Согласие на обработку персональных данных, разрешенных для распространения, можно передать через Роскомнадзор: какой будет порядок?

| статьи | печать

С марта 2022 г. начнет действовать порядок использования информационной системы Роскомнадзора для передачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения. В нем предусмотрено, что субъекты персональных данных смогут передавать свои согласия через специальный сервис путем подписания электронной подписью, то есть с помощью логина и пароля от портала «Госуслуги». Вероятно, соответствующий сервис Роскомнадзора должен заработать к 01.03.2022. Пока ведомство предлагает только проверить на своем сайте, правильно ли оператор разработал форму нового вида согласия.

Роскомнадзор принял приказ от 21.06.2021 № 106 «Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором» (далее — Приказ от 21.06.2021 № 106). Минюст России зарегистрировал его 11.08.2021 за № 64602.

В этом документе закреплено, как можно будет передавать согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, через информационную систему Роскомнадзора.

Приказ от 21.06.2021 № 106 вступит в силу с 01.03.2022 и будет действовать в течение шести лет.

Что такое персональные данные, разрешенные для распространения?

С 01.03.2021 вступили в силу поправки к Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» (они были внесены Федеральным законом от 30.12.2020 № 519-ФЗ). В них предусмотрено, что нужно получать согласие на обработку «персональных данных, разрешенных субъектом персональных данных для распространения». Этот термин пришел на смену «общедоступным данным».

Под персональными данными, разрешенными субъектом персональных данных для распространения, понимаются данные, доступ неограниченного круга лиц к которым предоставлен лицом путем дачи согласия и которые разрешены этим лицом для распространения. На распространение таких персональных данных нужно получать отдельное согласие субъектов персональных данных.

О том, что должно содержаться в таком согласии, указано в приказе Роскомнадзора от 24.02.2021 № 18 «Об утвер­ждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения» (см. статью «Согласие на обработку персональных данных, разрешенных для распространения. Роскомнадзор указал, какие сведения должны в нем быть», «ЭЖ-Юрист», № 16 (1667), 2021).

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть получено самим оператором или с использованием информационной системы Роскомнадзора.

В согласии на обработку данных, разрешенных для распространения, можно установить запреты:

  • на их передачу неограниченному кругу лиц;

  • на обработку или условия обработки данных неограниченным кругом лиц.

Субъект персональных данных может в любой момент потребовать удаления сведений о нем, поскольку для распространения таких общедоступных сведений требуется его согласие.

Как можно будет получить согласие через Роскомнадзор?

В Приказе от 21.06.2021 № 106 закреплен порядок использования информационной системы Роскомнадзора для получения согласия на обработку персональных данных, разрешенных для распространения, в том числе порядок взаимодействия субъекта персональных данных с оператором.

Этот порядок установлен достаточно формально и не очень подробно. Однако ясно, что для передачи согласия субъект персональных данных должен будет зайти на определенный сайт (страницу сайта), где после авторизации с помощью Единой системы идентификации и аутентификации он сможет указать свое согласие на обработку персональных данных, разрешенных им для распространения. То есть ему понадобится электронная подпись (это логин и пароль от портала «Госуслуги»).

После подписания субъектом персональных данных согласия Роскомнадзор получит следующую обезличенную информацию:

  • о факте предоставления согласия;

  • о цели (целях) обработки персональных данных;

  • об информационных ресурсах оператора, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;

  • о категориях и перечне персональных данных, на обработку которых дается согласие;

  • о категориях и перечне персональных данных, для обработки которых субъектом персональных данных установлены условия и запреты;

  • перечень устанавливаемых в отношении персональных данных условий и запретов.

Само согласие и содержащиеся в нем персональные данные не передаются в Роскомнадзор, оператору, а также третьим лицам.


Принять к сведению

Эти поправки еще актуальны в связи с позицией КС РФ по делу ООО «МедРейтинг». В этом деле была такая ситуация: один из врачей, информация и отзывы о котором были размещены в интернет-рейтинге, подал иск к ООО «МедРейтинг» об обязании прекратить обработку его персональных данных. Дело прошло два круга рассмотрения. В итоге суд предписал ООО «МедРейтинг» прекратить обработку персональных данных истца и удалить с сайта его профиль, а также взыскал компенсацию морального вреда в размере 5000 руб.

