10 . С текстом проекта приказа Роскомнадзора можно ознакомиться на сайте: regulation.gov.ru.

Форма согласия на распространение ПД, которую предлагает Роскомнадзор, на наш взгляд, перегружена лишней информацией. Например, оператор должен будет указывать в согласии свои коды по классификаторам (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС). Каким образом знание этих кодов может помочь лицу в спорах с оператором – непонятно.

2. В форме согласия на распространение ПД оператор обязан дать возможность лицу предусмотреть:

  • перечень и категории ПД (общие, специальные, биометрические), на которые распространяется его согласие на распространение 11 ;
  • запрет на распространение и предоставление ПД неограниченному кругу лиц 12 ;
  • запрет на обработку ПД неограниченным кругом лиц, за исключением права получения доступа;
  • условия обработки ПД неограниченным кругом лиц, за исключением права получения доступа.

Чтобы соответствовать этим требованиям, операторам придется потратиться на создание на своих сайтах отдельных форм согласий, которые будут учитывать все возможные варианты запретов и ограничений.

При этом обыватели часто не знают, что такое ПД и какие у них есть права относительно обработки их ПД. Непонятно, как они самостоятельно смогут заполнить такое согласие и не допустить ошибок.

3. Согласие на распространение ПД может быть получено оператором непосредственно или с использованием информационной системы Роскомнадзора 13 .

Согласие оператор может получить от лица в письменной форме или через специальную онлайн-форму на своем сайте. При этом молчание или бездействие лица не являются согласием на распространение ПД 14 .

Информационная система Роскомнадзора должна заработать с 1 июля 2021 г. Пока она находится на стадии разработки, и о ней ничего не известно, а разъяснений со стороны Роскомнадзора нет. Поэтому комментировать данную норму еще рано.

4. Оператор обязан не позднее 3 рабочих дней с момента получения согласия на распространение ПД опубликовать информацию:

  • об условиях обработки ПД;
  • об условиях обработки ПД неограниченным кругом лиц 15 ;
  • о наличии запретов на обработку ПД.

Согласно комментариям Роскомнадзора, озвученным на дне открытых дверей 28 января 2021 г., данная информация должна быть опубликована оператором на своем сайте таким образом, чтобы доступ к документу был у всех желающих. Как мы указывали выше, письменных разъяснений нет, и нам остается довериться данной позиции.

Так как четкие требования к форме согласия не установлены, возникает риторический вопрос: в каком объеме должны быть раскрыты ПД в данном документе, чтобы лицо нельзя было спутать с тезкой? Такой пример: на сайте размещены ПД двух человек, Ф.И.О. которых идентичны. При этом один из них разрешает распространять все свои ПД, а другой – только Ф.И.О. и номер телефона.

Как стороннее лицо должно определять, к кому из них относятся те или иные условия обработки ПД?

Что делать оператору, если согласие на распространение ПД составлено некорректно?

1. Если из текста документа не следует, что лицо согласно на распространение ПД, то такие ПД должны обрабатываться оператором без права распространения 16 . Данный пункт позволяет сделать вывод о том, что малейшее сомнение в правильности оформления согласия будет трактоваться не в пользу оператора.

2. Если из текста согласия на распространение ПД не следует, что субъект ПД не установил запреты и условия обработки ПД или он не указал перечень и категории ПД, в отношении которых установлены запреты и условия, то такие ПД должны обрабатываться оператором без права распространения и предоставления неограниченному кругу лиц 17 . Это означает, что если есть сомнения в правильности установления лицом запретов или условий обработки ПД, то оператор обязан обрабатывать ПД без их раскрытия неограниченному кругу лиц.

Порядок прекращения распространения ПД.

1. Если ранее оператор должен был прекратить обработку ПД в течение 30 дней с момента получения от лица отзыва согласия, то сейчас он должен прекратить распространение, предоставление ПД и закрыть доступ к ним в любое время по требованию лица 18 . Согласие на распространение ПД прекращает действовать с момента, когда оператор получил такое требование 19 . При этом в законе не определена форма требования. Скорее всего, оно может быть оформлено как письменно, так и в электронном виде.

Возникает вопрос: что делать оператору, если требование было получено на e-mail ночью или в выходной день? Формально он должен удалить ПД с сайта немедленно, поскольку согласие больше не действует. Такой порядок может привести к недобросовестному поведению со стороны граждан (субъектов ПД).

