Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения

Соотношение общедоступных персональных данных и персональных данных, разрешенных для распространения. Особенности обработки персональных данных после вступления в силу 519-ФЗ от 30.12.2020

4 февраля 2021 г.

Конец 2020 года ознаменовался принятием Федерального закона от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Несмотря на то, что принятые изменения Федерального закона «О персональных данных» в первую очередь были продиктованы благими намерениями законодателя, эти же изменения, без должных разъяснений правоприменителя, могут поставить операторов персональных данных в невыгодное для них положение. При этом, учитывая, что изменения вступают в силу только с 1 марта 2021 года, маловероятно, что до указанной даты какие-либо полноценные разъяснения, касающиеся обработки персональных данных, разрешенных субъектом персональных данных для распространения, будут даны контролирующим органом.

Со своей стороны, мы постарались объективно проанализировать изменения, принятые Федеральным законом от 30.12.2020 № 519-ФЗ, на предмет возможных трудностей для оператора персональных данных.

Персональные данные для распространения vs. Общедоступные персональные данные

Неоднозначное отношение к принятым изменениям в первую очередь вызвано различной терминологией, используемой законодателем. Напомним, что первоначально проект закона именовался как проект Федерального закона «О внесении изменений в Федеральный закон «О персональных данных» в части установления особенностей обработки общедоступных персональных данных». Соответственно, все изменения, прежде всего, касались ст. 8 Федерального закона «О персональных данных». Собственно, и сама ст. 8 в первой версии законопроекта именовалась как «Особенности обработки общедоступных персональных данных».

Примечательно, что дефиниция термина «общедоступные персональные данные» в законопроекте отсутствовала, что позволяло трактовать данный термин буквально, т. е. общедоступные персональные данные — данные, сделанные общедоступными субъектом персональных данных.

По факту, принятые изменения направлены на регулирование обработки персональных данных, разрешенных субъектом персональных данных для распространения, и речь об общедоступности персональных данных в ст. 10.1 Федерального закона «О персональных данных» уже не идет.

На наш взгляд, существует принципиальная разница в используемых терминах. И здесь, хочется процитировать Вольтера: «Прежде чем спорить, давайте договоримся о терминах». Так, термин «общедоступные персональные данные» прямо указывает на совершенное действие с персональными данными — доступ.

Несмотря на то, что ст. 3 Федерального закона «О персональных данных» не раскрывает понятие доступа к персональным данным, по аналогии можно использовать нормы п. 6 ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации», согласно которой доступ к информации - возможность получения информации и ее использования.

Таким образом, первоначально субъект персональных данных, предоставляя оператору согласие на обработку общедоступных персональных данных, соглашался на получение и использование его данных третьими лицами.

Однако, в редакции Закона о персональных данных, не вступившей в силу, употребляется термин «персональные данные, разрешенные субъектом персональных данных для распространения». Согласно п. 1.1 ст. 3 указанного закона, под персональными данными, разрешенными субъектом персональных данных для распространения, следует понимать персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом.

При этом, в этой же статье в п. 5 раскрывается понятие распространения персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Так, остается не до конца понятным, на какое действие субъект персональных данных дает свое согласие - доступ или распространение? Тут стоит обратить внимание также на то, что дефиниция термина «раскрытие» в отраслевом законодательстве отсутствует. Единственная правовая норма, раскрывающая данный термин, содержится в ст. 30 Федерального закона «О рынке ценных бумаг», где под раскрытием информации понимается обеспечение ее доступности всем заинтересованным в этом лицам независимо от целей получения данной информации в соответствии с процедурой, гарантирующей ее нахождение и получение. При этом, согласно указанной норме раскрытой информацией признается информация, в отношении которой проведены действия по ее раскрытию.

Резюмируя вышесказанное, и исходя из буквального толкования п. 1.1 ст. 3 Федерального закона «О персональных данных», можно сделать вывод, что субъект персональных данных, разрешая распространение своих персональных данных, дает свое согласие на обеспечение доступности, включая получение и использование персональных данных неопределенным кругом лиц, независимо от целей получения.

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения

Итак, с терминологией разобрались. По крайней мере попытались прояснить на совершение каких действий субъект персональных данных дает согласие оператору персональных данных. Однако, именно вопрос о согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, становится камнем преткновения, поскольку нормы ст. 10.1 Федерального закона «О персональных данных» не содержат какой-либо конкретики.

