Распространять персональные данные граждан по-старому больше не получится

Договоримся о терминах

Персональные данные (ПД) – это любая информация о человеке: Ф.И.О., дата рождения, паспортные данные, адрес, e-mail и т.д.

Оператор – лицо (компания), которое осуществляет любые действия с персональными данными (в законе эти действия называются обработкой), например собирает, записывает, систематизирует, копит, хранит, уточняет, извлекает, использует, передает, обезличивает, блокирует, удаляет, уничтожает, распространяет, предоставляет доступ.

Распространение ПД – это размещение ПД, при котором к данным имеет доступ неопределенный круг лиц. Например: размещенные в аккаунте социальной сети Ф.И.О., дата рождения, контактные данные могут быть просмотрены и скопированы как пользователями соцсети, так и теми, кто в ней не зарегистрирован.

Предоставление ПД – это размещение ПД, при котором к данным имеет доступ определенное лицо или определенный круг лиц. Например: размещенные в закрытом форуме ПД доступны только тем, кто зарегистрирован как участник форума.

ПД, размещенные в открытом доступе, – это ПД, размещенные в интернете, доступ к которым предоставлен всем желающим без необходимости регистрации на сайте.

Касаются ли изменения вашей компании?

Да, если соблюдено одно из указанных условий.

• На вашем сайте в открытом доступе размещаются ПД.
• Вы собираете и структурируете ПД, размещенные в открытом доступе.
• Вы публикуете ПД в печатной или иной форме, при которой ПД находятся в открытом доступе.

  Пример: социальные сети, сайты объявлений, форумы, печатные издания с объявлениями и т.д.

Нет, если соблюдено одно из указанных условий.

• На вашем сайте размещаются ПД, доступ к которым есть только у зарегистрированных пользователей, т.е. оператор может ограничить и определить круг лиц, имеющих доступ к ПД.

  Эта позиция была устно донесена Роскомнадзором в ходе ответов на вопросы на дне открытых дверей 28 января 2021 г. В отсутствие письменных разъяснений остается довериться данной позиции и надеяться на то, что Роскомнадзор не изменит ее.

  Пример: закрытая корпоративная социальная сеть или сайт-интегратор объявлений, на котором доступ к ПД продавцов можно получить только после регистрации на сайте.

• Ваша компания распространяет или предоставляет ПД в определенных законом государственных, общественных или публичных интересах независимо от того, что распространение или предоставление ПД запрещено самим лицом².

  Под государственными, общественными и публичными интересами в основном понимаются вопросы безопасности государства, граждан и т.д. Поэтому сложно придумать реальный случай, когда коммерческая организация могла бы прикрыться данным пунктом закона.

• Вы являетесь государственным органом власти или органом местного самоуправления, распространяющим ПД в силу выполнения возложенных на вас полномочий³.

Как регулировалось распространение ПД до 1 марта 2021 г.?

1. Законность распространения ПД подтверждалась несколькими способами.

• Оформление согласия на обработку ПД. Оно могло оформляться как письменно, так и путем заполнения формы на сайте⁴.

  Пример: предоставление согласия на обработку ПД на сайте объявлений о продаже автомобилей. Сайт получает согласие продавца, размещает его имя и номер телефона, чтобы с ним могли связаться покупатели.

• Заключение договора с лицом, по которому компания распространяла ПД в его интересах. В этом случае согласие не требовалось⁵.

  Пример: заключение договора с рекрутинговым агентством, по которому оно размещает на своем сайте анкету с ПД соискателя и к ней получает доступ неограниченное число лиц.

2. Если оператор незаконно получил и распространил ПД, то «пострадавшее» лицо доказывало факт незаконности получения оператором его ПД. Оператор обязан был уничтожить ПД, если лицо предоставляло сведения, подтверждавшие, что ПД были получены оператором незаконно⁶.

Пример: гражданин получил на свой e-mail именное предложение оформить кредит. Он обращается письменно в банк (к оператору) с требованием уничтожить ПД как полученные незаконно и ссылается на то, что никогда не передавал свои ПД в этот банк и не заключал с ним договор.

3. Если оператор получал от лица отзыв согласия на обработку ПД, у него было 30 дней на то, чтобы прекратить обработку ПД и уничтожить их⁷.

Что изменилось в регулировании распространения ПД с 1 марта 2021 г.?

Введено новое понятие – ПД, разрешенные субъектом ПД к распространению.

Под этим термином закон понимает ПД, к которым лицо предоставило доступ неограниченному кругу лиц путем дачи согласия на обработку персональных данных, разрешенных для распространения (далее – согласие на распространение)⁸. Это означает, что установлен отдельный порядок регулирования распространения ПД, который не соответствует общему порядку регулирования обработки ПД. Если раньше для распространения ПД достаточно было получить общее согласие на обработку ПД, то теперь для этого нужно получить отдельное согласие.

