Rambler's Top100
Блоги Михаил ЕМЕЛЬЯННИКОВ

Являются ли персональные данные, опубликованные субъектом для неограниченного доступа, общедоступными?

  18 января 2021 Страница персоны

Вопрос, вынесенный в заголовок, выглядит странным. И ответ на него, вроде бы, очевиден – конечно, да. Но подписанный 30 декабря президентом Федеральный закон № 519-ФЗ внес сумятицу в умы специалистов, споры о его содержании идут третью неделю, массу вопросов задали заказчики и коллеги мне, поэтому пора, наверное, высказать и свою точку зрения.

Итак, что поменял закон.

Серьезных изменений в законе «О персональных данных» на самом деле всего два.

(1) Появилось принципиально новое понятие «персональные данные, разрешенные субъектом персональных данных для распространения».

(2) Исключено из закона такое основание для обработки персональных данных без согласия субъекта, как случаи, когда доступ неограниченного круга лиц к персональным данным предоставлен субъектом либо по его просьбе.

При этом изменения в закон, несмотря на их кардинальную переработку ко второму чтению, подготовлены крайне неряшливо и непродуманно, так что аукаться новая редакция будет очень долго и очень болезненно. Более того, забегая вперед, выскажу свою точку зрения на последствия этого закона: применяться новые положения будут исключительно точечно и избирательно, поскольку их массовое применение породит полную сумятицу и хаос.

Итак. Проблема номер один. Как теперь указано в пункте 1.1 статьи 3 закона 152-ФЗ «О персональных данных», согласие дается только на распространение персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, то есть на действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Данные, которые субъект разместил, например, в своем профиле в социальной сети или на сайте объявлений, не могут затем размещаться без его согласия на других ресурсах в сети Интернет. Напомню, что распространение является всего лишь одним из 18 способов обработки, указанных в пункте 3 статьи 3 закона.

Но в части 2 новой статьи 10.1 закона ограничения внезапно начинают распространяться на любую обработку персональных данных, раскрытых неопределенному кругу лиц самим субъектом: «обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку». Не забываем, что одним из способов обработки является, например, доступ, и доводим ситуацию до логичного абсурда: доказывать, что законно прочитал что-то в посте социальной сети должен каждый читатель (а чтение публикации и есть доступ). Правда, в части 9 этой же статьи возможность доступа оговаривается отдельно, но эта норма касается оператора, предоставившего доступ, а не лица, его получившего. И вообще, при чем здесь иное использование, в то время как нововведения касаются исключительно распространения?

Дальше – больше. Части 5 и 9 статьи 10.1 предусматривают возможность установления субъектом запретов и условий на обработку персональных данных, а также категорий и перечней персональных данных, для обработки которых эти условия и запреты устанавливаются. Более того, если из согласия субъекта на распространение не следует, что субъект не установил запреты и условия или не определил категории, в отношении которых они установлены, оператор, получивший данные от субъекта и согласие на их распространение (видимо, криво составленное субъектом), должен их обрабатывать (внимание!) без передачи, распространения, предоставления и доступа неограниченному кругу лиц. Еще раз. Согласие было дано, как следует из статьи 10.1, на распространение, но их распространение является противоправным, потому что из согласия такая возможность не следует.

Новые положения вступают в явное противоречие с положениями более высокоуровневого закона – Гражданского кодекса, часть 1 статьи 152.2 которого прямо говорит, что запрет на сбор, хранение, распространение и использование любой информации о частной жизни без согласия гражданина не распространяется на случаи, когда информация о частной жизни гражданина ранее стала общедоступной либо была раскрыта самим гражданином или по его воле. А вот недействительность запрета на обработку в государственных, общественных или иных публичных интересах почему-то из Гражданского кодекса продублирована в части 11 статьи 10.1 закона. Очень напоминает известную миниатюру «здесь играем, здесь не играем, а это пятно, потому что я рыбу заворачивал».

При этом в законе о персональных данных по-прежнему содержатся основания для размещения персональных данных в общедоступных источниках без согласия субъекта – обработка персональных данных для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством на оператора функций, полномочий и обязанностей, для исполнения договора, стороной которого является субъект персональных данных, обработка данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. В этих случаях и потребовать прекращения обработки не получится.

Ничего не поменялось и в статье 8 об общедоступных источниках, она по-прежнему пахнет нафталином прошловековой давности («…могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги)…») и ничего не знает про ресурсы в сети интернет вообще и социальные сети в частности.

Впереди нас ждет много интересного – форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, которая, как хочется надеяться, не будет содержать паспортных данных субъекта и его адреса; создание очередного реестра Роскомнадзора, в котором будут согласия субъектов на распространение их данных, а на самом деле – на обработку с указанием перечня персональных данных по каждой из категорий (еще бы знать, что это – специальные, биометрические, или законодатель имел ввиду что-то совсем другое?). Я так полагаю, что реестр должен быть общедоступным, иначе откуда пользователи будут знать, что можно, а что нельзя делать с данными из перечня по каждой из категорий?

Очень хочется знать, как на практике будет реализовываться требование прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему персональные данные, если к данным уже получил доступ неопределенный круг лиц.

Радует, конечно, что все эти запреты и ограничения не распространяются на выполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления. И это при том, что практически в то же время, когда был принят закон, 23 декабря прошлого уже года, подписано Постановление Правительства РФ № 2249, в соответствии с которым гражданам дано право предоставлять и отзывать согласие на обработку своих персональных данных в случаях предоставления органам и организациям, подключенным к единой системе идентификации и аутентификации (ЕСИА), доступа к информации о физическом лице, согласия на совершение иных действий, в том числе юридически значимых, с использованием государственных, муниципальных и иных информационных систем, а также хранение самих согласий. Но это уже совсем другая песня.

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.