Первое, что оператор персональных данных должен понимать - согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

И здесь встает вопрос, в какой форме должно быть получено данное согласие? Скорее всего, согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть в любой позволяющей подтвердить факт его получения форме. Такой вывод можно сделать на основании норм ч. 6 ст. 10.1 Федерального закона «О персональных данных», поскольку такое согласие может быть предоставлено оператору непосредственно или с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

Наш вывод был подтвержден на состоявшемся 28 января 2021 г. Дне открытых дверей, где заместитель руководителя Роскомнадзора в своем выступлении акцентировал внимание на том, что согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть дано непосредственно оператору с использованием его информационной системы или в письменной форме.

Учитывая тот факт, что законодатель использует формулировку «непосредственно», то согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, должно быть получено напрямую от субъекта без промежуточного участия других лиц. Тогда возникает другой вопрос, может ли согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, быть получено от представителя субъекта персональных данных? Скорее всего, да. Поскольку специальная правовая норма отсутствует, то применяется ч. 1 ст. 9 Федерального закона «О персональных данных», указывающая на то, что согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем.

Кроме того, в соответствии с ч. 9 ст. 10.1 Федерального закона «О персональных данных», оператор персональных данных не должен забывать, что получение согласия по умолчанию или бездействию субъекта персональных данных не допускается ни при каких обстоятельствах.

Второе, на что следует обратить внимание оператору персональных данных - содержание согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Вопрос о содержании согласия пока остается открытым. Согласно принятым изменениям ст. 9 Федерального закона «О персональных данных» дополнится ч. 9, содержащей указание на то, что требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, будут устанавливаться уполномоченным органом по защите прав субъектов персональных данных, т.е. Роскомнадзором.

Однако изначально, проект закона содержал четкий перечень обязательных требований к содержанию согласия. Так, согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения должно было включать в себя:

  1. фамилию, имя, отчество субъекта персональных данных, а также контактную информацию;
  2. наименование или фамилию, имя, отчество (при наличии) и адрес оператора, получающего согласие субъекта персональных данных;
  3. цель (цели) обработки персональных данных;
  4. категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  5. категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;
  6. срок, в течение которого действует согласие субъекта персональных данных;
  7. сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных.

Как мы видим, некоторые нововведения (пп. 4, 5) по содержанию согласия сохранились в ст. 10.1 Федерального закона «О персональных данных»:

Кроме того, в своем выступлении заместитель руководителя Роскомнадзора подтвердил, что содержание согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, пока остается неизменным и полностью соответствует перечню обязательных требований к содержанию согласия, ранее указанному в законопроекте Федерального закона «О внесении изменений в Федеральный закон «О персональных данных» в части установления особенностей обработки общедоступных персональных данных».

Однако, в случае если предоставленное субъектом персональных данных согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не позволяет сделать однозначные выводы об установленных запретах и условиях обработки, или если в предоставленном согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, такие персональные данные обрабатываются оператором, как персональные данные, неразрешенные субъектом персональных данных для распространения.

В-третьих, оператор персональных данных не должен забывать, что с вступлением в законную силу принятых изменений, бремя доказывания законности обработки распространенных персональных данных лежит на операторе персональных данных. Так, субъект персональных данных вправе обратиться к любому оператору персональных данных с требованием удалить его персональные данные, разрешенные или неразрешенные для распространения, без дополнительных условий доказывания факта неправомерной обработки персональных данных.

Соотношение ст. 8 и ст. 10.1 ФЗ «О персональных данных»

Как говорилось выше, в ст. 10.1 Федерального закона «О персональных данных» речь об общедоступности персональных данных не идет. Следовательно, нормы ст. 8 Федерального закона «О персональных данных» не имеют никакого отношения к нормам, закрепленным в ст. 10.1 названного закона.

Важно понимать, как отметил представитель Роскомнадзора на состоявшемся 28 января 2021 г. Дне открытых дверей: «Закон разводит такие понятия как персональные данные, разрешенные субъектом персональных данных для распространения, и персональные данные из общедоступных источников».

Исходя из анализа норм ст. 8 Федерального закона «О персональных данных», можно выделить основные отличия персональных данных из общедоступных источников от персональных данных, разрешенных субъектом персональных данных для распространения:

Так, если оператор персональных данных ранее получил письменное согласие субъекта персональных данных на включение его данных в общедоступные источники (например, справочники, адресные книги), а в последующем происходит распространение таких данных, то оператор должен иметь два отдельных согласия на совершение таких действий, как включение в общедоступные источники и распространение.

Что делать?

Итак, прежде чем посыпать голову пеплом, рекомендуем операторам персональных данных выполнить следующие требования, касающиеся обработки персональных данных, разрешенных субъектом персональных данных для распространения:

1. Получать отдельное согласие субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, с обязательным указанием категории и перечня персональных данных, на обработку которых дается согласие, а также перечня устанавливаемых субъектом персональных данных условий и запретов.

