С 01 марта 2021 года вступают в силу новые правила обработки персональных данных, сделанных доступными неопределенному кругу третьих лиц «общедоступных персональных данных».
Поправки введены законом N 519-ФЗ от 30.12.2020 и существенным образом меняют порядок использования персональных данных, находящихся в общем доступе, и в первую очередь, размещенных на сайтах в сети Интернет. В большей части поправки важны для сайтов по типу агрегаторов и социальных сетей. Однако и корпоративным сайтам с отзывами и контактными данными сотрудников тоже досталось.
Как всегда, смотрите подробности под катом.
Из закона исключается понятие «персональные данные, сделанные общедоступными субъектом персональных данных», используемое в качестве правового основания обработки таких ПДн любыми лицами (пп.10 п.1 ст.6 152-ФЗ). Взамен вводится понятие «персональные данные, разрешенные субъектом персональных данных для распространения».
Принципиальное отличие этих понятий в режиме использования персональных данных, доступ к которым предоставляется третьим лицам. Новые условия предусматривают получение отдельного согласия субъекта ПДн на их распространение и обработку третьими лицами, тогда как ранее такое согласие предполагалось (достаточно было доказать факт их публикации субъектом ПДн или с его разрешения).
Как следствие, с 01 марта 2021 года нельзя собирать и использовать опубликованные в Интернете сведения об отдельном лице или массово извлекать и осуществлять последующее использование персональных данных с сайтов и прочих ИСПДн в автоматическом режиме (посредством «парсинга»), если не получено согласие каждого субъекта на такие действия. Ссылка на то, что сведения «общедоступны» перестает работать.
Требуется ли владельцам сайтов согласие на обработку публикуемых персональных данных
Нужно понимать, что отдельное согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, требуется только для случаев, когда нет иных законных оснований для их обработки.
Обычно владельцы сайтов осуществляют сбор и последующее использование персональных данных пользователей в целях заключения или исполнения договора. Это самостоятельное основание для обработки ПДн, не требующее отдельного согласия (пп.5 п.1 ст.6 ФЗ 152). В таком случае достаточно сформулировать условия договора с пользователем в общем виде в Пользовательском соглашении, а порядок обработки ПДн включить в Политику конфиденциальности.
Если сайт позволяет публиковать персональные данные в общем доступе, то важно обозначить, что пользователь раскрывает такие данные неопределенному кругу лиц по собственной инициативе (п.2 ст.10.1 ФЗ 152 в новой редакции). Для предоставления доступа к таким сведениям третьим лицам администрации не требуется отдельное согласие субъекта, поскольку у нее есть действующий договор. Однако третьим лицам потребуется подтвердить наличие законных оснований для копирования материалов с сайта и их последующего использования, поскольку прямого договора с субъектом у них нет.
Поэтому примем за общее правило, что согласие на обработку ПДн требуется при отсутствии между сторонами сделки. В законе есть и другие основания для обработки ПДн без согласия субъекта (например, такое право дано журналистами в целях их профессиональной деятельности или гос. органам - для осуществления возложенных на них функций и т.д.). Однако это частные случаи, которые не касаются оборота данных в гражданских отношениях.
Возьмем в качестве наглядного примера вариант сайта, на котором персональные данные публикуются администрацией. В основном, это корпоративные сайты с фотографиями сотрудников компании, их именами, телефонами и электронными адресами, размещаемыми в имиджевых или сервисных целях. У администрации отсутствует договор с сотрудником, предусматривающий обработку его ПДн указанным способом. Поэтому требуется получить отдельное согласие на предоставление доступа и распространение ПДн сотрудника на сайте компании.
Таким образом, изменения направлены на пресечение бесконтрольного использования персональных данных неопределенным кругом лиц. Субъекту вернули контроль над его персональными данными. Теперь он волен давать согласие на обработку ПДн неопределенным кругом лиц или конкретным лицам, вводить ограничения и условия использования отдельных персональных данных, опубликованных в общем доступе.
Ограничения и условия использования персональных данных
Наибольшие затруднения с правовой и технической стороны вызывают изменения 152-ФЗ в части возможности установления субъектом персональных данных в согласии ограничений и условий их использования.
Оператор ПДн обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения (п.1 ст.10.1 ФЗ 152).
Если в согласии прямо не указано, что субъект не установил запретов и условия их использовании или не определил категории и перечень ПДн, к которым такие запреты и условия относятся, оператор ПДн вправе осуществлять их обработку без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц (п.5 ст.10.1 ФЗ 152).
