Ежедневно пользователи предоставляют свои персональные данные (далее — ПДн) множеству организаций и сайтов. Из-за этого возникает закономерный вопрос: «Как сделать так, чтобы эти данные не стали доступны третьим лицам?». Прежде чем ответить на этот вопрос, стоит понять, что же такое общедоступные персональные данные.
Определение общедоступных ПДн: что понимается под термином
Несмотря на повсеместное использование термина «общедоступные персональные данные», 152-ФЗ (закон о персональных данных) не дает точного определения этого понятия. Закон использует термины «ПДн», «разрешенные субъектом ПДн для распространения», а также «общедоступные источники персональных данных». Из последнего можно предположить, что «общедоступные ПДн» — это информация о субъекте ПДн, включенная в общедоступные, открытые источники, такие как справочники, адресные книги. В них могут включаться следующие персональные данные:
- ФИО субъекта,
- год и место рождения,
- адрес,
- абонентский номер
- сведения о профессии.
Персональные данные: что это и какими они бывают
Простой пример данных, которые относятся и не относятся к персональным:
| Не относится к ПДн | Относится к ПДн |
|---|---|
| Иван | ФИО: Иванов Иван Иванович email: ivanov.i.i@selectell.ru |
| Сотрудник ООО «Сеть дата-центров “Селектел”» | Иванов Иван Иванович работает в ООО «Сеть дата-центров “Селектел”» |
Почему так? Все просто (и одновременно нет). Вспомним, что персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу. То есть персональными являются данные, которые можно отнести к определенному (условно, известному заранее) или определяемому (условно, поддающемуся выделению за счет этих данных) человеку.
Помимо общедоступных, разрешенных для распространения, также можно выделить еще несколько категорий ПДн:
Специальные ПДн. К данной категории относится наиболее чувствительная информация — например, политические или религиозные взгляды человека, его судимости или история болезни.
Обработка таких данных по умолчанию не допускается, но есть ряд исключений. Например, к ним относятся случаи, когда пользователь предоставил согласие в письменной форме (письменное разрешение), а также случаи обработки в целях оказания медицинской помощи или страхования.
Биометрические ПДн. К данной категории относятся сведения, характеризующие биологические или физиологические особенности, позволяющие установить личность человека и используемые для этого — его отпечатки пальцев, фотография или анализ ДНК человека. Важное значение имеет именно факт использования данных для установления личности, так как благодаря нему схожие сведения могут относиться или не относиться к биометрии. Например, фото лица человека в системе биометрической аутентификации и фотография в личном деле.
Иные ПДн. Хотя эта категория не отражена в 152-ФЗ в явном виде, она используется в ПП РФ 1119, одном из подзаконных актов. К данной категории относятся данные, не попадающие под определения специальных категорий ПДн, биометрии и общедоступных.
Изменения в 152-ФЗ с 1 марта 2021 года
После принятия закона основные нововведения заключаются в следующем:
- Для обработки ПДн, разрешенных для распространения, субъект должен давать отдельное согласие. Он сам сможет регулировать передачу, запрет и условия обработки таких ПДн — например, дать разрешение на отображение своего ФИО и места обучения или работы, но запретить обработку его фотографий.
- Новые изменения в законе усложняют сбор информации из профилей социальных сетей пользователя, несмотря на их открытость или приватность. Оператор должен обеспечить наличие законных оснований обработки таких ПДн, если пользователь не предоставил согласия.
- Пользователь может запросить у компании принудительное удаление своих ПДн. Если компания отказывается сделать это, пользователь имеет право обратиться в суд.
Персональные данные, разрешенные для распространения
Под уже упоминавшимися ранее ПДн, разрешенными для распространения, понимаются данные, доступ к которым (неограниченного круга лиц) предоставил сам субъект. Особенности обработки таких данных приведены в статье 10.1 152-ФЗ. Можно выделить несколько ключевых пунктов, связанных с обработкой таких данных:
- Обработка таких ПДн возможна с отдельного согласия. Согласие предоставляется самим субъектом с учетом утвержденных Роскомнадзором требований или с использованием информационной системы Роскомнадзора.
