- Касаются ли изменения вашей компании?
- Как регулировалось распространение ПД до 1 марта 2021 г.?
- Ответственность оператора за распространение ПД без согласия субъекта
- Рекомендации предпринимателям
- Что такое распространение персональных данных
- Виды персональных данных — ПД
- Общедоступные
- Общие
- Обезличенные
- Специальные
- Биометрические
- Виды персональных данных по видам и целям обработки
Оператор – лицо (компания), которое осуществляет любые действия с персональными данными (в законе эти действия называются обработкой), например собирает, записывает, систематизирует, копит, хранит, уточняет, извлекает, использует, передает, обезличивает, блокирует, удаляет, уничтожает, распространяет, предоставляет доступ.
Распространение ПД – это размещение ПД, при котором к данным имеет доступ неопределенный круг лиц. Например: размещенные в аккаунте социальной сети Ф.И.О., дата рождения, контактные данные могут быть просмотрены и скопированы как пользователями соцсети, так и теми, кто в ней не зарегистрирован.
Предоставление ПД – это размещение ПД, при котором к данным имеет доступ определенное лицо или определенный круг лиц. Например: размещенные в закрытом форуме ПД доступны только тем, кто зарегистрирован как участник форума.
ПД, размещенные в открытом доступе, – это ПД, размещенные в интернете, доступ к которым предоставлен всем желающим без необходимости регистрации на сайте.
Касаются ли изменения вашей компании?
Да, если соблюдено одно из указанных условий.
Пример: социальные сети, сайты объявлений, форумы, печатные издания с объявлениями и т.д.
Нет, если соблюдено одно из указанных условий.
На вашем сайте размещаются ПД, доступ к которым есть только у зарегистрированных пользователей, т.е. оператор может ограничить и определить круг лиц, имеющих доступ к ПД.
Эта позиция была устно донесена Роскомнадзором в ходе ответов на вопросы на дне открытых дверей 28 января 2021 г. В отсутствие письменных разъяснений остается довериться данной позиции и надеяться на то, что Роскомнадзор не изменит ее.
Пример: закрытая корпоративная социальная сеть или сайт-интегратор объявлений, на котором доступ к ПД продавцов можно получить только после регистрации на сайте.
Под государственными, общественными и публичными интересами в основном понимаются вопросы безопасности государства, граждан и т.д. Поэтому сложно придумать реальный случай, когда коммерческая организация могла бы прикрыться данным пунктом закона.
Как регулировалось распространение ПД до 1 марта 2021 г.?
1. Законность распространения ПД подтверждалась несколькими способами.
Оформление согласия на обработку ПД. Оно могло оформляться как письменно, так и путем заполнения формы на сайте 4 .
Пример: предоставление согласия на обработку ПД на сайте объявлений о продаже автомобилей. Сайт получает согласие продавца, размещает его имя и номер телефона, чтобы с ним могли связаться покупатели.
Пример: заключение договора с рекрутинговым агентством, по которому оно размещает на своем сайте анкету с ПД соискателя и к ней получает доступ неограниченное число лиц.
2. Если оператор незаконно получил и распространил ПД, то «пострадавшее» лицо доказывало факт незаконности получения оператором его ПД. Оператор обязан был уничтожить ПД, если лицо предоставляло сведения, подтверждавшие, что ПД были получены оператором незаконно 6 .
3. Если оператор получал от лица отзыв согласия на обработку ПД, у него было 30 дней на то, чтобы прекратить обработку ПД и уничтожить их 7 .
Ответственность оператора за распространение ПД без согласия субъекта
Оператор может быть привлечен к административной ответственности. До 27 марта 2021 г. размер штрафа составит:
- от 5 до 10 тыс. руб. – для индивидуального предпринимателя;
- от 30 до 50 тыс. руб. – для компании 24 .
С 27 марта 2021 г. размер штрафов увеличивается:
- от 10 до 20 тыс. руб. – для индивидуального предпринимателя;
- от 60 до 100 тыс. руб. – для компании.
Рекомендации предпринимателям
Полагаем, самый надежный и менее затратный способ соблюсти требования Закона о персональных данных для тех компаний, чьи сайты содержат ПД субъектов, – закрыть сайты для незарегистрированных пользователей. По крайней мере, до тех пор, пока не сформируется судебная практика и не появится точная позиция Роскомнадзора относительно применения положений Закона о распространении ПД.
Сложнее обстоит дело с компаниями, которые собирают ПД из открытых источников. Такие компании, на наш взгляд, обязаны получать у субъектов:
- согласие на обработку ПД, если компания хочет обрабатывать ПД без распространения;
- согласие на распространение, если компания хочет распространять ПД субъекта.
Компаниям, которые распространяют ПД не в интернете, также необходимо получать у субъекта согласие на распространение, даже в том случае, если распространение ПД необходимо для исполнения договора в интересах субъекта.
1 Федеральный закон от 30 декабря 2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”».
Что такое распространение персональных данных
Это распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Виды персональных данных — ПД
Общедоступные
Это информация, полученная из публичных источников информации: справочников, социальных сетей, различных каталогов, сети интернет.
Общие
Это самая обширная категория, в нее включается почти вся личная информация:
- ФИО;
- паспортные данные;
- ИНН;
- семейное положение;
- образование;
- адрес;
- номера телефонов и др.
Обезличенные
Любые ПД становятся обезличенными, если в результате каких-либо действий определить их принадлежность конкретному человеку становится невозможным. Самый яркий пример использования таких ПД – статистика и разнообразные отчеты.
Специальные
К этому виду ПД относят информацию, касающуюся:
- судимостей;
- расовой и национальной принадлежности;
- вероисповедания;
- политических взглядов;
- религиозных и философских убеждений;
- интимной жизни;
- состояния здоровья.
В отличие от общих данных, в законе приведен исчерпывающий перечень специальных ПД. Для этой информации закон устанавливает особые правила сбора, хранения и обработки.
Биометрические
К этому виду относятся все сведения о биологических или физиологических особенностях человека. Это могут быть:
- рост;
- группа крови;
- вес;
- отпечатки пальцев;
- результаты некоторых анализов;
- иногда фото и видео информация.
Важно, что информация становится биометрическими ПД только в том случае, когда, основываясь на ней, становится возможным установление личности человека.
Виды персональных данных по видам и целям обработки
Для каждой группы ПД имеются особенности и нюансы, касающиеся их использования. Рассмотрим ограничения, установленные законом, развернуто для каждой категории информации.