Вопрос, вынесенный в заголовок, выглядит странным. И ответ на него, вроде бы, очевиден – конечно, да. Но подписанный 30 декабря президентом Федеральный закон № 519-ФЗ внес сумятицу в умы специалистов, споры о его содержании идут третью неделю, массу вопросов задали заказчики и коллеги мне, поэтому пора, наверное, высказать и свою точку зрения.
Итак, что поменял закон.
Серьезных изменений в
законе «О персональных данных» на самом деле всего два.
(1) Появилось
принципиально новое понятие «персональные данные, разрешенные субъектом
персональных данных для распространения».
(2) Исключено из закона такое основание для обработки
персональных данных без согласия субъекта, как случаи, когда доступ
неограниченного круга лиц к персональным данным предоставлен субъектом либо по
его просьбе.
При этом изменения в закон, несмотря на их кардинальную
переработку ко второму чтению, подготовлены крайне неряшливо и непродуманно,
так что аукаться новая редакция будет очень долго и очень болезненно. Более
того, забегая вперед, выскажу свою точку зрения на последствия этого закона:
применяться новые положения будут исключительно точечно и избирательно,
поскольку их массовое применение породит полную сумятицу и хаос.
Итак. Проблема номер один. Как теперь указано в пункте 1.1
статьи 3 закона 152-ФЗ «О персональных данных», согласие дается только на
распространение персональных данных, доступ неограниченного круга лиц к которым
предоставлен субъектом персональных данных, то есть на действия, направленные
на раскрытие персональных данных неопределенному кругу лиц. Данные, которые
субъект разместил, например, в своем профиле в социальной сети или на сайте
объявлений, не могут затем размещаться без его согласия на других ресурсах в
сети Интернет. Напомню, что распространение является всего лишь одним из 18
способов обработки, указанных в пункте 3 статьи 3 закона.
Но в части 2 новой статьи 10.1 закона ограничения внезапно
начинают распространяться на любую обработку персональных данных, раскрытых
неопределенному кругу лиц самим субъектом: «обязанность предоставить
доказательства законности последующего распространения или иной
обработки таких персональных данных лежит на каждом лице, осуществившем их
распространение или иную обработку». Не забываем, что одним из способов
обработки является, например, доступ, и доводим ситуацию до логичного абсурда:
доказывать, что законно прочитал что-то в посте социальной сети должен каждый
читатель (а чтение публикации и есть доступ). Правда, в части 9 этой же статьи возможность
доступа оговаривается отдельно, но эта норма касается оператора,
предоставившего доступ, а не лица, его получившего. И вообще, при чем здесь
иное использование, в то время как нововведения касаются исключительно
распространения?
Дальше – больше. Части 5 и 9 статьи 10.1 предусматривают возможность
установления субъектом запретов и условий на обработку персональных данных, а
также категорий и перечней персональных данных, для обработки которых эти
условия и запреты устанавливаются. Более того, если из согласия субъекта на
распространение не следует, что субъект не установил запреты и условия или
не определил категории, в отношении которых они установлены, оператор,
получивший данные от субъекта и согласие на их распространение (видимо, криво
составленное субъектом), должен их обрабатывать (внимание!) без передачи,
распространения, предоставления и доступа неограниченному кругу лиц. Еще раз.
Согласие было дано, как следует из статьи 10.1, на распространение, но их
распространение является противоправным, потому что из согласия такая
возможность не следует.
Новые положения вступают в явное противоречие с положениями
более высокоуровневого закона – Гражданского кодекса, часть 1 статьи 152.2 которого
прямо говорит, что запрет на сбор, хранение, распространение и использование
любой информации о частной жизни без согласия гражданина не распространяется на
случаи, когда информация о частной жизни гражданина ранее стала общедоступной
либо была раскрыта самим гражданином или по его воле. А вот
недействительность запрета на обработку в государственных, общественных или
иных публичных интересах почему-то из Гражданского кодекса продублирована в
части 11 статьи 10.1 закона. Очень напоминает известную миниатюру «здесь
играем, здесь не играем, а это пятно, потому что я рыбу заворачивал».
При этом в законе о персональных данных по-прежнему
содержатся основания для размещения персональных данных в общедоступных
источниках без согласия субъекта – обработка персональных данных для достижения
целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством
на оператора функций, полномочий и обязанностей, для исполнения договора,
стороной которого является субъект персональных данных, обработка данных,
подлежащих опубликованию или обязательному раскрытию в соответствии с
федеральным законом. В этих случаях и потребовать прекращения обработки не
получится.
Ничего не поменялось и в статье 8 об общедоступных
источниках, она по-прежнему пахнет нафталином прошловековой давности («…могут
создаваться общедоступные источники персональных данных (в том числе справочники,
адресные книги)…») и ничего не знает про ресурсы в сети интернет вообще и
социальные сети в частности.