2. Субъект ПД вправе обратиться к любому лицу, обрабатывающему его ПД, т.е. не только к оператору, которому было дано согласие на распространение ПД, но и к другим лицам, которые стали обрабатывать ПД в последующем. Гражданин вправе требовать от таких лиц:

  • прекратить распространение ПД, или
  • прекратить предоставление ПД и доступ к ним в случае, если такое лицо не соблюдает требования, установленные ст. 10.1 Закона о персональных данных (особенности обработки ПД, разрешенных субъектом ПД для распространения), или
  • обратиться в суд.

В случае такого обращения лицо, обрабатывающее ПД, обязано прекратить распространение, передачу ПД и доступ к ним:

  • в течение 3 рабочих дней с момента получения требования, или
  • в срок, указанный в решении суда, или
  • в течение 3 рабочих дней с момента вступления в силу решения суда 20 .

Если раньше обязанность доказать незаконность обработки ПД лежала на гражданине (субъекте ПД), то сейчас «обработчик и распространитель» ПД должен доказать законность распространения или обработки ПД. Закон прямо указывает, что лицо должно доказать законность последующего распространения или обработки ПД в случае, если ПД были раскрыты неопределенному кругу лиц субъектом без предоставления оператору согласия 21 . Это означает, что если субъект сам раскрыл свои ПД на сайте оператора, то ответственность несут только те лица, которые взяли ПД с указанного сайта и продолжают распространять или обрабатывать ПД.

Возникает вопрос: как оператор будет доказывать тот факт, что ПД были распространены субъектом самостоятельно? Здесь также есть шанс, что субъекты ПД будут злоупотреблять своими правами.

Закон указывает, что если ПД были раскрыты неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, то лицо, в последующем распространяющее или обрабатывающее ПД, обязано доказать законность распространения или обработки ПД.

Что делать компаниям, которые собирают ПД из открытых источников?

До 1 марта 2021 г. действовала норма, согласно которой не требовалось получать согласие на обработку ПД лица, если ПД размещались в открытом доступе самим лицом или по его просьбе. Такие ПД назывались «персональными данными, сделанными общедоступными субъектом ПД». 22 Пример: компания собирает ПД о конкретном лице на странице социальной сети для его оценки как потенциального клиента банка.

Компании, которые собирают ПД из открытых источников, считали, что они не должны получать согласие лица на обработку его ПД, поскольку само лицо размещало в интернете информацию о себе. Вместе с тем в 2018 г. Верховный Суд РФ не согласился с доводами одной из таких компаний. Суд признал: размещение гражданином ПД в соцсетях «ВКонтакте», «Одноклассники», «МойМир», Instagram и Twitter или на интернет-порталах «Авито» и «Авто.ру» не означает, что такие ПД можно обрабатывать без оформления согласия 23 . Однако данное решение существенно не изменило ситуацию: компании продолжали обрабатывать ПД по-старому, без получения согласий.

С 1 марта 2021 г. компании больше не могут так делать: норма исключена из закона. Теперь они обязаны получить согласие лица на обработку ПД, даже если данные были взяты из открытых источников.

Ответственность оператора за распространение ПД без согласия субъекта

Оператор может быть привлечен к административной ответственности. До 27 марта 2021 г. размер штрафа составит:

  • от 5 до 10 тыс. руб. – для индивидуального предпринимателя;
  • от 30 до 50 тыс. руб. – для компании 24 .

С 27 марта 2021 г. размер штрафов увеличивается:

  • от 10 до 20 тыс. руб. – для индивидуального предпринимателя;
  • от 60 до 100 тыс. руб. – для компании.

Рекомендации предпринимателям

Полагаем, самый надежный и менее затратный способ соблюсти требования Закона о персональных данных для тех компаний, чьи сайты содержат ПД субъектов, – закрыть сайты для незарегистрированных пользователей. По крайней мере, до тех пор, пока не сформируется судебная практика и не появится точная позиция Роскомнадзора относительно применения положений Закона о распространении ПД.

Сложнее обстоит дело с компаниями, которые собирают ПД из открытых источников. Такие компании, на наш взгляд, обязаны получать у субъектов:

  • согласие на обработку ПД, если компания хочет обрабатывать ПД без распространения;
  • согласие на распространение, если компания хочет распространять ПД субъекта.

Компаниям, которые распространяют ПД не в интернете, также необходимо получать у субъекта согласие на распространение, даже в том случае, если распространение ПД необходимо для исполнения договора в интересах субъекта.

1 Федеральный закон от 30 декабря 2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”».

2 Часть 11 ст. 10.1 Закона о персональных данных (далее – Закон).

3 Часть 15 ст. 10.1 Закона.

4 Пункт 1 ч. 1 ст. 6 Закона.

5 Пункт 5 ч. 1 ст. 6 Закона.

