О требованиях к согласию на обработку общедоступных персональных данных
О требованиях к согласию на обработку общедоступных персональных данных
Роскомнадзором разработан и размещён на общественное обсуждение проект ведомственного приказа «Об установлении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
Проект регламентирует содержание согласия на обработку общедоступных персональных данных: ФИО субъекта ПД, его контактная информация, наименование и реквизиты оператора ПД, цели обработки ПД, перечень обрабатываемых ПД, устанавливаемые субъектом ПД условия и запреты (по желанию субъекта ПД), срок действия согласия, информационные ресурсы оператора, посредством которых будут обрабатываться ПД.
Комментарий эксперта Moscow Digital School Вадима Перевалова:
«Чем это может быть интересно?
В России очень многие операции с персональными данными граждан возможны только с их прямого согласия. Во многих случаях получать такие согласия следует в предусмотренной законом специальной «письменной» форме, например, если обрабатываются данные о состоянии здоровья.
Уже сейчас существующие требования к форме согласия достаточно обременительны как для бизнеса, так и для простых граждан. Например, гражданам регулярно приходится указывать в согласиях на обработку персональных данных свой домашний адрес и паспортные данные, потому что без этого они зачастую не смогут получить ту или иную услугу.
Рассматриваемый приказ в дополнение к «письменной» форме согласия на обработку персональных данных определяет, какие поля должны содержаться в еще одном виде согласий на обработку персональных данных – «согласиях на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
Российским организациям будет достаточно сложно собирать согласия по новой форме. Например, согласно проекту приказа, в согласии необходимо будет заранее указать «Сведения об информационных ресурсах оператора» в виде адреса, состоящего из наименования протокола (http или https), сервера, домена, имени каталога на сервере и имени файла веб-страницы, «на которой будут размещены персональные данные субъекта персональных данных». Вероятно, любое изменение используемых операторами информационных ресурсов будет требовать сбора новых согласий, что достаточно сложно будет обеспечить на практике.
Такие жесткие требования, вероятно, были придуманы для защиты прав граждан. Но если какая-то даже малая часть требований окажется заведомо невыполнимой для бизнеса, существует риск, что на практике данные требования законодательства будут проигнорированы целиком.
Такие требования раньше были и сейчас они обновились или они впервые составлены?
С 1 марта 2021 вступят поправки в федеральный закон «О персональных данных».
До принятия этих поправок бизнес мог достаточно легко получить у гражданина согласие на свободное распространение его персональных данных (например, среди любых рекламных партнеров). Такой возможностью пользовались многие компании.
Согласно принятым поправкам, простая схема получения согласий на обработку перс. данных будет работать только в том случае, когда круг возможных получателей данных заранее определен. А получение согласия на передачу персональных данным получателям, круг которых заранее неизвестен (на т.н. «распространение» персональных данных), теперь должно будет осуществляться согласно новой форме. Требования к этой форме утверждает Роскомнадзор.
Эти же поправки, по замыслу законодателя, должны были ограничить возможность бизнеса свободно выгружать данные граждан с различных сайтов и социальных сетей без получения на то прямого согласия от граждан.
Рассматриваемый проект приказа предусматривает требования к тому, в какой форме у граждан надо будет получать согласие на «распространение» их персональных данных среди неопределенного круга получателей.
Есть в них что-то спорное или неожиданное?
Непонятно, каким образом включение некоторых реквизитов в согласие на обработку персональных данных защитит права граждан (например, зачем гражданам знать ссылки на коды ОКВЭД, ОКПО, ОКОГУ, ОКОП и ОКФС и как это поможет им принять решение о том, стоит ли давать согласие на распространение их персональных данных).
Непонятно, как бизнесу указывать конкретный сервер и имя файла на сервере, посредством которых будут распространяться персональные данные граждан, а главное – что делать с этой информацией простым гражданам.
Согласно принятым поправкам и проекту приказа, согласия можно будет заносить в некую информационную систему Роскомнадзора. Несмотря на то, что такой системы в настоящее время, предположительно, не существует, в пояснительной записке указано, что принятие приказа не потребует дополнительных расходов из бюджета».
