Что такое общедоступные персональные данные и что к ним относится
Разбираемся, что относится к общедоступным персональным данным и как они защищаются законом.
Ежедневно пользователи предоставляют свои персональные данные (далее — ПДн) множеству организаций и сайтов. Из-за этого возникает закономерный вопрос: «Как сделать так, чтобы эти данные не стали доступны третьим лицам?». Прежде чем ответить на этот вопрос, стоит понять, что же такое общедоступные персональные данные.
Определение общедоступных ПДн: что понимается под термином
Несмотря на повсеместное использование термина «общедоступные персональные данные», 152-ФЗ (закон о персональных данных) не дает точного определения этого понятия. Закон использует термины «персональные данные», «разрешенные субъектом персональных данных для распространения», а также «общедоступные источники персональных данных». Из последнего можно предположить, что «общедоступные персональные данные» — это информация о субъекте персональных данных, включенная в открытые источники, такие как справочники, адресные книги. В перечень таких данных могут входить:
- ФИО субъекта,
- год и место рождения,
- адрес,
- абонентский номер
- сведения о профессии.
Важно учитывать, что даже если данные включены в открытые источники, это не означает возможность их свободного использования без соблюдения требований законодательства.
Персональные данные: что это и какими они бывают
Простой пример данных, которые относятся и не относятся к персональным:
| Не относится к ПДн | Относится к ПДн |
|---|---|
| Иван | ФИО: Иванов Иван Иванович email: ivanov.i.i@selectell.ru |
| Сотрудник ООО «Сеть дата-центров “Селектел”» | Иванов Иван Иванович работает в ООО «Сеть дата-центров “Селектел”» |
Почему так? Вспомним, что персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу. То есть персональными являются данные, которые можно отнести к определенному (условно, известному заранее) или определяемому (условно, поддающемуся выделению за счет этих данных) человеку.
Помимо общедоступных, разрешенных для распространения, также можно выделить еще несколько категорий ПДн:
Специальные ПДн. К данной категории относится наиболее чувствительная информация — например, политические или религиозные взгляды человека, его судимости или история болезни.
Обработка таких данных по умолчанию не допускается, но есть ряд исключений. Например, к ним относятся случаи, когда пользователь предоставил согласие в письменной форме (письменное разрешение), а также случаи обработки в целях оказания медицинской помощи или страхования.
Биометрические ПДн. К данной категории относятся сведения, характеризующие биологические или физиологические особенности, позволяющие установить личность человека и используемые для этого — его отпечатки пальцев, фотография или анализ ДНК человека. Важное значение имеет именно факт использования данных для установления личности, так как благодаря нему схожие сведения могут относиться или не относиться к биометрии. Например, фото лица человека в системе биометрической аутентификации и фотография в личном деле.
Иные ПДн. Хотя эта категория не отражена в 152-ФЗ в явном виде, она используется в ПП РФ 1119, одном из подзаконных актов. К данной категории относятся данные, не попадающие под определения специальных категорий ПДн, биометрии и общедоступных.
Изменения в 152-ФЗ с 1 марта 2021 года
После принятия закона основные нововведения заключаются в следующем:
- Для обработки ПДн, разрешенных для распространения, субъект должен давать отдельное согласие. Он сам сможет регулировать передачу, запрет и условия обработки таких ПДн — например, дать разрешение на отображение своего ФИО и места обучения или работы, но запретить обработку его фотографий.
- Новые изменения в законе усложняют сбор информации из профилей социальных сетей пользователя, несмотря на их открытость или приватность. Оператор должен обеспечить наличие законных оснований обработки таких ПДн, если пользователь не предоставил согласия.
- Пользователь может запросить у компании принудительное удаление своих ПДн. Если компания отказывается сделать это, пользователь имеет право обратиться в суд.
Персональные данные, разрешенные для распространения
Персональные данные, разрешенные для распространения, представляют собой категорию ПДн, обработка которых возможна только при наличии специального согласия субъекта. Согласно статье 10.1 152-ФЗ, оператор обязан соблюдать следующие условия:
- Обработка таких ПДн возможна с отдельного согласия. Согласие предоставляется самим субъектом с учетом утвержденных Роскомнадзором требований или с использованием информационной системы Роскомнадзора.
