В законе больше не будет понятия общедоступных персональных данных. Вместо него появятся данные, которые пользователь разрешил распространить неопределенному кругу лиц. Операторам придется получать отдельное согласие субъекта на распространение его данных. Новые требования начнут действовать с 1 марта 2021 года. Как эти изменения повлияют на работу соцсетей и других интернет-ресурсов?
Рассказывает:
Мариет Мезох,
Магистр права Оксфордского университета, эксперт Центра правовых инноваций ПАО «МТС»*
С 1 марта 2021 года начнет действовать новая редакция Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).
Цель поправок – урегулировать вопрос со статусом персональных данных, которые субъект самостоятельно размещает в интернете, в том числе в соцсетях.
Суть проблемы
Действующая редакция ст. 6 Закона № 152-ФЗ создает впечатление, что данные, которые пользователь сам разместил в интернете, можно использовать, не получая его согласие.
ЦИТИРУЕМ ДОКУМЕНТ
Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
…
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
Ч. 1 ст. 6 Закона № 152-ФЗ
В то же время в ст. 8 Закона № 152-ФЗ говорится об общедоступных источниках персональных данных. Для включения персональных данных в такие источники требуется письменное согласие их субъекта.
Законодатель не дал четкого определения общедоступных источников персональных данных, но привел в качестве примера справочники и адресные книги. Интернет-ресурсов в этом списке нет, но нужно учитывать, что это редакция 2011 года.
С появлением соцсетей и других интернет-ресурсов, которые позволяют третьим лицам «парсить» аудиторию (получать данные о пользователях), появились вопросы:
-
- становятся ли общедоступными данные, которые разместили в соцсетях и на других ресурсах сами пользователи?
- относятся ли соцсети и другие интернет-ресурсы к общедоступным источникам данных?
- должны ли соцсети и другие интернет-ресурсы получать согласие пользователей, которые сами выкладывают данные?
СУДЕБНАЯ ПРАКТИКА
В резонансном споре между Роскомнадзором и АО «НКБИ», которое собирало данные о пользователях из открытых источников (ВКонтакте, Одноклассники, МойМир, Instragram, Twitter, а также Авито и Авто.ру), суд пришел к следующим выводам:
- персональные данные признаются общедоступными, если: (1) они доступны неопределенному кругу лиц, (2) их предоставил сам субъект;
- доказать, что персональные данные предоставил сам субъект, можно, только если есть его письменное согласие;
- следовательно, персональные данные, которые сам субъект сделал общедоступными, могут содержаться только в общедоступных источниках персональных данных;
- соцсети не относятся к общедоступным источникам данных по смыслу ст. 8 Закона № 152-ФЗ, а информация о пользователях соцсетей не относится к общедоступным персональным данным по смыслу п. 10 ч. 1 ст. 6 Закона № 152-ФЗ.
Таким образом, третьи лица не вправе получать информацию о пользователях интернет-ресурсов и обрабатывать ее без их согласия.
Вышестоящие суды согласились с этим решением.
Решение АС г. Москвы от 05.05.2017 по делу № А40-5250/17-144-51,
Определение ВС РФ от 29.01.2018 № 305-КГ17-21291
Что изменится с 1 марта 2021 года
Новая редакция Закона № 152-ФЗ (изменения внесены Федеральным законом от 30.12.2020 № 519-ФЗ) вообще убирает понятие данных, сделанных субъектом общедоступными. Вместо этого она вводит понятие персональных данных, в отношении которых субъект дал согласие на их распространение.
Согласие на распространение нужно получать отдельно от других согласий (ст. 10.1 Закона № 152-ФЗ в новой редакции). При этом пользователь должен иметь возможность выбирать:
- какие категории персональных данных он разрешает использовать и каким образом;
- разрешает ли он предоставить доступ к этим данным неограниченному кругу лиц.
Выставить ответы на эти вопросы по умолчанию нельзя. Кроме того, пользователь в любой момент может запретить распространение его данных.
Рассматриваемые поправки – это, скорее, шаг вперед, потому что у операторов персональных данных теперь появилась ясность. Соцсети и другие интернет-ресурсы теперь смогут адаптировать свои согласия на обработку в соответствии с требованиями закона, смогут предоставить пользователю возможность выбирать, какие данные он готов передать для распространения третьим лицам и на каких условиях.
На заметку
Подобный механизм реализуется в рамках GDPR. Так уже работает Facebook: его пользователи, размещая информацию на стене, могут выбрать, какие данные и каким образом будут обрабатываться, а также на каких условиях эти данные можно передавать третьим лицам. В этом плане мы просто следуем европейскому законодательству.
*Комментарий является личным мнением эксперта и может не совпадать с официальной позицией какой-либо компании
Статьи по теме
Компания собирает данные пользователей через сайт: как это оформить?
За последний год существенный сегмент рынка перешел в онлайн. В результате компании начали гораздо активнее работать с персональными данными своих...
Главные законы для бизнеса, которые Президент подписал 30 декабря
Заполняем уведомление об обработке персональных данных в Роскомнадзор. Как избежать ошибок?
Если неправильно заполнить уведомление об обработке персональных данных, то впоследствии со стороны Роскомнадзора могут последовать штрафы. Например, бывает, что не...