Новые правила обработки персональных данных
С 1 марта 2021 года вступили в силу нововведения, которыми изменены требования по обработке персональных данных физических лиц. Прокомментирует новые правила доцент кафедры трудового и предпринимательского права, кандидат юридических наук Наталья Минкина.
Современный мир представлен огромными потоками информации, среди которых особое значение имеют личные данные. Почти при любом социальном взаимодействии они передаются, хранятся, распространяются или иным образом подлежат обработке. На законодательном уровне этим вопросам стало уделяться внимание с принятием Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных». Несмотря на то, что закон вступил в силу еще в 2007 году, организация деятельности по работе с персональными данными затянулась на долгие годы, а затем периодически возникала необходимость в изменениях закона и практики его применения. Причем, большая часть изменений касалась обработки персональных сведений физических лиц с использованием средств автоматизации или интернет-ресурсов.
Персональные сведения людей стали одним из важных элементов для развития онлайн-платформ, широко используемых различными организациями в их деятельности в интернет-пространстве. На решение проблемы неконтролируемого использования таких данных на различных интернет-сайтах или передачи контента в целях, отличных от цели их первоначального распространения, направлены последния поправки в указанный документ Федеральным законом № 519-ФЗ от 30.12.2020 «О внесении изменений в Федеральный закон «О персональных данных», большая часть норм которого вступила в силу с 1 марта 2021 года, а отдельные его нормы вступят в силу с 1 июля 2021 года. По мнению депутатов Государственной Думы РФ, ранее действующая юридическая конструкция позволяла нецелевое использование таких сведений и фактически приводила к широкому их распространению с нарушением принципов обработки персональных данных, предусмотренных ст. 5 Федерального закона «О персональных данных». Таким образом, очередные законодательные изменения направлены на предотвращение нелегальной утечки персональных сведений.
Что изменилось с 1 марта 2021 года?
Ключевым является введение нового юридического понятия «персональные данные, разрешенные субъектом персональных данных для распространения». Под ними, согласно новой редакции ст. 3 анализируемого закона, подразумеваются персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законодательством.
Выделение нового термина отнюдь не носит условный или теоретический характер, как может показаться на первый взгляд. Это имеет непосредственное практическое значение и существенным образом меняет правоприменительную практику. Теперь согласие на обработку персональных данных, разрешенных для распространения, операторы должны оформлять отдельно от иных согласий на обработку персональных данных. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных. На этом основании Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в январе – феврале текущего года подготовила проект соответствующего приказа, но он пока находится на рассмотрении и не утвержден.
Вместе с тем, в числе уже действующих законодательных изменений в ст. 10.1 Федерального закона «О персональных данных» предусмотрены особенности обработки персональных данных, разрешенных субъектом – физическим лицом для их распространения. Среди них наиболее значимыми выступает следующие:
1) При оформлении отдельного согласия субъекта персональных данных на обработку его личных данных оператор обязан обеспечить этому субъекту возможность самостоятельно определить перечень своих сведений по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных лицом для их последующего распространения.
2) В случае, если из предоставленного субъектом согласия на обработку персональных данных, разрешенных для распространения, не следует, что субъект персональных данных согласился с их распространением, такие сведения обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.
3) В согласии на обработку персональных данных, разрешенных для распространения, допустимо установление запретов на передачу оператором данных неограниченному кругу лиц, а также на обработку или указание условий обработки данных неограниченным кругом лиц. В этом случае оператор обязан в срок не позднее 3 рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения. Однако сказанное не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
4) При этом молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может расцениваться в качестве согласия на обработку персональных данных, разрешенных субъектом для распространения, то есть в любом случае требуется оформление соответствующего согласия.
5) Данное согласие можно предоставить непосредственно оператору, а с 1 июля 2021 года – с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, предстоит определить Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций.
6) Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для их распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено. Причем, действие ранее поданного согласия субъекта на обработку персональных данных, разрешенных им для распространения, прекращается с момента поступления оператору такого требования.
7) Отдельное внимание нужно обратить на то, что отмеченные правила и требования касаются операторов, под которыми понимаются государственные органы, муниципальные органы, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Между тем, обозначенные законодательные требования не применимы в случае обработки персональных данных в целях выполнения возложенных законодательством на органы исполнительной власти Российской Федерации и ее субъектов, органы местного самоуправления функций, полномочий и обязанностей в силу наличия иных законодательных требований.
8) В любом случае, как оператор, так и субъект персональных данных имеют право обратиться в суд при возникновении между ними спора. Но в случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору соответствующего согласия, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку. Так же, как при распространении персональных данных неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких личных сведений лежит на каждом лице, осуществившем их распространение или иную обработку.
Изменение ответственности операторов за обработку персональных сведений
Кроме того, с 27 марта 2021 года вступят в силу поправки об ужесточении административной ответственности оператора за нарушение положений законодательства о персональных данных. Так, Федеральным законом № 19-ФЗ от 24.02.2021 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» внесены изменения в ст. 13.11. В новой ее редакции упраздняется такой вид санкции как предупреждение, но сохраняется широкое использование административных штрафов. При этом существующие сегодня санкции в виде штрафов с 27 марта увеличатся, по некоторым составам административных правонарушений даже вдвое. Также устанавливаются санкции за повторное соответствующее нарушение.
Так, согласно ч. 1 ст. 13.11 КоАП РФ обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 13.11, если эти действия не содержат уголовно наказуемого деяния, влечет наложение административного штрафа на граждан в размере от 2000 до 6000 рублей; на должностных лиц - от 10000 до 20000 рублей; на юридических лиц - от 60000 до 100000 рублей.
Повторное же совершение административного правонарушения, предусмотренного ч. 1 ст. 13.11, влечет наложение административного штрафа на граждан в размере от 4000 до 12000 рублей; на должностных лиц - от 20000 до 50000 рублей; на индивидуальных предпринимателей - от 50000 до 100000 рублей; на юридических лиц - от 100000 до 300000 рублей.
Итак, рассмотренные нововведения, с одной стороны, усложняют порядок по обработке персональных данных для операторов, но с другой стороны, - расширяют возможности людей и их свободу в принятии решения в отношении того, какие персональные данные могут использоваться публично и подлежать распространению. В настоящее время субъект персональных данных вправе сам устанавливать их перечень (допускается без указания причины), оформляя соответствующее согласие, требование в адрес оператора.
Соответствующее знание законодательных изменений позволит бесконфликтно регулировать процессы передачи и распространения многих персональных данных и минимизировать нагрузку на судей при рассмотрении соответствующей категории дел.
Доцент кафедры трудового и предпринимательского права,
кандидат юридических наук
Наталья Минкина.
