источники сбора персональных данных

Описание страницы: новые правила обработки и распространения персональных данных с 1 марта 2021 года от профессионалов для людей.

С 1 марта 2021 года вступили в силу новые правила обработки и распространения общедоступных персональных данных. Что изменилось в работе с общедоступными личными сведениями граждан, и какие штрафы теперь грозят за нарушение правил сбора и распространения таких персональных данных?

Изменения в законе о персональных данных с 1 марта 2021 года

Федеральный закон № 519-ФЗ от 30.12.2020 дополнил закон о персональных данных новой статьей 10.1, которая регулирует порядок обработки персональных данных, разрешенных гражданами для распространения.

Под персональными данными, разрешенными для распространения, понимается любая открытая информация о человеке, в том числе его контактные данные. При этом под распространением персональных данных понимаются действия, направленные на раскрытие этих данных неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Таким образом, говоря о персональных данных, разрешенных для распространения, всегда имеются в виду общедоступные сведения о человеке, получить которые может неограниченный круг лиц. То есть практически любой желающий. Именно порядок обработки таких данных и регулирует новый закон. И хотя неограниченный доступ к такой информации осуществляется с согласия самих граждан, до последнего момента такое согласие могло получаться операторами персданных по умолчанию. Например, давая согласие на обработку персональных данных какому-либо сайту, магазину или банку, гражданин зачастую автоматически соглашался на распространение информации о себе среди неограниченного круга всех прочих лиц. При этом о предоставлении неограниченного доступа к своей личной информации он мог и не догадываться.

Существующий правовой пробел позволял любым третьим лицам осуществлять сбор и последующее бесконтрольное использование общедоступных персональных сведений, в том числе и в социальных сетях. Причем собранные таким образом сведения зачастую используются третьими лицами в целях, отличных от цели их первоначального распространения, – для рассылки рекламы, предложения услуг и т.д.

Новые правила исключают для операторов персданных и третьих лиц подобную возможность и устанавливают четкие правила дачи согласия на распространение и обработку общедоступных личных сведений.

Одновременно вступившие в силу поправки регламентируют процедуру отзыва согласия на распространение общедоступных персональных данных, а также определяют последствия несоблюдения операторами порядка получения согласия на их обработку и распространение.

Читайте так же:  маневры с выездом за границу станции

Все это позволит избежать бесконтрольного использования третьими лицами общедоступных сведений о гражданах вопреки целям их первоначального получения и обработки.

Согласие на обработку данных, разрешенных к распространению

Теперь согласие на распространение персональных данных оформляется отдельно от всех прочих соглашений, связанных с обработкой персональных данных. То есть получить согласие гражданина на предоставление неограниченного доступа к его личной информации в рамках разрешения на обработку персданных нельзя.

Для этого необходимо заключить отдельное соглашение, в котором гражданин четко дает понять, к каким конкретно сведениям и в каком объеме он разрешает неограниченный доступ третьих лиц.

Получение такого согласия автоматом и по умолчанию также не допускается. В этих целях закон прямо установил правило, согласно которому молчание или бездействие физлица ни при каких обстоятельствах не может считаться согласием на обработку его персональных данных, разрешенных для распространения (ч. 8 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Согласие должно быть конкретным, информированным и сознательным. Согласие во всех случаях должно содержать перечень сведений, разрешенных к распространению среди неограниченного круга лиц. Причем компании, получающие такое согласие, должны обеспечить физлицу возможность самостоятельно определить содержание данного перечня персональных данных. Это значит, что теперь любой магазин, кредитная организация, новостной портал и прочие операторы персданных, запрашивающие согласие на их передачу, обязаны уточнять у гражданина, какие именно сведения о нем можно публиковать и распространять для неограниченного доступа.

Конкретные требования к содержанию согласия на обработку данных, разрешенных для распространения, будут установлены отдельным приказом Роскомнадзора (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020).

В согласии гражданин вправе установить запрет на передачу (кроме предоставления доступа) своих общедоступных данных неограниченному кругу лиц. Это значит, что если в согласии будет установлен подобный запрет, то третьи лица будут иметь доступ к личным данным физлица, но не смогут их передавать другим лицам для дальнейшего использования, обработки и распространения.

Право на установление такого запрета является безусловным. Отказ оператора в установлении данного запрета не допускается (п. 3 ст. 1 Федерального закона № 519-ФЗ от 30.12.2020). Если гражданин установит в согласии запрет на дальнейшую обработку и распространение своих общедоступных сведений, оператор, первоначально получивший согласие, обязан будет публично уведомить о таком запрете всех третьих лиц.

Информацию об условиях обработки и о наличии запретов в отношении общедоступных сведений оператор персональных данных обязан публиковать не позднее 3 рабочих дней с момента получения согласия на обработку и передачу таких данных неограниченным кругом лиц (п. 10 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

Читайте так же:  можно по копии паспорта взять кредит

Если в полученном оператором согласии отсутствует прямое волеизъявление физлица на возможность использования его личных данных неограниченным кругом лиц, то персональные данные могут обрабатываться только самим оператором без права их публикации в открытом доступе (п. 4 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

При этом само согласие на обработку и передачу общедоступных персональных данных должно передаваться непосредственно компании, запрашивающей такое согласие. С 1 июля подобное согласие можно будет передавать через специальный электронный сервис Роскомнадзора.