Впереди нас ждет много интересного – форма согласия на обработку
персональных данных, разрешенных субъектом персональных данных для
распространения, которая, как хочется надеяться, не будет содержать паспортных
данных субъекта и его адреса; создание очередного реестра Роскомнадзора, в
котором будут согласия субъектов на распространение их данных, а на самом деле
– на обработку с указанием перечня персональных данных по каждой из категорий
(еще бы знать, что это – специальные, биометрические, или законодатель имел
ввиду что-то совсем другое?). Я так полагаю, что реестр должен быть общедоступным,
иначе откуда пользователи будут знать, что можно, а что нельзя делать с данными
из перечня по каждой из категорий?
Очень хочется знать, как на практике будет реализовываться
требование прекратить передачу (распространение, предоставление, доступ) своих
персональных данных, ранее разрешенных субъектом персональных данных для
распространения, к любому лицу, обрабатывающему персональные данные, если к
данным уже получил доступ неопределенный круг лиц.
Радует, конечно, что все эти запреты и ограничения не
распространяются на выполнение функций, полномочий и обязанностей, возложенных
законодательством Российской Федерации на федеральные органы исполнительной власти,
органы исполнительной власти субъектов Российской Федерации, органы местного
самоуправления. И это при том, что практически в то же время, когда был принят
закон, 23 декабря прошлого уже года, подписано Постановление
Правительства РФ № 2249, в соответствии с которым гражданам дано право предоставлять
и отзывать согласие на обработку своих персональных данных в случаях
предоставления органам и организациям, подключенным к единой системе
идентификации и аутентификации (ЕСИА), доступа к информации о физическом лице,
согласия на совершение иных действий, в том числе юридически значимых, с
использованием государственных, муниципальных и иных информационных систем, а
также хранение самих согласий. Но это уже совсем другая песня.
А если в пользовательском соглашении и политике конфиденциальности указать, что персональные данные третьих лиц размещенные на сайте (например, сайт объявлений с контактными данными тел, e-mail) разрешается использовать только физическим лицам и только для личных или семейных нужд. Не позволит это вывести размещенные ПДн из под 152-фз?
ОтветитьУдалитьНи в коем случае. Оператор - владелец сайта, он персональные данные использует вовсе не для личных и семейных нужд, и это главное
ОтветитьУдалить"Ничего не поменялось и в статье 8 об общедоступных источниках, она по-прежнему пахнет нафталином прошловековой давности («…могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги)…») и ничего не знает про ресурсы в сети интернет вообще и социальные сети в частности."
ОтветитьУдалитьА может статья вовсе не про прошлый век, а очень даже про корпоративные внутренние справочники? И про снятие требования по обеспечению конфиденциальности с данных ПДн?
Нет, конечно. Корпоративные справочники не являются общедоступными в понимании 152-ФЗ, если к ним не может получить доступ любой желающий. И никакого снятия конфиденциальности в них нет. Читаем п.9 ст.86 ТК РФ: "работники не должны отказываться от своих прав на сохранение и защиту тайны". Это про персональные данные работников.
УдалитьВ ФЗ152 нет ни определения общедоступности, ни однозначного понимания. Ст.8 в первую очередь именно про информационное обеспечение работы юридических лиц. Справочники там фигурируют в качестве уточнения или примера, а не как единственная доступная сущность общедоступного размещения данных. При трудоустройстве физическое лицо получает новые ПДн (почту, телефон и т.п.). Их добавляют в адресные книги, к примеру, делают визитки. Потом работники ими пользуются. Каждый раз собирать/писать согласие на обработку ПДн, когда нужно работнику/через работника собрать с рынка коммерческие предложения по электронной почте? Согласитесь, это не работает и не должно так быть.
ОтветитьУдалитьОбщедоступность и означает отсутствие конфиденциальности, т.е. доступ к данным перестает контролироваться ее владельцем.
Статья ТК никак не противоречит статье 8 ФЗ152 - в части первой прописано право субъекта согласиться на превращение части его пдн в общедоступные, во второй части - право субъекта отозвать согласие. Никто ни от чего не отказывается.
Нет, согласие на перевод в категорию общедоступных, т.е. не контролируемых и не ограничиваемых в распространении, и означает отказ от права на тайну. И никакого определения не нужно. Общедоступный - доступный всем. И визитка не предполагает общедоступности - см. ст.7 (иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта). Ну, посмотрите решения судов 4 инстанций по делу Роскомнадзор-НБКИ. Данные в соцсетях - не общедоступные. И есть разъяснения РКН по общедоступности. И, наконец, доступ к корпоративным справочникам без санкции, если они не являются общедоступными (как тлф справочник в автомате Сбера на Вавилова, 19) - это уже ст.272 УК РФ.
ОтветитьУдалитьЕсли бы не было возможности убрать сведения из общедоступных - я бы согласился. А так, надумано.
ОтветитьУдалитьА определение нужно. Как раз для того, чтобы убрать разночтения и домыслы.
Ст. 7 говорит о доступе к конфиденциальным ПДн. Все верно. Но у общедоступных конфиденциальности нет.
