Загрузка...
13.01.2021
4 мин. на чтение

Опубликован закон, устанавливающий особенности обработки общедоступных персональных данных

en
Юридическая компания «Пепеляев Групп» сообщает о том, что 30 декабря 2020 года опубликован закон[1], вносящий изменения в Федеральный закон «О персональных данных»[2], регламентирующий особенности обработки и распространения персональных данных, подлежащих раскрытию неопределенному кругу лиц (вместо общедоступных персональных данных).

Основные изменения, установленные законом, вступают в силу с 1 марта 2021 года.

Согласно Пояснительной записке к принятому законопроекту, цель введения нового регулирования – исключить бесконтрольное использование персональных данных (далее – ПДн), в частности, опубликованных на веб-сайтах, то есть использование в целях, отличных от цели первоначального распространения (опубликования) данных.

Закрепляется новое понятие – «ПДн, разрешенные субъектом для распространения», при этом под распространением понимается предоставление доступа неограниченному кругу лиц.

Практически из всех статей Закона о ПДн исключается понятие «общедоступных данных». Так, исключается такое правовое основание обработки ПДн, как «обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе» (т. е. «ПДн, сделанных общедоступными субъектом ПДн»).

comment.jpgТем не менее, положение Закона о ПДн, регулирующее обработку ПДн в общедоступных источниках ПДн (ст. 8 Закона о ПДн) не подверглось изменениям. Полагаем, определенное количество вопросов в правоприменении может возникнуть при соотнесении механизмов использования (в том числе формирования) общедоступных источников ПДн и ПДн, разрешенных для распространения.

Законом закрепляется необходимость получения согласия на обработку ПДн, разрешенных для распространения, отдельно от иных согласий. Требования к содержанию такого согласия будут установлены Роскомнадзором, и можно ожидать, что они будут достаточно жесткими. Так, например, из Пояснительной записки к законопроекту следует, что согласие «должно включать в себя перечень интернет-ресурсов оператора, на которых планируется размещать общедоступные ПДн».

Кроме того, законом устанавливается, что, помимо получения согласия на обработку ПДн для дальнейшего распространения непосредственно от субъекта, у оператора будет возможность получить такое согласие с использованием информационной системы Роскомнадзора.

comment.jpgВ будущем следует ожидать опубликования информации Роскомнадзором, из которой станет известен полный перечень требований к содержанию согласия на обработку ПДн, подлежащих распространению. Также интерес представляет ожидаемая от Роскомнадзора информация о системе, через которую можно будет получать соответствующие согласия – он должен будет определить правила использования информационной системы, в том числе порядок взаимодействия субъекта персональных данных с оператором.

Отметим, что сведения об условиях и запретах, упомянутых выше, оператор ПДн должен опубликовать в течение трех дней с момента получения соответствующего согласия субъекта ПДн.

Устанавливается несколько важных механизмов защиты распространяемых ПДн. Так, бремя доказывания обработки и последующего распространения ПДн на законном основании возложено на каждого оператора ПДн, осуществившего их обработку, в том числе распространение. Такое бремя возлагается на операторов в случаях:
  • когда оператором осуществлено раскрытие ПДн неопределенному кругу лиц без соответствующего согласия,
  • когда ПДн оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.
Кроме того, механизмы защиты распространяемых ПДн получили свое выражение в запрете распространять ПДн, если из согласия субъекта не следует, что он согласился с их распространением. В дополнение к этому закреплено положение о том, что молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных к распространению.

comment.jpgПоложение, установленное новым законом в отношении согласия на обработку ПДн, разрешенных для распространения, во многом аналогично европейскому регулированию концепции и механизма получения согласия на обработку ПДн. Так, согласие должно быть явно и однозначно выражено, не может быть «пассивным».

Наконец, регламентирован порядок прекращения обработки ПДн, разрешенных для распространения. Субъект ПДн вправе направить требование о прекращении передачи (распространения, предоставления, доступа) разрешенных к распространению ПДн. Законом устанавливаются требования к содержанию такого запроса. Кроме того, с соответствующим требованием субъект может обратиться в суд.

Оператор, в свою очередь, обязан прекратить передачу (распространение, предоставление, доступ) ПДн, разрешенных к распространению, в течение трех рабочих дней с момента получения соответствующего требования, либо в срок, указанный во вступившем в силу решении суда (а если такой срок не указан – в течение трех рабочих дней с момента вступления решения суда в силу).

О чем подумать, что сделать

Компаниям следует подготовиться к выполнению новых требований, установленных законом, и учитывать их в дальнейшей работе, в частности:
  • принять необходимые меры по обновлению локальных актов компании, регламентирующих порядок обработки ПДн, разработать новые либо скорректировать существующие формы согласий на обработку ПДн;
  • если деятельность компании связана с обработкой распространяемых ПДн, организовать деятельность компании и ее работников в соответствии с новыми требованиями законодательства, в частности, при необходимости пересмотреть существующие бизнес-процессы.

Помощь консультанта

Специалисты юридической компании «Пепеляев Групп» обладают обширным опытом работы по вопросам соблюдения законодательства о ПДн, в том числе в части регламентации обработки общедоступных данных. Готовы оказать комплексное правовое и техническое содействие в проверке соблюдения требований законодательства о ПДн и устранении выявленных нарушений, а также представлять интересы организации и ее сотрудников при проведении контрольных мероприятий и в спорах с административными органами.



[1] Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».
[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПДн).

Если Вы заметили ошибку или опечатку, выделите ее и нажмите CTRL+Q

Вас также может заинтересовать

skill

19.01.2024

Интервью с Айдаром Султановым. Руководитель представительства «Пепеляев Групп» в Татарстане

В интервью Айдар Султанов рассказывает о своем опыте работы руководителем юридического управления ПАО «Нижнекамскнефтехим», сложностях последних лет работы в юридической ...

Смотреть