- Обязанность предоставить законные основания обработки таких данных в случае, если субъект не давал согласия, лежит на каждом лице, осуществившем их обработку или последующее распространение.
- Бездействие пользователя не является согласием на обработку ПДн.
- Субъект ПДн вправе устанавливать в тексте согласия запреты (на передачу, обработку и условия обработки) в отношении неограниченного круга лиц. Оператор, получивший согласие с таким текстом обязан опубликовать информацию об условия обработки и о наличии запретов.
- Передача разрешенных для распространения ПДн должна быть прекращена незамедлительно по требованию субъекта. Требование должно содержать его ФИО, контактную информацию, а также список ПДн, обработка которых должна быть завершена. Действие согласия на обработку таких ПДн прекращается.
- Оператор обязан удалить персональные данные в течение трех рабочих дней после получения соответствующего запроса.
Когда данные включаются в открытые источники
Персональные данные могут быть включены в открытые источники исключительно с согласия субъекта ПДн — физического лица. Например, при наличии у вуза справочника с информацией о преподавателях кафедры, там могут быть опубликованы их фотографии, ФИО, почты, мобильные телефоны и иные личные сведения. Без отдельного согласия на публикацию ПДн от конкретного преподавателя эту информацию нельзя было бы разместить.
В перечень источников, содержащих общедоступные персональные данные, могут входить:
- официальные реестры государственных органов,
- списки членов профессиональных объединений,
- базы данных с контактной информацией при согласии субъекта.
Требования к согласиям на обработку ПДн, разрешенных для распространения
Поправки в 152-ФЗ, вступившие в силу 1 марта 2021 года, ввели необходимость получения отдельного согласия для обработки ПДн, разрешенных для распространения. При этом регулятор в явном виде подчеркнул, что отсутствие ответа (молчание, бездействие) не может являться фактом согласия.
Сделано это было для того, чтобы ограничить утечку ПДн в руки третьих лиц. Для помощи компаниям, занимающимся обработкой таких персональных данных, Роскомнадзор помимо, приказа №18, подготовил рекомендации и шаблон согласия. В общем случае в такое согласие должно быть включено:
- ФИО (отчество — при наличии) субъекта ПДн,
- контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта ПДн),
- сведения об операторе,
- адрес ресурса оператора, на котором будут размещаться такие ПДн,
- цели обработки,
- категории и перечени ПДн на обработку которых дается согласие, а также на обработку которых устанавливаются запреты (еще и перечень таких запретов),
- особые условия обработки оператором ПДн,
- срок действия согласия.
Нарушение этих требований может повлечь ответственность для оператора, включая штрафы и административные меры.
Права субъектов общедоступных персональных данных
Согласно 152-ФЗ, у субъекта персональных данных есть права, закрепленные в следующих статьях:
- Статья 14. Право субъекта персональных данных на доступ к его персональным данным. Регламентирует порядок получения субъектом информации о том, как обрабатываются его ПДн.
- Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. Закрепляет права субъектов ПДн, позволяющие осуществлять их защиту от несанкционированному использования персональных данных в коммерческих целях.
- Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных. Ограничение влияния исключительно автоматизированной обработки ПДн на субъекта.
- Статья 17. Право на обжалование действий или бездействия оператора. В этой статье установлена возможность субъекта обратиться к регулятору — Роскомнадзору — с жалобой на оператора ПДн.
Ответственность операторов за нарушение закона о персональных данных
Операторы, нарушающие закон о персональных данных, несут ответственность в соответствии с КоАП РФ и УК РФ. Основные меры воздействия включают:
- административные штрафы (до 18 млн рублей согласно статье статье 13.11 КоАП РФ),
- блокировку интернет-ресурсов, распространяющих ПДн без согласия,
- гражданско-правовую ответственность в виде компенсации ущерба субъектам персональных данных,
- уголовную ответственность за незаконный сбор и распространение ПДн.
Заключение
Изменения в законе о персональных данных, вступившие в силу 1 марта 2021, немного изменили подход к обработке опубликованных в интернете данных. Операторы должны тщательно следить за соблюдением законодательства, особенно в части обработки общедоступных персональных данных. Несоблюдение норм может привести к штрафам, блокировке ресурсов и иным санкциям.