Решение по делу РКН-НБКИ никак не противоречит утверждению "общедоступными ПДн становятся после изъявления согласия субъекта на присвоение данным подобного статуса". Разъяснениям РКН вообще доверять нет смысла. Они в свое время выпустили разъяснения, что согласия на передачу с работников получать не надо, если действия происходят в рамках трудовых обязанностей (например, передача ПДн третьему лицу для оформления командировки). Только к тому моменту в ст.88 ТК уже несколько лет как значился прямой запрет на передачу ПДн третьим лицам без письменного согласия.
Субъект ПДн может контролировать доступ к его ПДн в справочниках со стороны коллег, например? Получается, любой пользователь корпоративной адресной книги уголовник? :)
Простите, если что, может не всегда корректно выражаюсь. Просто интересно разобраться.
Решения по делу НБКИ-РКН - это не разъяснения РКН, а вступившие в силу судебные акты со всеми последствиями, в отличие от разъяснений, никаких последствий не имеющих. Определение нужно, но наш закон вообще очень скуден по понятийной базе, из-за этого много проблем. А где Вы нашли норму, что общедоступные данные не требуют конфиденциальности, если определения нет? Вы считаете, что лицо, которому вы дали визитку, вправе писать все, что на ней есть, на заборе? И никакой уголовки из-за пользования корпоративными справочниками не возникает, но до того момента, как внутренний справочник слили в неконтролируемый доступ.
ОтветитьУдалитьЯ понимаю, что решение суда это не разъяснения РКН. По этому и интересно разобраться, что к чему. Для чего то же статью 8 законодатели оставили.
ОтветитьУдалитьПро общедоступность-конфиденциальность сужу по русскому языку, другого не остается. Это слова антонимы. А нормальной ситуацией является внесение сведений из визитки в CRM. К которой имеют доступ другие работники организации и ее контрагенты. Техподдержка этой системы осуществляется вообще третьими лицами. В сумме имеем неконтролируемую субъектом обработку ПДн. И с одной стороны, деюро, имеем нарушение получателем визитки закона, с другой стороны, дефакто - нормальную деловую практику.
Вот мною и движет желание разобраться и понять, как оптимизировать и упростить жизнь организации, которая по роду деятельности (а это почти любое юридическое лицо) вынуждена передавать ПДн работников третьим лицам, но так же и обязана соблюдать законодательство - получать согласия и т.п. Но из за статьи 88 ТК РФ такое впечатление, что любое телодвижение с ПДн работников должно сопровождаться бумажками.
Понятие общедоступной информации дано в статье 7 "трехглавого" закона 149-ФЗ. И этого определения вполне достаточно как для однозначного понимания, что это такое, так и для правоприменения: "общеизвестные сведения и иная информация, доступ к которой не ограничен". Доступ к персональным данным работника ограничен законом, как и к внутреннему корпоративному справочнику. Принуждение сделать ее общедоступной - нарушение прав работника. И да, любая передач третьим лицам требует согласия. Даже если это связано с выполнением трудовых обязанностей. Я длительное время переписывался с Рострудом и Минцифрой относительно того, что делать с экспедитором, который отозвал согласие на передачу его персданных третьим лицам. Ответа так и не получил.
ОтветитьУдалитьВсе верно, это определение никак не противоречит тому, что я сказал. Общедступность - антоним конфиденциальности. В этом же ФЗ конфиденциальность определена как "обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя". А если смотреть дальше эту статью, то становится все интереснее: в части 2 говорится о возможности использовать общедоступную информацию по усмотрению пользователя, но без нарушений закона. А часть 6 прямо говорит о том, что "размещение информации в форме открытых данных" возможно, даже если эти данные - персональные. Вернее статья говорит о вариантах блокировки данных попавших в общий доступ. Но если предусмотрены нарушения, значит есть и легальные способы. Ну мне хочется в это верить. А тут вспоминаем снова о статье 8 ФЗ152.
ОтветитьУдалитьЗакон, на мой взгляд, не ограничивает доступ к персональным данным. Он говорит, что они изначально конфиденциальны, но окончательное право решения предоставлено самому субъекту ПДн. Что логично, как никак у нас все еще конституционное государство :)
С принуждением не согласен. Бизнес-процессы зачастую работают так, что без передачи ПДн третьим лицам никак не обойтись, а возможностей без ущерба для дела оформить согласия и т.п. - нет. При том что передают, зачастую, "рабочие ПДн" - корпоративную почту, корпоративный мобильный и т.п., потенциальный ущерб от нарушений, связанных с ними, незначителен.
Вот кстати, в защиту статьи 8 ФЗ152. Есть же Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" в котором на полном серьезе рассматриваются системы, обрабатывающие общедоступные ПДн из этой статьи. И есть приказ ФСТЭК №21 и приказ ФСБ, которые детализируют требования постановления.
ОтветитьУдалитьНе все так однозначно.