В связи с тем, что законодатель не указал требование о форме данного согласия, то следует обратить внимание на действующие правовые нормы, согласно которым:

Во всех остальных случаях допустимо получать согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, в электронной форме, в том числе с помощью специализированных платформ.

А если согласие получали ранее?

Здесь стоит вспомнить, что первоначальной целью принятых изменений было изменение положения, при котором третьи лица могли осуществлять сбор и последующее использование персональных данных, размещенных на различных интернет-сайтах, без ведома самого субъекта персональных данных в целях, отличных от цели их первоначального распространения.

Следовательно, если оператор персональных данных ранее получал согласие на обработку персональных данных с правом распространения (например, для размещения персональных данных своих сотрудников на интернет-сайте оператора), то такое согласие будет действовать и после вступления в силу принятых изменений. Поскольку Федеральный закон «О персональных данных» не имеет обратной силы, то с 1 марта 2021 года все операторы персональных данных, которые ранее разместили или собирали размещенные на различных интернет-сайтах персональные данные на основании согласия, могут не получать соответствующее согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения. Однако, с момента вступления изменений в законную силу у субъекта персональных данных появляется право требовать прекращения передачи (распространение, предоставление, доступ) таких персональных данных.

2. Определить подпадают ли установленные субъектом персональных данных запреты и условия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, под случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

Если нет, то осуществлять обработку и передачу таких персональных данных в соответствии с требованиями закона и запретами (условиями), установленных субъектом персональных данных в своем согласии.

3. Опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных.

По этому требованию дать развернутые комментарии не представляется возможным, поскольку не до конца понятно, как оператор должен реализовать исполнение данного требования?! Трудно представить, что оператор персональных данных по каждому полученному согласию, содержащему различные запреты и условия обработки персональных данных, разрешенных для распространения, будет публиковать информацию. Вероятно, оператору персональных данных в форме согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, следует самому предусмотреть вероятные запреты и условия обработки персональных данных, разрешенных для распространения. Таким образом, оператор персональных данных предлагает субъекту персональных данных выбор возможных запретов и ограничений. При этом, в форме согласия всегда можно оставить возможность субъекту персональных данных самому дополнить предложенный перечень (например, оставить пустую строку). Так, имея перечень вероятных запретов и условий обработки персональных данных, разрешенных субъектом персональных данных для распространения, оператору персональных данных будет легче и менее затратно публиковать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

4. Прекратить передачу (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, по требованию субъекта персональных данных.

Как быть с базами персональных данных?

Ни для кого не секрет, что на сегодняшний день можно легально приобрести готовую базу персональных данных. Так, у некоторых компаний это является одним из основных направлений деятельности: компания собирает общедоступные персональные данные, систематизирует их по нужному критерию, и предлагает третьим лицам использовать её в своих целях. Например, общедоступные данные специалистов сферы здравоохранения собираются в систематизированную базу данных, а затем передаются фармацевтической компании на основании заключенного договора. При этом, в большинстве случаев, лицо, формирующее такую базу персональных данных, не получает согласия субъекта персональных данных на обработку персональных данных, ссылаясь на иные правовые основания обработки, в частности п. 10 и п. 11 ч. 1 ст. 6 Федерального закона «О персональных данных».

Однако, возникает вопрос, как будет осуществляться вышеописанный механизм сбора и передачи персональных данных после вступления в законную силу принятых изменений в Федеральный закон «О персональных данных»?

Попробуем разобраться на примере персональных данных вышеупомянутых специалистов сферы здравоохранения, для этого нужно ответить на следующие вопросы:

При каких обстоятельствах персональные данные специалистов здравоохранения можно считать общедоступными?

Тут стоит отметить, что в редакции Закона о персональных данных с изменениями не вступившими в силу, термин «общедоступные персональные данные» не употребляется. Следовательно, такие данные нужно рассматривать либо как персональные данные, разрешенные субъектом для распространения, либо как персональные данные, включенные в общедоступные источники персональных данных.

В соответствии с пп. 7 ч. 1 ст. 79 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» персональные данные специалистов сферы здравоохранения могут быть распространены, поскольку существует обязанность информировать граждан в доступной форме, в том числе с использованием сети Интернет, об осуществляемой медицинской деятельности и о медицинских работниках медицинских организаций, об уровне их образования и об их квалификации, а также предоставлять иную определяемую уполномоченным федеральным органом исполнительной власти необходимую для проведения независимой оценки качества условий оказания услуг медицинскими организациями информацию.