6 Часть 3 ст. 20 Закона.

7 Часть 5 ст. 21 Закона.

8 Пункт 1.1 ч. 1 ст. 3 Закона.

9 Часть 1 ст. 10.1 Закона.

10 Часть 9 ст. 9 Закона.

11 Часть 1 ст. 10.1 Закона.

12 Часть 9 ст. 10.1 Закона.

13 Часть 6 ст. 10.1 Закона.

14 Часть 8 ст. 10.1 Закона.

15 Часть 10 ст. 10.1 Закона.

16 Часть 4 ст. 10.1 Закона.

17 Часть 5 ст. 10.1 Закона.

18 Часть 12 ст. 10.1 Закона.

19 Часть 13 ст. 10.1 Закона.

20 Часть 14 ст. 10.1 Закона.

21 Часть 2 ст. 10.1 Закона.

22 Пункт 10 ч. 1 ст. 6 Закона.

23 Определение Верховного Суда РФ от 29 января 2018 г. № 305-КГ17-21291.

24 Часть 1 ст. 13.11 КоАП РФ.

Персональные данные в открытых источниках: ВКонтакте, Instragram, Twitter и др. Их правовой статус и можно ли обрабатывать их без согласия пользователей

Наши персональные данные, которые мы размещаем в социальных сетях и на различных платформах — это не просто ФИО, фото и сведения об образовании. Искусственный интеллект при анализе размещенной нами информации может делать удивительно точные выводы о нас, это может быть безобидное — какой вы психотип, или более существенные — где человек живет, работает, его благосостояние и пр.

Можно ли свободно брать наши персональные данные из открытых источников, анализировать и делать выводы, формировать базы данных или пополнять уже сформированные недостающими данными?

Обратимся к двум законам и двум решениям суда (если у вас есть еще — напишите пожалуйста в комментариях).

  1. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»

Статья 8

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Статья 22

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

4) сделанных субъектом персональных данных общедоступными;

  1. Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Статья 7. Общедоступная информация

1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.

2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

4.

Информация, размещаемая ее обладателями в сети «Интернет» в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных.

Лица, обрабатывающие данные в открытых источниках апеллируют к вышеуказанным нормам подтверждая и гарантируя законность своих действий. Однако, Суд и РКН не согласился с их позицией.

  1. Постановление Арбитражного Суда Московского округа от 9 ноября 2017 г. по делу N А40-5250/2017

Суды указали, что не являются общедоступными обрабатываемые персональные данные, содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру).

Размещение персональных данных в указанных открытых источниках, исходя из положений Закона о персональных данных не делает их автоматически общедоступными.

Доводы заявителя о том, что согласие пользователей на обработку персональных данных не требуется, обоснованно отклонены судами.

Судами сделан обоснованный вывод о том, что персональные данные, обрабатываемые в социальных сетях не были сделаны общедоступными субъектом персональных данных в связи с чем, в действиях заявителя усматриваются нарушения части 3 статьи 22 и пункта 1 части 1 статьи 6 Закона о персональных данных.

Такой же вывод, мы можем проследить в Апелляционном определение Нижегородского областного суда от 11.10.2016 по делу N 33-12355/2016.

Если кратко резюмировать, то :

  • социальные сети — не общедоступные источники персональных данных;
  • наши персональные данные в социальных сетях — не сделаны нами общедоступными путем размещения в социальной сети;
  • для того, чтобы обрабатывать наши ПД из социальных сетей, в том числе использовать для пополнения готовых баз данных, необходимо получать прямое согласие на такую обработку.

Что интересно, сами сервисы РКН к ответственности не привлекает. Возможно, их законность можно оправдать п. 3 — 5 ст. 6 ФЗ 152: если Оператор, получивший согласие на обработку ПД субъекта в социальных сетях, поручит эту обработку сервису — то такая обработка будет вполне законной.

Ведь, пока нет поручения и вводных данных от Оператора (пр. ФИО или телефон), сервис обработкой данных пользователей не занимается.

О незаконности функционала сервиса (который был использован заявителем в приведенном выше Постановлении) поднимало вопрос МВД и одна из социальных сетей, данные из которой агрегирует сервис. Причем в последнем случае заявлялись нарушения в сфере интеллектуальной собственности (смежные права на базу данных) и судебная тяжба продолжается до сих пор.

Похожие записи:

  1. Продажа продукции благотворительной организацией
  2. Продажа продукции поставщиков под своим брендом
  3. Продажа реплик часов мировых брендов
  4. Продажа с рук в общественном месте
admin
Оцените автора
Ракульское