В 2020 г. в текст 152-ФЗ была добавлена ст. 10.1, регламентирующая порядок обработки новой категории персональных данных (ПДн), разрешенных субъектом для распространения. Из этой же редакции закона был исключен термин «общедоступные ПДн», ранее широко используемый для организации неограниченного доступа к ПДн субъекта. При этом, на практике в компаниях все еще используется это понятие как отдельной категории ПДн. Кроме того, упоминание данной категории ПДн сохраняется в тексте некоторых законодательных актов РФ.

Складывается довольно неопределенная ситуация. С одной стороны, введена новая категория ПДн, а с другой — категория «общедоступных ПДн» все еще используется и в требованиях нормативных актов РФ, и фактически в деятельности компании.

В статье разберемся, действительно ли категория общедоступных ПДн еще существует в терминах российского законодательства, в чем разница между общедоступными ПДн и ПДн, разрешенными к распространению, какие существуют законные основания для обработки этих категорий ПДн. В завершении решим, требуется ли обеспечить безопасность общедоступных ПДн и ПДн, разрешенных к распространению, если они заведомо должны быть известны широкому кругу лиц.

Общедоступные ПДн: что осталось от прежнего термина

Термин «персональные данные, сделанные общедоступными субъектом персональных данных» исчез из текста Федерального закона «О персональных данных» в 2020 году. До этого в ст. 6 152-ФЗ общедоступные ПДн были определены как «персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе».

Несмотря на то, что в действующей редакции 152-ФЗ термин «общедоступные» ПДн уже не используется, в Постановлении Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» всё еще сохраняется следующая формулировка:

Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».

Принципы формирования общедоступных источников ПДн определены в ч.1 ст. 8 152-ФЗ:

В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн.

Получается несколько парадоксальная ситуация, когда такого явления как «общедоступные ПДн» в рамках законодательства уже нет, но все еще остаются такие производные понятия как ИС, обрабатывающие общедоступные ПДн, и общедоступные источники ПДн.

И хотя воспользоваться таким инструментом как «общедоступные ПДн» компании уже не могут, общедоступные источники ПДн все еще доступны для различных организаций. Но насколько использование таких источников позволит удовлетворить потребности различных организаций на практике?

Обратимся к самому определению общедоступных источников ПДн. В соответствии с требованиями ч. 1 ст. 8 152-ФЗ такой источник характеризуется двумя основными признаками:

характером размещаемой информации: источник содержит преимущественно контактную или иную справочную информацию о соответствующем субъекте ПДн (ФИО, номер телефона, адрес электронной почты);
владелец источника определяет содержание данных, включаемых в общедоступные источники ПДн.

Таким образом, на практике к общедоступным источникам ПДн можно отнести:

различные справочники на любых носителях информации — бумажных, электронных, в том числе размещаемые в сети Интернет (справочники телефонные, адресные, выпускников вузов, руководителей и пр.);
различные информационные базы данных государственных, муниципальных органов, управлений, учреждений;
сборники, энциклопедии и пр.

Например, разделы сайта компании с опубликованным перечнем высшего руководства может быть отнесен к общедоступным источникам ПДн. В этом случае такой справочник отвечает обоим характеристикам: с одной стороны, цель формирования перечня в предоставлении справочной информации о руководстве компании, а, с другой — объем публикуемой информации, например, ФИО и должность, полностью определяется самой компанией.

При этом использование общедоступных источников ПДн совершенно не подходит к ситуациям, когда объем публикуемых ПДн во многом определяется самими пользователями сайта. Например, в случае публикации информации в социальных сетях, использования форумов и публикации отзывов на интернет-сайтах компании.

В указанных случаях нарушаются сразу оба принципа существования общедоступных источников ПДн:

Во-первых, отсутствует единый установленный для всех субъектов перечень публикуемых ПДн — пользователь может самостоятельно определять перечень ПДн, который он по желанию хочет раскрывать в общем доступе (например, интересы);
Во-вторых, цель обработки ПДн — не информационно-справочное обеспечение, а обмен мнениями, общение и др.

Теперь, когда мы разобрались с общедоступными источниками ПДн и случаями их использования, перейдем к введенной категории ПДн, разрешенных субъектом для распространения.

ПДн, разрешенные для распространения: определение и особенности использования

Термин «персональные данные, разрешенные субъектом для распространения» появился в тексте 152-ФЗ в 2020 году.

Согласно ст. 3 152-ФЗ:

ПДн, разрешенные субъектом ПДн для распространения — ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном 152-ФЗ.

Порядок предоставления согласия на распространение ПДн раскрывается в ст. 10.1 152-ФЗ.

При предоставлении такого согласия субъект ПДн может существенно ограничить способы обработки своих ПДн. Например, установив запреты на передачу этих ПДн оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки этих ПДн неограниченным кругом лиц. Ограничения в обоих пунктах не затрагивают получение доступа к таким ПДн.

На практике это может означать, например, согласие на размещение ПДн в составе отзыва только на сайте компании, без возможности дополнительной публикации таких сведений в социальных сетях и других интернет-ресурсах.