Так например, согласно Приказу Министерства здравоохранения Российской Федерации от 30 декабря 2014 г. № 956н «Об информации, необходимой для проведения независимой оценки качества оказания услуг медицинскими организациями, и требованиях к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети «Интернет»», на сайте должна быть размещена следующая информация о медицинских работниках медицинской организации:

Таким образом, указанная обработка персональных данных специалиста здравоохранения осуществляется на основании п. 11 ч. 1 ст. 6 Федерального закона «О персональных данных», поскольку такие данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Следовательно, здесь уместно применение норм, предусмотренных ст. 10.1 Федерального закона «О персональных данных», т. к. речь идет о раскрытии персональных данных неопределенному кругу лиц. Напомним, что согласно п. 5 ст. 3 Федерального закона «О персональных данных» распространение персональных данных включает в себя действия, направленные на раскрытие персональных данных.

На каком основании возможна обработка, включая сбор и хранение, опубликованных персональных данных специалистов здравоохранения в базе данных, принадлежащей третьему лицу?

На этот вопрос дать однозначный ответ весьма затруднительно, поскольку ни в правоприменительной практике, ни у самого регулятора, не выработался единый подход по данному вопросу.

По общему правилу, обработка персональных данных должна осуществляться на основании согласия субъекта персональных данных. Однако, такой вариант не приемлем для большинства операторов персональных данных, собирающих персональные данные, разрешенные для распространения, или персональные данные из общедоступных источников.

Сразу оговоримся, что рассматривать в настоящей статье правовое основание обработки персональных данных, сделанных общедоступными субъектом персональных данных (п. 10 ч. 1 ст. 6 ФЗ «О персональных данных»), не имеет смысла. Причина вполне очевидная - указанная норма утрачивает силу с 1 марта 2021 года.

Альтернативным вариантом правомерной обработки опубликованных персональных данных специалистов здравоохранения, которым пользуются гораздо чаще, чем требуется, можно назвать п. 11 ч. 1 ст. 6 Федерального закона «О персональных данных».

Однако не до конца ясно, какие именно действия можно совершать с персональными данными, которые подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом. Может ли третье лицо осуществлять их обработку, включая сбор, систематизацию и хранение, без согласия субъекта персональных данных?

Осмелимся предположить, что здесь нужно исходить из цели такой обработки. Ведь смысл правовой нормы п. 11 ч. 1 ст. 6 ФЗ «О персональных данных» прежде всего направлен на обеспечение и соблюдение права субъектов правоотношений на получение информации. Например, размещение информации, содержащей персональные данные специалиста здравоохранения, направлено на соблюдение права гражданина на получение информации, реализуемого при выборе врача и медицинской организации (п. 7 ст. 21 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации»).

Следовательно, если лицо обрабатывает персональные данные, подлежащие опубликованию или обязательному раскрытию, или эти данные получены из общедоступных источников, такая обработка возможна без согласия субъекта персональных данных исключительно в информационных целях.

Немаловажным является и то, что в процессе обработки полученных персональных данных, оператору могут стать известны новые (обновленные) персональные данные, которые не были опубликованы (раскрыты). В таком случае, у оператора отсутствует основание обрабатывать обновленные персональные данные субъекта, т. к. они не будут подпадать под основание обработки, предусмотренное в п. 11 ч. 1 ст. 6 ФЗ «О персональных данных», поскольку не были опубликованы.

В остальных случаях, требуется согласие субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Возможно ли приобретение базы персональных данных, содержащей персональные данные специалистов здравоохранения после 1 марта 2021 года?

Да, возможно. Но не стоит забывать об общих условиях при которых закон разрешает осуществлять передачу (доступ, предоставление, распространение) персональных данных другим лицам.

Поскольку, в нашем случае единственным правомерным основанием передачи (доступ, предоставление, распространение) персональных данных третьему лицу является согласие субъекта персональных данных, оператор персональных данных должен получить такое согласие субъекта персональных данных, независимо от того, как он получил эти данные.

Во-вторых, получая персональные данные не от субъекта персональных данных, лицо, получающее персональные данные специалистов здравоохранения, до начала обработки таких персональных данных должно уведомить субъекта персональных данных в соответствии с ч. 3 ст. 18 Федерального закона «О персональных данных».

В-третьих, «новый» оператор полученных персональных данных должен получить согласие субъекта персональных данных на обработку персональных данных, в том числе если персональные данные, разрешенны субъектом персональных данных для распространения.

Лента сообщений в удобном формате: