Обработка личных сведений по согласию

Как соответствовать обновленному законодательству в сфере персональных данных?

Нормативные правовые акты постоянно совершенствуются, чтобы свести к минимуму возможность утечек чувствительной информации. 30 декабря 2020 года была принята новая редакция Федерального закона «О персональных данных», которая может внести неразбериху в процессы обработки и распространения личных сведений. Ведь для операторов (а это любые организации, к которым попадает личная информация граждан) подобные правки – головная боль и вмешательство в отлаженный механизм. Что изменилось и нужно ли глобально перекраивать процесс обработки персональных данных (ПД) или только немного его «отретушировать», разбираемся вместе с главным аналитиком по информационной безопасности компании «Элефус» Екатериной Голунчиковой.


РАЗРЕШЕННЫЕ ДЛЯ РАСПРОСТРАНЕНИЯ

Итак, в законе «О персональных данных» появились изменения, корректирующие правила публикации (распространения) сведений, содержащих ПД, в открытых источниках.

Для начала еще раз поясним, что является ПД, о которых все постоянно говорят. В этот список входят (в любой последовательности и в любых сочетаниях):

  • ФИО;
  • дата рождения;
  • номер телефона;
  • адрес;
  • электронный адрес;
  • фото;
  • ссылка на профили в социальных сетях и другие персональные ресурсы;
  • информация из резюме сотрудника, включая сведения о предыдущем(-их) месте(-ах) работы, различных достижениях и наградах и другие личные данные.

Новая редакция вводит вместо «общедоступных персональных данных» понятие «персональные данные, разрешенные субъектом для распространения», где под распространением понимается предоставление доступа неограниченному кругу лиц. Таким образом подчеркивается ограниченная доступность личных сведений, необходимость получения отдельного разрешения на их разглашение. При этом понятие «общедоступные источники персональных данных» остаются в правовом поле (статья 8 152-ФЗ).


ЧТО ТАКОЕ ОБРАБОТКА

Кроме того, был обновлен перечень правовых оснований обработки ПД без согласия на это их владельца. Так, исчезла формулировка «обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных)». На практике это означает, что теперь, например, нельзя скачать резюме соискателя из интернета и обрабатывать его ПД на основании того, что это «общедоступные персональные данные».

Что-то из личных сведений скопировать можно только в том случае, если у разместившего их ресурса есть соответствующее согласие от персоны

Такой документ может включать в себя доступ (посмотреть и больше ничего) или доступ и дальнейшее распространение (посмотреть, скачать и выложить на своем сайте) и так далее – вариантов множество.

Под обработкой данных (помимо доступа) в законе понимается:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение информации.

И да,

в согласии должно быть явно указано, что владелец личных сведений разрешает с ними делать


СЛЕДОВАТЬ ПРАВИЛАМ ВЕЗДЕ

Важно отметить, что изменения касаются не только публичных интернет-ресурсов, включая соцсети, форумы и так далее, но также и всех корпоративных сайтов, размещающих информацию о своих сотрудниках, например, в разделах сайта «Контакты», «Руководство» и т.п. Все они должны заручиться согласием своих работников с указанием разрешенных действий.

Главный вопрос, который возникает у многих операторов ПД: «Где все эти согласия и описания владелец сайта должен размещать и что делать, если у каждого субъекта будет свой взгляд на разрешенные виды обработки?» Вот здесь пока, увы, ясности нет.

Зато Роскомнадзор предписывает всем операторам ПД неукоснительно следовать правилам, а именно:

  • Операторы обязаны разработать новую форму согласия на обработку ПД, разрешенных для распространения (требования к содержанию согласия устанавливает РКН).

При этом сами персоналии, данные которых выкладываются в открытый доступ, определяют в каждом конкретном случае, какую информацию они не против выдать в публичное пространство. Плюс к этому необходимо указать, будет это просто доступ или с ограничениями (например, запрет на публикацию на сторонних ресурсах).

  • Операторы обязаны в срок не позднее трех рабочих дней с момента получения согласия субъекта ПД опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПД, разрешенных человеком для распространения.

В каком виде такие данные должны быть размещены и в каком месте – пока под вопросом. Например, можно оставлять ссылку на запреты и условия обработки ПД рядом с каждой их публикацией. Так, это уместно сделать рядом с пунктом «Наши контакты».

