В большом комплекте законов, подписанных Президентом РФ 30 декабря 2020 года, есть и федеральный закон от 30 декабря 2020 года №519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Новые положения уже вступили в силу 1 марта 2021 года.
В пояснительной записке авторы законопроекта отмечают, что «действующая правовая конструкция Федерального закона «О персональных данных» позволяет третьим лицам осуществлять сбор и последующее неконтролируемое использование указанных персональных данных на интернет-сайтах в целях, отличных от цели их первоначального распространения, а равно с ориентиром на иные целевые аудитории, что нарушает принцип целеполагания, установленный статьей 5 Федерального закона «О персональных данных».
Закон «О персональных данных» был дополнен новым понятием: «персональные данные, разрешенные субъектом персональных данных для распространения».
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
1.1) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом.
Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных (ч.9 ст.9).
Мой комментарий: Появился на свет новый вид согласия, которое субъект ПДн должен будет оформлять – иными словами, новая головная боль для операторов персональных данных, да и для специалистов по управлению документами тоже.
Авторы законопроекта отмечали в пояснительной записке, что «согласие субъекта персональных данных выступает в качестве исключительного правового основания на обработку персональных данных, сделанных общедоступными, содержание которого в обязательном порядке должно включать в себя перечень интернет-ресурсов оператора, на которых планируется размещать общедоступные персональные данные. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень общедоступных персональных данных по каждой категории персональных данных, указанной в согласии».
Важным моментом является то, что с согласия субъекта ПДн могут обрабатываться и специальные категории ПДн (п.2 ч.2 ст.10)
Закон дополнен новой статьей 10.1 «Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения», в которой описан порядок получения такого согласия.
Согласие оформляется отдельно от иных согласий субъекта ПДн на обработку его персональных данных. Оператор обязан обеспечить субъекту ПДн возможность определить перечень разрешенных им для распространения персональных данных по каждой категории ПДн, указанной в согласии (ч.1).
Обязанность предоставить доказательства законности последующего распространения или иной обработки таких ПДн лежит на каждом лице, осуществившем их распространение или иную обработку:
- В случае раскрытия ПДн неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия (п.2);
- В случае, если ПДн оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы (п.3).
В случае, если из предоставленного согласия не следует, что субъект ПДн:
- Согласился с распространением, - такие персональные данные обрабатываются оператором, которому они предоставлены, без права распространения (п.4);
- Не установил запреты и условия на обработку ПДн или если в предоставленном согласии не указаны категории и перечень ПДн, для обработки которых он устанавливает условия и запреты, - такие ПДн обрабатываются оператором, которому они предоставлены, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц (п.5).
Согласие может быть предоставлено оператору (п.6):
- Непосредственно;
- С использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных (с 1 июля 2021 года).
Правила использования информационной системы уполномоченного органа, в том числе порядок взаимодействия субъекта ПДн с оператором, определяются Роскомнадзором (п.7).
Молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием (п.8).
В согласии субъект ПДн вправе установить запреты на передачу данных оператором неограниченному кругу лиц (кроме предоставления доступа), а также запреты на их обработку или условия обработки (кроме получения доступа) неограниченным кругом лиц. Отказ оператора в установлении субъектом ПДн запретов и условий не допускается (п. 9).
Оператор обязан в срок не позднее трех рабочих дней с момента получения согласия опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом персональных данных для распространения (п.10).
Установленные субъектом ПДн запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки ПДн в государственных, общественных и иных публичных интересах, определенных законодательством РФ (п.11).
Передача (распространение, предоставление, доступ) ПДн должна быть прекращена в любое время по требованию субъекта ПДн. Данное требование должно включать в себя: (п.12)
- Фамилию, имя, отчество (при наличии),
- Контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также
- Перечень персональных данных, обработка которых подлежит прекращению.
Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
Действие согласия прекращается с момента поступления оператору такого требования (п.13).
Субъект ПДн вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных им для распространения, к любому лицу, их обрабатывающему, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) ПДн в течение трех рабочих дней с момента получения требования или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу (п.14).
Требования статьи не применяются в случае обработки ПДн в целях выполнения возложенных законодательством РФ на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей (п.15).
Мой комментарий: Борьба за защиту персональных данных набирает обороты, и можно ожидать, что судебная практика обогатиться новыми интересными делами. Насколько эффективны будут новые нормы в плане защиты персональных данных, покажет только жизнь, - пока же я могу только посочувствовать операторам, которым придётся дополнительно оформлять согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Замечу также, что оформление и исполнение условий согласи настолько сложны и забюрократизированы, а возможность отзыва согласия в любой момент делает обработку подобных персональных данных настолько построенной «на песке», - что, как мне кажется, куда проще (как мы уже наблюдаем на практике) устанавливать порядок обработки определенных категорий ПДн в специальных отраслевых законах, избегая тем самым необходимости исполнять общие требования закона «О персональных данных»…
Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=372682
Комментариев нет:
Отправить комментарий