На основании п.9 новой статьи 10.1 ФЗ 152, в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
При этом оператор обязан обеспечить субъекту возможность установления запретов и условий использования персональных данных. Отказ оператора в установлении субъектом персональных данных предусмотренных выше запретов и условий, не допускается.
Более того оператор, оператор обязан в срок не позднее 3 рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения (п.10 ст.10.1 ФЗ 152).
Иными словами, для обеспечения возможности использования третьими лицами опубликованных в общем доступе персональных данных, помимо ознакомления с ними (получения доступа), владелец сайта (оператор ИСПДн) обязан получить согласие субъекта на их распространение. Одновременно оператор должен обеспечить возможность установления запретов и условий использования отдельных категорий и перечня ПДн и опубликовать данную информацию.
Представьте себе сайт для поиска работы, на котором публикуются резюме соискателей, или доску объявлений, где есть контактные данные пользователей. Как обеспечить с 1 марта возможность копирования с них персональной информации пользователей, размещенной в общем доступе?
Выше мы рассмотрели 2 варианта правовых оснований для обработки ПДн: по договору и на основании согласия. Что необходимо сделать в каждом из указанных случаев?
При наличии договора с субъектом ПДн согласие необходимо получать для обеспечения возможности копирования и последующего использования персональных данных неопределенным кругом лиц. Если такой задачи перед администрацией сайта не стоит, можно ограничиться включением в соглашение (договор) с пользователем и политику конфиденциальности, условий о возможности из предоставления заранее определенному кругу лиц (например, агентствам по подбору персонала или работодателям в примере с сайтами поиска работы).
Если владелец сайта по каким-то причинам намерен распространять ПДн пользователей заранее неопределенному кругу лиц (например, любым интернет-пользователям), потребуется выполнить план мероприятий по ограничению копирования третьими лицами персональных данных пользователей до получения отдельных согласий, обеспечению возможности установления различных запретов и условий использования таких данных и публикации таких сведений совместно с такими данными.
Полагаем, что операторов, желающих делиться данными со всеми, найдется не много. Поэтому поправки в ФЗ 152 в целом можно воспринимать в положительном ключе для большинства агрегаторов, поскольку они явным образом запрещают парсинг. Для корпоративных сайтов новшества не несут ничего хорошего, т.к. потребуется получать отдельные согласия со всех субъектов, персональные данные которых у них публикуются
Almet
Т.е. получается, чтобы спарсить авито, нужно получить разрешение у каждого юзверя?
ictlawyer Автор
Либо Авито должно получить такие согласия у пользователей, чтобы распространять ПДн для использования третьими лицами (кроме как №посмотреть). Сильно сомневаюсь, что это в интересах Авито.
IgorPie
Там же нет настоящих имен и фамилий, по идее, они не персональные
ictlawyer Автор
Да там полно данных, которые в совокупности можно считать персональными: имя, телефон, email, адрес
IgorPie
Персональной адреса там нет, есть адрес сделки, поэтому продавцы пишут миллиард объявлений с разными адресами, а сами — вообще в другом городе.
емейл тоже прячется и он может быть любым, а не привязанным к ФИО.
Телефон часто тоже через прокладку, особенно если продажа авто, или недвижки
DirectoriX
Если часть пользователей использует подставные адреса-телефоны, это не значит, что все 100% пользователей такие.
IgorPie
Ну, кто-то может и номер карты с cvс/cvv выложить, их право. Подождем «сложившейся юридической практики», а по факту, парсили. парсят и будут парсить.
Gryphon88
Тут в чем вопрос: кто-то выставил свою голую задницу в окно, а кто-то этим воспользовался и быстро убежал. Кто в этой ситуации виноват, воспользовавшийся (которого теперь не найти и не поймать) или оба? Ну и как далеко может зайти патернализм, если по умолчанию считается, что люди не способны здраво мыслить, то есть понять, что выставленные им самим в открытый доступ данные доступны всем.
coffenot
дело не в самих пользователях, которые используют что-то «подставное», это надстройка от авито — выбор пользователя скрывать свой реальный номер или нет
ictlawyer Автор
РКН это, мягко говоря, «по барабану»
nivescio
А не переживайте, фамилию и адрес места жительства нужно будет в согласии заполнить :)
gdt
Авито кажется вообще нельзя парсить, это написано у них в пользовательском соглашении (несколько лет назад кто-то просил такой парсер сделать).
ibrin
А если не пользоваться ресурсом как пользователь и не соглашаться с пользовательским соглашением, то будет ли оно иметь силу против действий, пользовательским соглашением запрещенных?
pvp
Прикол в том, что изменениями предусмотрено «соглашение», которое заключает оператор, но исполнять его обязан почему-то «неопределенный круг лиц». Тот, кто писал этот бред, вообще не отдуплял, что такое договор и как он заключается.