Однако КС РФ указал, что компания, которая публикует рейтинг медработников на своем сайте, вправе размещать сведения о них без получения согласия на обработку персональных данных, поскольку это общедоступные данные. Но при этом она обязана не допускать отзывы с оценками, которые не относятся к профессиональной деятельности врача, а также очевидно противоправные высказывания (постановление КС РФ от 25.05.2021 № 22-П).

Комментарий эксперта

В настоящий момент на сайте Роскомнадзора по ссылке https://pd.rkn.gov.ru/soglasiya/maket/ размещен функционал, позволяющий оператору сформировать шаблон формы согласия и, по желанию, направить его специалисту Роскомнадзора для дачи рекомендаций относительно возможности его использования.

Этот сервис предназначен для помощи в корректном оформлении согласия, получаемого непосредственно от субъекта персональных данных, и не относится к информационной системе, через которую могут предоставляться такие согласия. Вероятно, такая система будет введена в эксплуатацию позднее, с учетом того, что приказ Роскомнадзора от 21.06.2021 № 106 вступает в силу с 01.03.2022.

Используя указанный сервис по формированию и проверке формы согласия на обработку персональных данных, важно понимать, что предоставленные рекомендации носят информационный характер и не являются подтверждением законности деятельности оператора.

В правилах, утвержденных приказом Роскомнадзора от 21.06.2021 № 106, детально не регламентирован указанный порядок, однако содержится ряд основных условий.

Согласие будет предоставляться и отзываться субъектом персональных данных на информационном ресурсе оператора. Подписание субъектом персональных данных согласия будет производиться с использованием электронной подписи.

Сведения о предоставленных согласиях, сами согласия и содержащиеся в них персональные данные не будут передаваться оператору, в информационную систему Роскомнадзора и (или) иным третьим лицам, а будут аккумулироваться в подсистеме портала государственных услуг.

Получение и отзыв согласия, предоставление информации об указанных фактах будет производиться в обезличенной форме. Раскрытие информации о лице, предоставившем согласие, станет возможным лишь в случае поступления в Роскомнадзор обращения о нарушении прав указанного лица как субъекта персональных данных.

Комментарий эксперта

Cогласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно и может быть получено:

1) оператором непосредственно или

2) с использованием информационной системы Роскомнадзора.

Указанная информационная система Роскомнадзора еще не функционирует, а приказ Роскомнадзора от 21.06.2021 № 106, закрепляющий правила использования информационной системы, вступит в силу только в следующем году — 01.03.2022.

Пока новый сервис не запущен, операторы персональных данных могут получить согласие непосредственно у субъекта персональных данных.

Впоследствии в целях предоставления и получения согласия операторы и субъекты персональных данных смогут взаимодействовать через информационную систему Роскомнадзора. В соответствии с приказом Роскомнадзора от 21.06.2021 № 106 общий порядок взаимодействия будет выглядеть следующим образом:

  • оператор должен подключить свой сайт к Единой системе идентификации и аутентификации (ЕСИА);

  • субъект персональных данных сможет предоставить (и отозвать) согласие на таком сайте оператора, при этом согласие формируется с использованием данных субъекта, указанных при регистрации в ЕСИА, и подписывается электронной подписью;

  • сформированное согласие и содержащиеся в нем персональные данные не будут передаваться оператору, в информационную систему Роскомнадзора и иным лицам — оператор и Роскомнадзор будут располагать только обезличенными сведениями о согласиях.

Оператор также в течение трех рабочих дней с момента получения согласия обязан опубликовать информацию об условиях обработки персональных данных и о наличии запретов и условий обработки персональных данных неограниченным кругом лиц.

Практическая реализация порядка, установленная приказом Роскомнадзора от 21.06.2021 № 106, на данный момент до конца не ясна. Использование информационной системы Роскомнадзора в основном должно быть удобно владельцам различных онлайн-сервисов, которые позволяют распространять информацию о пользователях среди неограниченного круга лиц (социальные сети и иные). Для понимания механизма подключения и получения согласий через информационную систему Роскомнадзора необходимо подождать запуск системы. Также, возможно, последуют новые разъяснения регулятора.