Персональные данные в открытых источниках: ВКонтакте, Instragram, Twitter и др. Их правовой статус и можно ли обрабатывать их без согласия пользователей

Наши персональные данные, которые мы размещаем в социальных сетях и на различных платформах – это не просто ФИО, фото и сведения об образовании. Искусственный интеллект при анализе размещенной нами информации может делать удивительно точные выводы о нас, это может быть безобидное – какой вы психотип, или более существенные – где человек живет, работает, его благосостояние и пр.

Можно ли свободно брать наши персональные данные из открытых источников, анализировать и делать выводы, формировать базы данных или пополнять уже сформированные недостающими данными?

Обратимся к двум законам и двум решениям суда (если у вас есть еще – напишите пожалуйста в комментариях).

Статья 8

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Статья 22

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

4) сделанных субъектом персональных данных общедоступными;

Статья 7. Общедоступная информация

1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.

2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

4. Информация, размещаемая ее обладателями в сети "Интернет" в формате, допускающем автоматизированную обработку без предварительных изменений человеком в целях повторного ее использования, является общедоступной информацией, размещаемой в форме открытых данных.

Лица, обрабатывающие данные в открытых источниках апеллируют к вышеуказанным нормам подтверждая и гарантируя законность своих действий. Однако, Суд и РКН не согласился с их позицией.

Читайте так же:  нужны ли права на детский питбайк

Постановление Арбитражного Суда Московского округа от 9 ноября 2017 г. по делу N А40-5250/2017

Видео (кликните для воспроизведения).

Суды указали, что не являются общедоступными обрабатываемые персональные данные, содержащиеся в открытых источниках (социальных сетях: ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру).

Размещение персональных данных в указанных открытых источниках, исходя из положений Закона о персональных данных не делает их автоматически общедоступными.

Доводы заявителя о том, что согласие пользователей на обработку персональных данных не требуется, обоснованно отклонены судами.

Судами сделан обоснованный вывод о том, что персональные данные, обрабатываемые в социальных сетях не были сделаны общедоступными субъектом персональных данных в связи с чем, в действиях заявителя усматриваются нарушения части 3 статьи 22 и пункта 1 части 1 статьи 6 Закона о персональных данных.

Такой же вывод, мы можем проследить в Апелляционном определение Нижегородского областного суда от 11.10.2016 по делу N 33-12355/2016.

Если кратко резюмировать, то :

  • социальные сети – не общедоступные источники персональных данных;
  • наши персональные данные в социальных сетях – не сделаны нами общедоступными путем размещения в социальной сети;
  • для того, чтобы обрабатывать наши ПД из социальных сетей, в том числе использовать для пополнения готовых баз данных, необходимо получать прямое согласие на такую обработку.

Что интересно, сами сервисы РКН к ответственности не привлекает. Возможно, их законность можно оправдать п. 3 – 5 ст. 6 ФЗ 152: если Оператор, получивший согласие на обработку ПД субъекта в социальных сетях, поручит эту обработку сервису – то такая обработка будет вполне законной. Ведь, пока нет поручения и вводных данных от Оператора (пр. ФИО или телефон), сервис обработкой данных пользователей не занимается.

О незаконности функционала сервиса (который был использован заявителем в приведенном выше Постановлении) поднимало вопрос МВД и одна из социальных сетей, данные из которой агрегирует сервис. Причем в последнем случае заявлялись нарушения в сфере интеллектуальной собственности (смежные права на базу данных) и судебная тяжба продолжается до сих пор.

Персональные данные: как их собирать, не нарушая законов

Повторные продажи товаров и услуг требуют меньше вложений, чем привлечение новых покупателей. Поэтому предприниматели стараются вести базы клиентов, в которых хранят их контакты: телефоны, адреса электронной почты, имена и другое. Законодательство относит такую информацию к персональным данным и защищает ее. Если нужна клиентская база, но не хочется проблем с законом, читайте эту статью.

Читайте так же:  чем отличается воровство от кражи

Основные термины

Обработка персональных данных (ПД) ─ это любые действия, связанные со сбором, записью, систематизацией, накоплением, хранением, уточнением, использованием, передачей, обезличиванием, блокированием, удалением, уничтожением ПД. Причем неважно, используется автоматизация при обработке информации или нет.

Примеры таких действий: сбор email-адресов, заполнение анкеты при выдаче бонусных карт, возможность комментирования на сайте только после того, как указана электронная почта.

Оператор персональных данных ─ организация, ИП и физическое лицо, которые определяют состав ПД, цели их обработки и перечень допустимых операций. Это значит, что все, кто собирает базы клиентов, относятся к операторам ПД, и должны соблюдать требования федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Субъект обработки персональных данных ─ человек, информацию о котором обрабатывают.