- Обязанность предоставить законные основания обработки таких данных в случае, если субъект не давал согласия, лежит на каждом лице, осуществившем их обработку или последующее распространение.
- Бездействие пользователя не является согласием на обработку ПДн.
- Субъект ПДн вправе устанавливать в тексте согласия запреты (на передачу, обработку и условия обработки) в отношении неограниченного круга лиц. Оператор, получивший согласие с таким текстом обязан опубликовать информацию об условия обработки и о наличии запретов..
- Передача таких ПДн должна быть прекращена незамедлительно по требованию субъекта. Требование должно содержать его ФИО, контактную информацию, а также список ПДн, обработка которых должна быть завершена. Действие согласия на обработку таких ПДн прекращается.
- Пользователь вправе обратиться с просьбой о прекращении передачи таких персональных данных к любому оператору ПДн из тех, кому он давал согласие ранее. Оператор обязан в трехдневный срок завершить обработку ПДн.
Когда данные включаются в открытые источники?
В общедоступные источники данные включаются строго с согласия субъекта ПДн — физического лица. Например, при наличии у вуза справочника с информацией о преподавателях кафедры, там могут быть опубликованы их фотографии, ФИО, почты, мобильные телефоны и иные личные сведения. Без отдельного согласия на публикацию ПДн от конкретного преподавателя эту информацию нельзя было бы разместить.
Требования к согласиям на обработку ПДн, разрешенных для распространения
Как было упомянуто выше, поправки в 152-ФЗ, вступившие в силу 1 марта 2021 года, ввели необходимость получения отдельного согласия для обработки ПДн, разрешенных для распространения. При этом регулятор в явном виде подчеркнул, что отсутствие ответа (молчание, бездействие) не может являться фактом согласия.
Сделано это было для того, чтобы ограничить утечку ПДн в руки третьих лиц. Для помощи компаниям, занимающимся обработкой таких персональных данных, Роскомнадзор помимо, приказа №18, подготовил рекомендации и шаблон согласия. В общем случае в такое согласие должно быть включено:
- ФИО (отчество — при наличии) субъекта ПДн,
- контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта ПДн),
- сведения об операторе,
- адрес ресурса оператора, на котором будут размещаться такие ПДн,
- цели обработки,
- категории и перечени ПДн на обработку которых дается согласие, а также на обработку которых устанавливаются запреты (еще и перечень таких запретов),
- особые условия обработки оператором ПДн,
- срок действия согласия.
Храните персональные данные пользователелей по закону
В объектном хранилище, соответствующем 152-ФЗ.
Права субъектов общедоступных персональных данных
Согласно 152-ФЗ, у субъекта персональных данных есть права, закрепленные в следующих статьях:
- Статья 14. Право субъекта персональных данных на доступ к его персональным данным. Регламентирует порядок получения субъектом информации о том, как обрабатываются его ПДн.
- Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации. Закрепляет права субъектов ПДн, позволяющие осуществлять их защиту от несанкционированному использования персональных данных в коммерческих целях.
- Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных. Ограничение влияния исключительно автоматизированной обработки ПДн на субъекта.
- Статья 17. Право на обжалование действий или бездействия оператора. В этой статье установлена возможность субъекта обратиться к регулятору — Роскомнадзору — с жалобой на оператора ПДн.
Ответственность операторов за нарушение закона о персональных данных
Нарушение требований 152-ФЗ может грозить дисциплинарной, гражданско-правовой, административной и уголовной ответственностью. Например, в статье 13.11 КоАП РФ описаны последствия в виде наложения штрафов на оператора (или на отдельных лиц) за нарушение закона о ПДн. Статья включает 9 различных пунктов с максимальным штрафом до 18 млн рублей.
Заключение
Изменения в законе о персональных данных, вступившие в силу 1 марта 2021, немного изменили подход к обработке опубликованных в интернете данных. Бездумно использовать данные, найденные на просторах интернета, нельзя. Оператору необходимо удостовериться о наличии согласие в явном виде.
