1. Главная / Статьи 
ул. Черняховского, д. 16 125319 Москва +7 499 152-68-65
Логотип
| статьи | печать | 14

Комментарий эксперта (Александр Афонин, адвокат, партнер «Афонин, Божор и партнеры»)

«ЭЖ-Юрист»: В каких случаях придется получать согласия об обработке персональных данных, разрешенных субъектами персональных данных к распространению, с учетом требований, предусмотренных в Приказе Роскомнадзора № 18?

Александр Афонин: С 01.03.2021 было введено понятие персональных данных, разрешенных к распространению (ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ). Согласие на обработку таких персональных данных нужно получать с учетом следующих особенностей:

  • оно должно быть оформлено отдельно от иных согласий (п. 1 ст. 10.1 Закона № 152-ФЗ);

  • согласие должно быть выражено явно (п. 1 ст. 10.1 Закона № 152-ФЗ). Молчание не предоставляет право на распространение (п. 8 ст. 10.1 Закона № 152-ФЗ);

  • согласие должно быть выражено непосредственно, но с 01.07.2021 допускается с использованием информационной системы Роскомнадзора (п. 6 ст. 10.1 Закона № 152-ФЗ);

  • оператор должен обеспечить субъекту персональных данных возможность определять перечень данных, разрешенных к распространению (п. 1 ст. 10.1 Закона № 152-ФЗ);

  • субъект при предоставлении согласия вправе устанавливать запреты и ограничения, кроме ограничения на предоставление доступа неограниченному кругу лиц (п. 9 ст. 10.1 Закона № 152-ФЗ).

В случае если лицо раскроет свои персональные данные неопределенному кругу лиц, то на операторе все равно будет лежать обязанность предоставить согласие на обработку (п. 2 ст. 10.1 Закона № 152-ФЗ). При этом если персональные данные получены от третьего лица, которое само обрабатывает или распространяет данные без согласия в результате нарушения (сервисы третьих лиц), то лицо, обрабатывающее данные (наш сервис, наши клиенты), все равно обязано иметь согласия (п. 2 ст. 10.1 Закона № 152-ФЗ).

«ЭЖЮ»: Эти требования точно придется соблюдать соцсетям. А какие компании еще затронет обязанность получать согласие на обработку данных, разрешенных для распространения?

А.Ф.: Указанные требования относятся не только к социальным сетям, но и к другим ресурсам, которые предполагают возможность доведения до сведения неопределенного круга лиц персональных данных пользователей, в том числе:

  • сервисы по поиску работы (например, hh.ru);

  • сервисы по проверке пользователей, обрабатывающие данные из социальных сетей и общедоступных источников (популярные чат-боты в telegram);

  • составители базы данных контактов лиц организаций, содержащих ФИО и мобильные телефоны (например, лиц, принимающих решение о проведении закупок).

В то же время под действие новых правил не подпадают те организации, которые не осуществляют распространение персональных данных, например:

  • организации торговли и сферы услуг, принимающие заявки через сайт (СберМаркет);

  • организации, предоставляющие платный или бесплатный доступ к своему функционалу (Яндекс.Музыка).

«ЭЖЮ»: В целом есть ли что-то новое в Приказе Роскомнадзора № 18? Или на практике и так в согласии указывают все сведения, перечисленные в этом документе?

А.Ф.: Требования, предъявляемые к содержанию согласия на распространение персональных данных, являются достаточно подробными. В целом они повторяют существовавшие ранее Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», размещенные на сайте Роскомнадзора 27.07.2017 в разделе «Персональные данные» (https://rkn.gov.ru/personal-data/p908/). Однако на практике далеко не все компании:

  • отражали ранее информацию о категориях обрабатываемых данных, целях обработки, о сроке действия согласия;

  • реализовали установленные в ст. 10.1 Закона № 152-ФЗ и указанные выше требования к порядку получения такого согласия: возможность выбора категорий данных, разрешенных к распространению, возможность установления запретов, отделенность специального согласия на распространение персональных данных от общего согласия на обработку.

«ЭЖЮ»: Если компания получила согласие на обработку персональных данных еще до 01.03.2021, но оно не соответствует новым требованиям, нужно ли ей получать согласие на распространение персональных данных по новым требованиям?

А.Ф.: Если компания не осуществляет распространение персональных данных (предоставление возможности ознакомления неопределенного круга лиц), то получать новое согласие не требуется. Если же компания получила согласие до 01.03.2021 без учета требований к содержанию согласия (то есть без учета Приказа Роскомнадзора № 18) и без учета способа его получения (п. 10.1 Закона № 152-ФЗ), то действия по распространению персональных данных требуют получения нового согласия.