Для того чтобы больше узнать про сбор и обработку персональных данных посмотрите наш бесплатный вебинар «5 ошибок владельца сайта по персональным данным».

ПД, разрешенные для распространения ─ это данные, доступ к которым предоставляют неограниченному кругу лиц, но только с согласия субъекта ПД. Термин введен с 1 марта 2021 года, подробности в этой статье.

Обязанности операторов персональных данных

  1. Хранить базы данных на серверах, находящихся на территории РФ и обеспечивать их безопасность.
  2. Назначить ответственного за организацию обработки ПД.
  3. Принимать меры для защиты собранных ПД от умышленного или случайного доступа к ним.
  4. Предоставлять владельцу ПД сведения о том, какая информация про него собрана.
  5. Сообщить в Роскомнадзор о намерении обрабатывать ПД.
  6. Взять у пользователя согласие на обработку ПД.
  7. Составить и разместить на сайте политику конфиденциальности ─ документ, в котором указаны цели сбора ПД.

Посмотрите видео, в котором я рассказываю об обработке ПД и необходимых документах.

Уведомление в Роскомнадзор и реестр операторов ПД

Организации, предприниматели и физические лица должны подать Уведомление в Роскомнадзор до того, как начнут собирать базы клиентов. В документе должны быть указаны:

  • название юрлица или ФИО физлица (ИП);
  • ИНН;
  • адрес;
  • данные паспорта, если оператор ─ физическое лицо или ИП;
  • основной государственный регистрационный номер (ОГРН) для юрлиц;
  • цели обработки ПД и их необходимость для деятельности оператора ПД;
  • категории ПД ─ общедоступные (ФИО, год и место рождения, адрес, телефон, email и другие), их обычно достаточно для бизнеса, специальные (например, национальность, политические и религиозные взгляды), биометрические и иные;
  • категории субъектов, чьи ПД будут обрабатываться, например, работники, состоящие в трудовых отношениях, физические лица, с которыми заключены договора (заказчики, заемщики, абоненты и другие);
  • нормативные документы, на основании которых обрабатываются ПД, в том числе лицензии для лицензируемых видов деятельности;
  • способы обработки ПД ─ автоматизированный, неавтоматизированный, смешанный;
  • предполагаемые меры для сохранности ПД;
  • дата начала обработки ПД;
  • срок или условия для прекращения обработки ПД;
  • есть ли трансграничная передача данных;
  • местонахождение баз данных.
Читайте так же:  загранпаспорт ребенку госуслуги

Роскомнадзор упростил составление Уведомления и разместил у себя на сайте онлайн-форму, после его заполнения нужно сформировать документ, который надо распечатать, подписать и направить заказным письмом с описью вложения в территориальное отделение Роскомнадзора по месту регистрации оператора.

После того как компания, ИП или физлицо подаст Уведомление, Роскомнадзор включит его в реестр операторов ПД.

Если база покупателей уже собиралась какое-то время, но оператор не был включен в реестр, нужно подать Уведомление, чем раньше, тем лучше. Наказывать в этом случае Роскомнадзор не будет. Другое дело, когда зафиксировано, что обработка ПД ведется, а в реестре нет об этом информации. О последствиях мы недавно писали в этом материале.

Необязательно подавать Уведомление, если данные собираются только для того, чтобы выполнить условия договора. Например, для проведения скайп-консультации нужно знать имя заказчика, ник в скайпе и электронную почту для отправки отчета.

Но в подобных случаях могут быть сложности:

  • с подтверждением того, что ПД нужны только для выполнения обязательств;
  • если исполнитель использует ПД заказчиков не только в договорных отношениях, но еще для рассылки писем или в других целях.

У оператора персональных данных на сайте должны быть такие документы: политика конфиденциальности и согласие на обработку персональных данных. Это минимальный обязательный набор, но возможно, вашему сайту нужны и другие документы. Чтобы знать точно, пройдите тест из нескольких вопросов. Кроме этого, получите в подарок шаблон публичной оферты.

Если у вас онлайн-школа, пройдите специальный тест, чтобы получить список документов для вашего образовательного проекта, а также в подарок шаблон публичной оферты.

Внимание!

«Право в сети» составит для вашего сайта с учетом особенностей вашей деятельности:

источники сбора персональных данных
Оцените статью
Изображение - источники сбора персональных данных serjkamysh
Автор статьи: Сергей Камышов

Позвольте представиться. Меня зовут Сергей и я уже более 7 лет оказываю юридические услуги. Считая себя профессионалом, хочу научить всех посетителей сайта решать сложные задачи. Все материалы для сайта собраны и тщательно переработаны для того чтобы донести как можно доступнее всю требуемую информацию. Однако чтобы применить все, описанное на сайте всегда необходима ОБЯЗАТЕЛЬНАЯ консультация со специалистами.

Обо мнеОбратная связь
Оцените статью:
Видео (кликните для воспроизведения).

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here