Основные выводы:
- С 1 марта 2021 года оператор публично доступного ресурса, чья деятельность направлена на территорию России, должен получить отдельное согласие от субъекта персональных данных на распространение его персональных данных с помощью данного ресурса.
- Субъект персональных данных вправе определить категории и перечень персональных данных, разрешенных им для распространения, а также устанавливать запреты или условия на распространение персональных данных.
- Персональные данные не могут распространяться, если субъект персональных данных прямо не разрешил их распространение.
1 марта 2021 года вступил в силу Федеральный закон от 30 декабря 2020 года № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» (далее – «Закон»). Закон ввел дополнительные обязанности для компаний, работающих в России, в части получения согласия на обработку персональных данных, размещаемых на публично доступных ресурсах, например, при создании профиля в социальной сети либо создания интернет-страницы, относящейся к конкретному человеку.
Начиная с 1 марта 2021 года оператор ресурса, на котором публикуются персональные данные (далее – «оператор»), должен получить от субъекта персональных данных отдельное согласие на распространение его данных (далее – «Специальное согласие») в дополнение к общему согласию на обработку персональных данных, которое по-прежнему требуется в силу действующих положений законодательства о персональных данных.
Если субъект персональных данных не предоставил Специальное согласие, то оператор должен ограничить доступ к персональным данным такого субъекта на соответствующем публично доступном ресурсе. Кроме того, если субъект персональных данных установил в Специальном согласии запреты или условия на обработку персональных данных, то оператор должен опубликовать такие запреты и условия, и по общему правилу третьи лица должны их соблюдать при использовании ими персональных данных.
Закон окажет существенное влияние на многие сферы деятельности. Непосредственно он затронет операторов, включая не только социальные сети, но и компании, публикующие персональные данные своих работников или других лиц на своем сайте в сети «Интернет». Закон также применяется к любым лицам, использующим общедоступные персональные данные для различных целей: от компаний, направляющих пользователям таргетированную рекламу на их основании, до лиц, осуществляющих проверку третьих лиц с их использованием.
Дальнейшая практика покажет, как будет толковаться и применяться Закон. Согласно позиции Министерства цифрового развития, связи и массовых коммуникаций в отношении действия законодательства о персональных данных по территории, положения Закона будут применяться к любому оператору, чья деятельность направлена на территорию Российской Федерации. Этот же подход может применяться к третьим лицам, которые используют персональные данные, опубликованные на российском публично доступном ресурсе, в связи с ведением деятельности, связанной с Российской Федерацией. Хотя экстратерриториальное применение Закона может быть затруднительным, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – «Роскомнадзор») может принять меры по ограничению доступа к сайту возможного нарушителя в сети «Интернет» с территории Российской Федерации.
Ниже приведен обзор основных положений Закона.
Специальное согласие. Для того чтобы разместить персональные данные на публично доступном ресурсе, таком как социальная сеть или сайт в сети «Интернет», оператор такого ресурса должен получить у субъекта персональных данных Специальное согласие. Требования к содержанию Специального согласия устанавливаются Роскомнадзором. Согласно проекту соответствующего приказа Роскомнадзора, проходящего регистрацию в Министерстве юстиции Российской Федерации, Специальное согласие должно, в частности, содержать:
- цели обработки персональных данных;
- категории и перечень персональных данных, на обработку которых дается Специальное согласие. При этом у субъекта персональных данных есть возможность определить конкретные виды персональные данных, распространение которых он разрешает;
- по желанию субъекта персональных данных категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (об этом подробнее ниже);
- срок, в течение которого действует Специальное согласие, который не может автоматически пролонгироваться и не может быть бессрочным;
- ссылка на публично доступный ресурс оператора, на котором будут распространяться персональные данные.
Специальное согласие может быть предоставлено оператору непосредственно или, с 1 июля 2021 года, с использованием информационной системы Роскомнадзора.
Распространение персональных данных. Оператор может осуществлять распространение персональных данных, только если субъект персональных данных прямо это разрешил в Специальном согласии. Таким образом, если субъект персональных данных не выразил такого прямого согласия, оператор обязан ограничить доступ к профилю субъекта персональных данных или интернет-странице, где размещены персональные данные, для всех, кроме субъекта персональных данных и оператора. Единственным исключением является распространение персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
Субъект персональных данных в Специальном согласии может полностью запретить распространение персональных данных или установить для него определенные условия. Например, субъект персональных данных может разрешить распространение персональных данных только для целей получения определенных рассылок (например, только новостных, но не рекламных). Если субъект персональных данных не устанавливает запреты или условия для распространения персональных данных, то это должно непосредственно следовать из Специального согласия. Если из Специального согласия не следует, что запреты или условия для распространения персональных данных не установлены, то предполагается, что распространение персональных данных запрещено.
Запреты или условия могут устанавливаться субъектом персональных данных в отношении всех или отдельных категорий или видов персональных данных. Оператор обязан в течение трех рабочих дней с момента получения Специального согласия субъекта персональных данных опубликовать информацию о наличии запретов или условий на обработку персональных данных (например, в профиле субъекта персональных данных). Согласно логике Закона, если оператор опубликовал информацию о соответствующих запретах и условиях, но третье лицо использовало персональные данные, нарушив их, ответственность за нарушение запретов и условий должно нести такое третье лицо.
Прекращение распространения персональных данных. Субъект персональных данных вправе в любое время отозвать Специальное согласие или изменить его условия. Если субъект персональных данных отзывает Специальное согласие, то оператор должен прекратить распространение персональных данных (например, ограничив доступ к профилю субъекта персональных данных или соответствующей интернет-странице).
Если условия Специального согласия были нарушены, то субъект персональных данных может обратиться с требованием о защите своих прав в суд. Это возможно в случае, например, когда субъект персональных данных запретил использование его общедоступных персональных данных в рекламных целях, но несмотря на это получил рекламные предложения, настроенные на основании персональных данных.
Лицо, осуществляющее обработку персональных данных, обязано прекратить такую обработку в течение трех рабочих дней с момента получения требования субъекта персональных данных либо в срок, указанный в решении суда . Неисполнение данного требования может повлечь административную ответственность в виде административного штрафа в размере до 100 000 рублей для юридических лиц и (или) до 20 000 рублей для их должностных лиц .