Иными словами, оператор должен получить:

• согласие на обработку ПД, по которому сможет собирать, систематизировать, хранить и осуществлять иные действия с ПД;
• отдельное согласие на распространение ПД, без которого распространение ПД будет незаконным.

Законность распространения ПД и их сбора из открытых источников подтверждается исключительно наличием согласия на распространение.

Если ранее оператор мог законно распространять ПД путем получения согласия на обработку ПД, заключения договора или сбора ПД из открытых источников, то теперь законное условие одно – получение отдельного согласия на распространение ПД⁹.

Установлены требования к оформлению согласия на распространение ПД.

1. Требования к содержанию согласия на распространение ПД должны быть в ближайшее время приняты Роскомнадзором¹⁰. С текстом проекта приказа Роскомнадзора можно ознакомиться на сайте: regulation.gov.ru.

Форма согласия на распространение ПД, которую предлагает Роскомнадзор, на наш взгляд, перегружена лишней информацией. Например, оператор должен будет указывать в согласии свои коды по классификаторам (ОКВЭД, ОКПО, ОКОГУ, ОКОП, ОКФС). Каким образом знание этих кодов может помочь лицу в спорах с оператором – непонятно.

2. В форме согласия на распространение ПД оператор обязан дать возможность лицу предусмотреть:

• перечень и категории ПД (общие, специальные, биометрические), на которые распространяется его согласие на распространение¹¹;
• запрет на распространение и предоставление ПД неограниченному кругу лиц¹²;
• запрет на обработку ПД неограниченным кругом лиц, за исключением права получения доступа;
• условия обработки ПД неограниченным кругом лиц, за исключением права получения доступа.

Чтобы соответствовать этим требованиям, операторам придется потратиться на создание на своих сайтах отдельных форм согласий, которые будут учитывать все возможные варианты запретов и ограничений.

При этом обыватели часто не знают, что такое ПД и какие у них есть права относительно обработки их ПД. Непонятно, как они самостоятельно смогут заполнить такое согласие и не допустить ошибок.

3. Согласие на распространение ПД может быть получено оператором непосредственно или с использованием информационной системы Роскомнадзора¹³.

Согласие оператор может получить от лица в письменной форме или через специальную онлайн-форму на своем сайте. При этом молчание или бездействие лица не являются согласием на распространение ПД¹⁴.

Информационная система Роскомнадзора должна заработать с 1 июля 2021 г. Пока она находится на стадии разработки, и о ней ничего не известно, а разъяснений со стороны Роскомнадзора нет. Поэтому комментировать данную норму еще рано.

4. Оператор обязан не позднее 3 рабочих дней с момента получения согласия на распространение ПД опубликовать информацию:

• об условиях обработки ПД;
• об условиях обработки ПД неограниченным кругом лиц¹⁵;
• о наличии запретов на обработку ПД.

Согласно комментариям Роскомнадзора, озвученным на дне открытых дверей 28 января 2021 г., данная информация должна быть опубликована оператором на своем сайте таким образом, чтобы доступ к документу был у всех желающих. Как мы указывали выше, письменных разъяснений нет, и нам остается довериться данной позиции.

Так как четкие требования к форме согласия не установлены, возникает риторический вопрос: в каком объеме должны быть раскрыты ПД в данном документе, чтобы лицо нельзя было спутать с тезкой? Такой пример: на сайте размещены ПД двух человек, Ф.И.О. которых идентичны. При этом один из них разрешает распространять все свои ПД, а другой – только Ф.И.О. и номер телефона. Как стороннее лицо должно определять, к кому из них относятся те или иные условия обработки ПД?

Что делать оператору, если согласие на распространение ПД составлено некорректно?

1. Если из текста документа не следует, что лицо согласно на распространение ПД, то такие ПД должны обрабатываться оператором без права распространения¹⁶. Данный пункт позволяет сделать вывод о том, что малейшее сомнение в правильности оформления согласия будет трактоваться не в пользу оператора.

2. Если из текста согласия на распространение ПД не следует, что субъект ПД не установил запреты и условия обработки ПД или он не указал перечень и категории ПД, в отношении которых установлены запреты и условия, то такие ПД должны обрабатываться оператором без права распространения и предоставления неограниченному кругу лиц¹⁷. Это означает, что если есть сомнения в правильности установления лицом запретов или условий обработки ПД, то оператор обязан обрабатывать ПД без их раскрытия неограниченному кругу лиц.

Порядок прекращения распространения ПД.

1. Если ранее оператор должен был прекратить обработку ПД в течение 30 дней с момента получения от лица отзыва согласия, то сейчас он должен прекратить распространение, предоставление ПД и закрыть доступ к ним в любое время по требованию лица¹⁸. Согласие на распространение ПД прекращает действовать с момента, когда оператор получил такое требование¹⁹. При этом в законе не определена форма требования. Скорее всего, оно может быть оформлено как письменно, так и в электронном виде.

Возникает вопрос: что делать оператору, если требование было получено на e-mail ночью или в выходной день? Формально он должен удалить ПД с сайта немедленно, поскольку согласие больше не действует. Такой порядок может привести к недобросовестному поведению со стороны граждан (субъектов ПД).

2. Субъект ПД вправе обратиться к любому лицу, обрабатывающему его ПД, т.е. не только к оператору, которому было дано согласие на распространение ПД, но и к другим лицам, которые стали обрабатывать ПД в последующем. Гражданин вправе требовать от таких лиц:

• прекратить распространение ПД, или
• прекратить предоставление ПД и доступ к ним в случае, если такое лицо не соблюдает требования, установленные ст. 10.1 Закона о персональных данных (особенности обработки ПД, разрешенных субъектом ПД для распространения), или
• обратиться в суд.

В случае такого обращения лицо, обрабатывающее ПД, обязано прекратить распространение, передачу ПД и доступ к ним:

• в течение 3 рабочих дней с момента получения требования, или
• в срок, указанный в решении суда, или
• в течение 3 рабочих дней с момента вступления в силу решения суда²⁰.

Если раньше обязанность доказать незаконность обработки ПД лежала на гражданине (субъекте ПД), то сейчас «обработчик и распространитель» ПД должен доказать законность распространения или обработки ПД. Закон прямо указывает, что лицо должно доказать законность последующего распространения или обработки ПД в случае, если ПД были раскрыты неопределенному кругу лиц субъектом без предоставления оператору согласия²¹. Это означает, что если субъект сам раскрыл свои ПД на сайте оператора, то ответственность несут только те лица, которые взяли ПД с указанного сайта и продолжают распространять или обрабатывать ПД.

Возникает вопрос: как оператор будет доказывать тот факт, что ПД были распространены субъектом самостоятельно? Здесь также есть шанс, что субъекты ПД будут злоупотреблять своими правами.

Закон указывает, что если ПД были раскрыты неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, то лицо, в последующем распространяющее или обрабатывающее ПД, обязано доказать законность распространения или обработки ПД.

Что делать компаниям, которые собирают ПД из открытых источников?

До 1 марта 2021 г. действовала норма, согласно которой не требовалось получать согласие на обработку ПД лица, если ПД размещались в открытом доступе самим лицом или по его просьбе. Такие ПД назывались «персональными данными, сделанными общедоступными субъектом ПД».²² Пример: компания собирает ПД о конкретном лице на странице социальной сети для его оценки как потенциального клиента банка.

Компании, которые собирают ПД из открытых источников, считали, что они не должны получать согласие лица на обработку его ПД, поскольку само лицо размещало в интернете информацию о себе. Вместе с тем в 2018 г. Верховный Суд РФ не согласился с доводами одной из таких компаний. Суд признал: размещение гражданином ПД в соцсетях «ВКонтакте», «Одноклассники», «МойМир», Instagram и Twitter или на интернет-порталах «Авито» и «Авто.ру» не означает, что такие ПД можно обрабатывать без оформления согласия²³. Однако данное решение существенно не изменило ситуацию: компании продолжали обрабатывать ПД по-старому, без получения согласий.

С 1 марта 2021 г. компании больше не могут так делать: норма исключена из закона. Теперь они обязаны получить согласие лица на обработку ПД, даже если данные были взяты из открытых источников.

Ответственность оператора за распространение ПД без согласия субъекта

Оператор может быть привлечен к административной ответственности. До 27 марта 2021 г. размер штрафа составит:

• от 5 до 10 тыс. руб. – для индивидуального предпринимателя;
• от 30 до 50 тыс. руб. – для компании²⁴.

С 27 марта 2021 г. размер штрафов увеличивается:

• от 10 до 20 тыс. руб. – для индивидуального предпринимателя;
• от 60 до 100 тыс. руб. – для компании.

Рекомендации предпринимателям

Полагаем, самый надежный и менее затратный способ соблюсти требования Закона о персональных данных для тех компаний, чьи сайты содержат ПД субъектов, – закрыть сайты для незарегистрированных пользователей. По крайней мере, до тех пор, пока не сформируется судебная практика и не появится точная позиция Роскомнадзора относительно применения положений Закона о распространении ПД.

Сложнее обстоит дело с компаниями, которые собирают ПД из открытых источников. Такие компании, на наш взгляд, обязаны получать у субъектов:

• согласие на обработку ПД, если компания хочет обрабатывать ПД без распространения;
• согласие на распространение, если компания хочет распространять ПД субъекта.

Компаниям, которые распространяют ПД не в интернете, также необходимо получать у субъекта согласие на распространение, даже в том случае, если распространение ПД необходимо для исполнения договора в интересах субъекта.