В России ограничена обработка общедоступных данных – что делать бизнесу?
15 февраля 20211 марта 2021 года вступают в силу поправки в Федеральный закон «О персональных данных», ограничивающие возможности компаний по работе с общедоступными персональными данными как в интернете, так и офлайн. Мы составили краткую инструкцию по подготовке к нововведениям.
Кого касаются поправки?
Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»» (далее – «Поправки») существенно повлияет на деятельность организации, если она обрабатывает находящиеся в открытом доступе персональные данные или, наоборот, публикует их. К типичным случаям, среди прочего, относятся:
- публикация сведений о работниках (биографии, фото, контактные данные и т.п.) на корпоративном интернет-сайте;
- поиск соискателей для замещения вакансий на сайтах по трудоустройству или через рекрутинговые агентства;
- размещение сведений о работниках на информационных стендах, досках почета, служебных бейджах, в маркетинговых буклетах и аналогичных материалах;
- поиск контактных лиц для установления деловых отношений через интернет;
- все виды маркетинга и бизнес-аналитики, предполагающие анализ профилей потенциальных клиентов в социальных сетях; или
- администрирование сайтов, где пользователи публикуют информацию о себе (к примеру, делятся данными с фитнес-трекеров, размещают комментарии или объявления).
Что меняется?
Порядок опубликования персональных данных. Компания (оператор персональных данных), желающая разместить данные в общем доступе для неограниченного круга лиц (в интернете, на стенде, бейджах, в печатных материалах и т.п.), будет обязана получить у гражданина, к которому относятся данные (субъекта персональных данных), довольно детальное согласие в соответствии с новой ст.10.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (далее – «Закон»). Требования к содержанию согласия должны быть установлены Роскомнадзором (проект приказа опубликован, но еще не утвержден). Согласие может быть дано непосредственно оператору. С 1 июля 2021 года согласие также возможно будет предоставить с использованием новой информационной системы Роскомнадзора, которая пока не запущена.
Условия и ограничения для обработки опубликованных данных. В настоящее время все желающие вправе обрабатывать общедоступные данные без согласия субъекта персональных данных на основании пп.10 ч.1 ст.6 Закона. На этом правиле основана работа рекрутеров, маркетологов и других специалистов и сервисов, свободно скачивающих из интернета и использующих в работе резюме, профили из социальных сетей и другие аналогичные сведения. Согласно Поправкам, такая практика будет запрещена, упомянутый пп.10 ч.1 ст.6 Закона утратит силу, а понятие «персональные данные, сделанные общедоступными субъектом персональных данных» исчезнет из юридического лексикона. Вместо него в законодательство вводится новый термин «персональные данные, разрешенные субъектом персональных данных для распространения». Это означает, что у всей общедоступной информации появляются «хозяева». В силу новой ч.9 ст.10.1 Закона в согласиях субъектов персональных данных, которые они будут давать при размещении данных в общем доступе, могут быть отражены:
- ограничения, касающиеся распространения информации;
- условия и ограничения, обязательные для всех, кто захочет в дальнейшем использовать данные.
Указанные условия, ограничения и запреты на обработку должны быть опубликованы оператором, предоставляющим доступ к персональным данным для неограниченного круга лиц. Если же субъект персональных данных самостоятельно «выложил» их в свободный доступ и не снабдил их текстом согласия, то на всех, кто будет использовать его данные, возлагается бремя доказывания «законности последующего распространения или иной обработки таких персональных данных».
Прекращение распространения персональных данных. Распространение данных должно быть прекращено, как только закончится срок действия согласия. Кроме того, субъект персональных данных вправе в любой момент обратиться к любому оператору, обрабатывающему его персональные данные с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных (новая ч.14 ст.10.1 Закона). Требование должно быть выполнено в течение 3 рабочих дней.
Уведомление в Роскомнадзор. Согласно Поправкам, оператор вправе обрабатывать персональные данные, разрешенные субъектом персональных данных для распространения, без направления уведомления в Роскомнадзор (новая редакция пп.4 ч.2 ст.22 Закона). Если оператор ранее уже подавал уведомление и упоминал в нем об обработке общедоступных данных, то ему все равно придется подать в Роскомнадзор информационное письмо о внесении изменений в сведения в Реестре операторов, исключив устаревшие пункты, в течение 10 рабочих дней со дня изменения законодательства, т.е. в любом случае не позднее 10 марта 2021 года.
Что делать?
Операторам персональных данных целесообразно начать подготовку к работе по новым правилам с выполнения следующих действий:
- провести краткий аудит всех имеющихся в компании бизнес-процессов, связанных с обработкой общедоступных данных;
- разработать новые формы согласий на обработку персональных данных и использовать их при распространении персональных данных;
- заменить в Политике в отношении обработки персональных данных и других локальных нормативных актах (при наличии) положения об общедоступных данных на новые правила согласно Поправкам;
- обеспечить опубликование условий, ограничений и запретов на обработку данных для каждого случая, когда компания размещает персональные данные в общем доступе;
- обеспечить отслеживание применимых условий, ограничений и запретов в тех случаях, когда работники компании используют персональные данные, размещенные в открытых источниках;
- добавить аналогичное обязательство по отслеживанию условий, ограничений и запретов на обработку данных в договоры с рекрутинговыми агентствами;
- разработать внутреннюю процедуру по оперативному прекращению передачи (распространения, предоставления, доступа) персональных данных в случае получения требования от субъекта этих данных;
- подать в Роскомнадзор информационное письмо о внесении изменений в сведения об операторе в реестре операторов (если в ранее поданном уведомлении была указана обработка общедоступных данных).
Все мероприятия, кроме отправки информационного письма, необходимо осуществить к 1 марта 2021 года, когда Поправки начнут действовать. Информационное письмо должно быть подано в интервале с 1 по 10 марта 2021 года.
Для получения более подробной информации, пожалуйста, обратитесь к
Станиславу Румянцеву, к.ю.н., Старшему юристу
RumyantsevS@gorodissky.com
Настоящая статья подготовлена в справочных целях и не должна расцениваться в качестве юридической консультации.