Изменился закон о персональных данных: что это значит

14 April
13k full reads
3 min.
39k story viewsUnique page visitors
13k read the story to the endThat's 34% of the total page views
3 minutes — average reading time

1 марта вступили в силу изменения в законе о персональных данных. Законодатели исключили понятие общедоступных персональных данных и ввели новую категорию — персональные данные, разрешенные субъектом персональных данных для распространения. Теперь любой человек может выбирать, какие свои данные и кому показывать. Можно требовать от сайтов удаления старых записей о себе, вычищать в интернете нежелательные фотографии, а еще запрещать передачу имени и фамилии инопланетянам.

Что нового в законе

Изменения утверждены отдельным законом — № 519-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“». Вот ключевые положения этого документа.

Распространять персональные данные можно только с согласия человека

Эта норма в другой формулировке существовала и раньше, теперь ее конкретизировали. Требование означает, что даже имена и фотографии сотрудников нельзя опубликовать на сайте компании без их согласия.

Владелец данных может потребовать их удаления в любой момент

Человек может отозвать согласие и запретить использование своих данных. Владельцу данных больше не нужно доказывать незаконность чужих действий, и он может обойтись без жалобы в Роскомнадзор. Достаточно обратиться напрямую, например, к администрации сайта, и администрация обязана будет удалить информацию.

Здесь есть исключение — если данные представляют государственный, общественный и публичный интерес. В основном это исключение затрагивает СМИ: онлайн-издания, телевидение, газеты. Например, новостное СМИ откажет в удалении данных участника громкого происшествия, сославшись на то, что расследование имеет общественное значение.

Достаточно обратиться напрямую к администрации сайта, и администрация обязана будет удалить информацию.

Люди могут сами определять состав данных для распространения

Владелец данных имеет право решать, что именно о себе он хочет опубликовать. Владельцы интернет-ресурсов обязаны предоставить такую возможность. Например, пользователь может разрешить сайту публиковать пол, но запретить указывать возраст. Закон не ограничивает пользователей, и теперь они могут указывать запреты в свободной форме: «запрещаю передавать свои данные инопланетянам», «в случае наступления зомби-апокалипсиса прошу не передавать мои данные в Umbrella Corporation».

Согласие нельзя получить автоматически

Молчание или бездействие человека больше нельзя рассматривать как согласие на обработку персональных данных. То есть если кто-то молчит в ответ на вопрос «Вы согласны на обработку персональных данных?», то он по умолчанию не согласен. Роскомнадзор больше не устроит формулировка о так называемом конклюдентном согласии, когда человек, позируя на фотокамеру, как бы автоматически дает согласие на использование изображения.

Что делать администраторам сайтов

Каждый сайт теперь обязан спрашивать пользователей, какие данные можно публиковать и передавать третьим лицам. То есть нужно брать отдельное согласие — его можно условно назвать согласием на опубличивание. Это должно быть именно отдельное согласие, а не новый пункт в пользовательском соглашении или уже имеющейся форме согласия об обработке персональных данных.

Фактически теперь нужны два согласия: обычное на обработку персональных данных и согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Что нужно обязательно написать в новом согласии, Роскомнадзор разъясняет в проекте приказа «Об установлении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Но этот документ до сих пор не подписан, и его можно считать рекомендацией.

Каждый сайт теперь обязан спрашивать пользователей, какие данные можно публиковать и передавать третьим лицам

Как взять согласие, ничего не нарушив?

Некоторые сайты уже отреагировали на изменение закона. На сайте Leader-ID пользователям старше 18 лет теперь предлагают вместо одной галочки поставить две:

1. Принять пользовательское соглашение и политику обработки персональных данных.

2. Дать согласие на обработку персональных данных, разрешенных для распространения.

Без первого согласия на сайте не авторизоваться. Вторую галочку можно не ставить, но тогда профиль пользователя будет скрыт от посетителей и поисковых систем
Без первого согласия на сайте не авторизоваться. Вторую галочку можно не ставить, но тогда профиль пользователя будет скрыт от посетителей и поисковых систем
Без первого согласия на сайте не авторизоваться. Вторую галочку можно не ставить, но тогда профиль пользователя будет скрыт от посетителей и поисковых систем

Пользователям младше 18 лет предлагают распечатать документы, подписать их у одного из родителей и загрузить в Leader-ID. Для этого есть 30 дней с момента регистрации или первого входа в аккаунт после 1 марта — в этот день вступил в силу новый закон.

C 1 марта система Leader-ID cобрала почти 10 000 согласий с новым пользовательским соглашением и политикой обработки персональных данных, а также 6 100 согласий на обработку персональных данных, разрешенных субъектом для распространения.

Как действовать, если пользователь требует удалить свои данные?

По новому закону ранее выданное согласие аннулируется сразу же после получения требования о его отзыве. Требованием считается, в частности, обычное электронное письмо от пользователя: «Прошу удалить информацию обо мне на сайте, так как не давал согласия на распространение персональных данных, а если и давал, то отзываю таковое».

На выполнение требования закон отводит три дня с момента его получения

За пользователем закреплено право подать иск в суд, то есть человек может не жаловаться администрации, а сразу начать судиться. В таком случае срок удаления данных установит суд.

Как отреагировали на новый закон соцсети

Пока никак. Единственное исключение — «Одноклассники», где в пользовательском соглашении появилась строчка, которая «обходит» требования: «Лицензиат самостоятельно определяет условия и предоставляет доступ к своим персональным данным неограниченному кругу лиц, в том числе путем регистрации и использования стандартного функционала Социальной сети, а также путем выбора настроек приватности и видимости своей Персональной страницы в рамках предоставленного Лицензиату функционала Социальной Сети. Лицензиар не инициирует и не влияет на такой выбор Лицензиата, а также не имеет цель получить у Лицензиата разрешение на распространение его персональных данных. Обработка персональных данных, сделанных Лицензиатом доступными неограниченному кругу лиц, осуществляется Лицензиаром на основании Соглашения и в соответствии с его условиями».

Этим длинным текстом соцсеть как бы говорит пользователям: «За оставленные без присмотра ценные вещи администрация гардероба ответственности не несет».

Новое положение соглашения декларирует, что пользователь волен сам определять настройки приватности в рамках технических возможностей соцсети, а соцсеть не имеет намерения распространять ничьи личные данные, так как они ей не интересны.

Чего еще ждать

Вторая часть изменений в законе о персональных данных вступит в действие 1 июля. Вот эти изменения.

1. Государство планирует запуск информационной системы Роскомнадзора. Проект приказа о функционировании такой информационной системы уже опубликован. Появится третий способ взять согласие нового типа — через информационную систему Роскомнадзора. Сейчас это можно сделать только в бумажном виде или с помощью информационной системы оператора персональных данных.

2. Роскомнадзор должен принять требования к новым согласиям, из которых станет понятно, как должна выглядеть их форма.

3. Вступит в действие обязанность оператора данных в течение трех дней после получений согласия опубликовать информацию об условиях обработки и о наличии запретов на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения. Что это значит, пока неясно.