Это, кстати, не единственный подобный прикол с подрывом устоев в поправках. Например, теперь у нас есть общедоступная информация, которая может снова стать «конфиденциальной». Раньше возможен был только обратный переход — из конфиденциальной в общедоступную.
ictlawyer Автор
Не соглашусь. В законе речь идет о согласии в смысле одностороннего разрешения, а не соглашения как сделки. Поэтому согласие необходимо при отсутствии договора. Т.е. третьему лицу не нужно вступать с субъектом в договорные отношения, ему достаточно разрешения на использование (согласия на распространение, данного оператору).
pvp
«Согласие, данное оператору» — это и есть соглашение. С оператором. Тут основное изменение — как раз в том и состоит, что от «одностороннего разрешения» на общедоступность ПДн, которое следовало из действий по публикации их в открытом доступе, теперь и для таких данных вводит стандартную схему с «согласием».
Далее закон требует, чтобы оператор публиковал условия распространения и данные об ограничениях на распространение. Но вот для тех, кто получил ПДн от оператора — такого требования нет. И те, кто получает их далее по цепочке, вообще не могут узнать ничего об условиях и ограничениях. Но исполнять это соглашение они все равно обязаны.
Уже не первый раз вижу, как кто-то пытается найти скрытый смысл в этих вот горелкинских поправках. Не надо так. Все нестыковки в них объясняет одна простая гипотеза: законопроект писали дегенераты. Это наиболее простое объяснение, а «бритву Оккама» все-таки надо чтить.
ictlawyer Автор
Оператору не нужно еще одно «соглашение», когда есть договор *например, в виде пользовательского соглашения). Читайте внимательней пп.5 п.1 ст.6 ФЗ 152. Согласие — это именно одностороннее разрешение на распространение данных. По дефолту неопределенный круг третьих лиц могут получить только доступ к опубликованным данным (т.е. только ознакомиться с ними). Для копирования и последующего использования необходимо согласие, данное на распространение (т.е. раскрытие ПДН неопределенному кругу лиц), либо такие третьи лица должны быть заранее определены в Политике конфиденциальности оператора и он вправе им предоставлять ПДн в рамках исполнения договора (например, интернет-магазин по Политике вправе передавать данные курьерам).
pvp
По смыслу ст. 10.1, «согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения» — это самостоятельный вид согласия, которое «оформляется отдельно от иных согласий». Кроме того, ст. 10.1 прямо предусматривает «одностороннее разрешение на распространение данных» в п. 2:
«2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.»
Как мы видим, «согласие» и «одностороннее разрешение» в статье в явном виде отделены друг от друга.
И потом, для «одностороннего разрешения» никакой второй стороны не требуется. А для «согласия» — требуется воля оператора распространять ПДн на условиях, установленных субъектом.
ictlawyer Автор
Не соглашусь. Самостоятельное раскрытие ПДн субъектом дает право только на ознакомление, и не заменяет согласие.
pvp
Я именно об этом и пишу: «раскрытие» и «согласие» — это разные вещи. И, как ни странно, формально даже на ознакомление с такими данными права нет. Потому что «доказательства законности» требуются на любую обработку, а законом в это понятие включен и «доступ», то есть, это самое ознакомление.
ictlawyer Автор
Раскрытие делается в целях ознакомления. Иное запрещено без согласия.
pvp
Так нету в законе разрешения на такое «ознакомление». Вот, к примеру, в п. 9 «ознакомление» ака «получение доступа» выделено явно:
«9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.»
А в п. 2 такого исключения нет. И в соответствии с текстом этого пункта «обязанность предоставить доказательства законности последующего распространения или иной обработки» распространяется в том числе и на «ознакомление», которое, как часть «обработки», по умолчанию запрещено без этих «доказательств».
Говорю ж, дебилы писали.
juray
Скорее, бритву Хэнлона.
nuclight
Только бритву Хэнлона, в данном случае.
ictlawyer Автор
Я никого не вижу, значит меня никто не видит?
ictlawyer Автор
Да, написано, но на основании защиты смежных прав на базу данных. В этом случае речь идет о гражданско-правовой ответственности по заявлению Авито. А в обсуждаемом случае можно подать заявление в РКН от любого физика, чьи данные скопировали и получить административный штраф.
Xokare228
Ага, только всё сводится к тому что домен заристрирован у чёрта на куличиках, сервер далеко, самое большое в реестр запрещённых сайтов внесут. До 152-ФЗ есть дело компаниям, которые работают официально через юр. лицо или ИП (СЗ), остальных он разве что смешит