Согласие может подаваться оператору ПД либо напрямую, либо через информационную систему Роскомнадзора

Предполагается, что любой гражданин может в этой системе указать, кому он дает согласие на распространение и какие данные о себе разрешает распространять. В таком случае оператор может уже не получать от субъекта согласие самостоятельно, а использовать для этого сервис РКН.

  • Молчание или бездействие гражданина ни при каких обстоятельствах не может считаться согласием. Например, если из заполненного им документа явно не следует, что он согласился с распространением ПД, то распространение запрещено.
  • В любой момент любой гражданин, чьи данные обрабатывает оператор, может передумать и аннулировать данное ранее согласие или изменить его. И оператор в любое время должен прекратить распространение информации о таком субъекте после полученного обращения, включающего в себя:

– фамилию, имя, отчество (при наличии);

– контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных;

– перечень персональных данных, обработка которых подлежит прекращению.

Действие согласия субъекта прекращается с момента получения оператором такого требования.

Кроме того, с соответствующим требованием о прекращении распространения субъект может обратиться в суд. И в таком случае оператор обязан прекратить передачу (распространение, предоставление, доступ) ПД в течение трех рабочих дней с момента получения требования либо в срок, указанный во вступившем в силу решении суда*.

Что необходимо сделать всем операторам прямо сейчас:

  • проанализировать процессы, в рамках которых происходит распространение ПД;
  • при необходимости скорректировать их, а именно – взять согласия для всех случаев размещения ПД или отказаться от их размещения;
  • довести до сведения работников, непосредственно участвующих в обработке ПД, изменения в законодательстве и в корпоративных процессах;
  • при необходимости актуализировать локальные акты, регламентирующие порядок обработки ПД;
  • разработать и ввести в действие новые формы согласий на обработку ПД в соответствии с требованиями, установленными Роскомнадзором.

Если будут приняты эти основные меры, дальше в работу с ПД останется только внести косметические правки. Также в жизни операторов будет гораздо меньше сложностей, если они не забудут проверить выполнение «старых» требований. Новая редакция их не отменяет.

Важно: если на сайте осуществляется сбор и обработка ПД, то на нем должна быть размещена политика обработки ПД

Это документ, в котором определяются цели и правовые основания для сбора данных, а также порядок их обработки.


КОГДА СОГЛАСИЕ НА ОБРАБОТКУ ПД НЕ ТРЕБУЕТСЯ

Не стоит воодушевляться, увидев этот подзаголовок. Коротким ответом здесь будет «почти никогда». Ну а если посмотреть на то, что предписывает нам буква закона, мы сможем увидеть, что новые требования не применяются лишь в случае обработки ПД в целях выполнения возложенных законодательством на федеральные органы исполнительной власти и субъектов РФ, органы местного самоуправления функций, полномочий и обязанностей.


О ШТРАФАХ

Если оператор распространяет ПД без отдельного согласия, то это влечет ответственность, предусмотренную законом.

Кроме того, всем, кто скачает эти данные, также придется нести ответственность и доказывать законность их обработки

Обработка ПД без согласия в случаях, когда такое согласие должно быть получено, влечет наложение штрафа для юридических лиц – от 30 тыс. до 150 тыс. рублей. А повторное нарушение – от 300 тыс. до 500 тыс. рублей. Отметим, что нередки случаи, когда операторы получают штрафы в размере нескольких миллионов за невыполнение правил.

Пока так и неясно, как будут выполняться и как будет контролироваться выполнение новых положений. Требования к форме нового согласия еще не утверждены (проект приказа Роскомнадзора еще только проходит процедуру регистрации), а система РКН для сбора согласий запустится ориентировочно в июле.

Ясно в настоящее время только одно:

чтобы не попасть под штрафные санкции, нужно следить за рекомендациями регулирующих органов и правоприменительной практикой, а также обращаться в случае необходимости к экспертам в области защиты персональных данных


* Если такой срок не указан – в течение трех рабочих дней с момента вступления решения суда в силу.

Изображение: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ:

Обезличить до неузнаваемости
Законодатели и рынок пытаются понять – нужна ли данным анонимность