В отличие от общедоступных источников ПДн, персональные данные, разрешенные субъектом для распространения, предназначены для публикации заранее не модерируемого объема персональных данных в сети Интернет. К типовым случаям использования данной категории ПДн можно отнести:

публикацию ПДн в социальных сетях или на торговых площадках — например, в профиле на сайте услуг как специалист и мастер;
публикацию статей в различных изданиях и сообществах;
размещение отзывов клиентов на интернет-ресурсах компании;
размещение данных о сотрудниках компании в сети Интернет в целях продвижения услуг и товаров компании*

Почти все организации сейчас имеют собственный сайт в сети Интернет и зачастую на нем осуществляется публикация данных ответственных сотрудников, например за ведение коммуникации с клиентами — ФИО, должность и др.

Однако такое распространенное явление как размещение ПДн работников на внутренних корпоративных порталах не предполагает использования ПДн, разрешенных субъектом для распространения. В таких случаях доступ предоставляется заведомо ограниченному кругу лиц — работникам компании, имеющим легитимный доступ к корпоративному ресурсу.

Какую категорию всё же выбрать

Отметим, что общей чертой ПДн, содержащихся в общедоступных источниках, и ПДн, разрешенных субъектом для распространения, является заведомое наличие доступа к ним неограниченного круга лиц. К отличительным различиями между данными категориями можно отнести то, что:

общедоступные источники ПДн создаются исключительно в целях информационного обеспечения, тогда как интернет-ресурсы, где распространяются ПДн, создаются в различных целях, например, в целях проведения рекламных и маркетинговых активностей и акций;
единственным основанием включения персональных данных субъекта ПДн в общедоступные источники выступает письменное согласие субъекта ПДн, тогда как для распространения ПДн необходимо получать согласие в любой доказуемой форме.

Последний пункт является важным преимуществом ПДн, разрешенных субъектом для распространения — организация сбора и хранения письменных согласий на обработку ПДн может представлять сложную задачу в современных реалиях, учитывая наличие в компании удаленных работников.

При этом использование указанной категории ПДн может одновременно соответствовать целям, в которых формируются и общедоступные источники ПДн, поскольку распространению ПДн может осуществляться в том числе в целях информационного обеспечения и создания справочников.

Поэтому в некоторых ситуациях для обеспечения доступа к информации неограниченного круга лиц компаниям лучше использовать именно категорию ПДн, разрешенных субъектом для распространения. О том, как правильно организовать обработку данной категории ПДн, расскажем далее.

Как правильно организовать обработку ПДн, разрешенных к распространению

Обработка ПДн, разрешенных субъектом для распространения, может осуществляться только на основании согласия, сформированного в соответствии с требованиями ст. 10.1 152-ФЗ.

Содержание согласия регламентируется Приказом Роскомнадзора от 24.02.21 г. № 18. В соответствии с требованиями данного нормативного акта, в согласие должно быть включено следующее:

ФИО субъекта ПДн*
контактная информация — номер телефона, адрес электронной почты или почтовый адрес субъекта ПДн*
сведения об операторе*
цели обработки ПДн*
категории ПДн*
перечень ПДн, на обработку которых дается согласие;
разрешения и запреты на распространение ПДн;
дополнительные условия для распространения ПДн;
особые условия обработки оператором ПДн;
срок действия согласия;
адрес ресурса, на котором будут размещаться такие ПДн — адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы, на которых будут размещаться ПДн.

Важно:

Указание в согласии специальных категорий и биометрических ПДн допускается в случае предварительного получения оператором согласия субъекта ПДн в письменной форме на обработку таких данных в соответствии с ст. 10 и 11 № 152-ФЗ.
Согласие не может быть включено в единое согласие на обработку ПДн или в текст договора.
Только сам субъект ПДн может предоставить оператору согласия на обработку ПДн, разрешенных для распространения.
Согласие может быть дано непосредственно оператору в электронном или бумажном виде или через информационную систему Роскомнадзора.

При предоставлении согласия на обработку ПДн, разрешенных к распространению, субъект ПДн полностью определяет перечень операций, которые могут быть реализованы с его ПДн в процессе их распространения. Так, можно запретить передачу своих ПДн другим операторам. Это исключит обработку данных на других сайтах и ресурсах.

Чтобы не нарушить требования законодательства, владельцы сайтов, копирующие такие ПДн, должны убедиться, что субъект дал явное согласие на распространение в других ресурсах. Иначе копирование может быть признано незаконным, хотя ПДн уже находятся в публичном доступе.

При этом субъект, давший согласие на распространение своих ПДн, в любой момент может потребовать прекратить его, направив оператору запрос. После получения требования оператор должен прекратить обработку и распространение ПДн.

План действий при использовании общедоступных источников ПДн

Обработка ПДн, включенных в общедоступные источники ПДн, также требует выполнения определенных условий.

Персональные данные могут быть включены в общедоступные источники только с письменного согласия от их субъекта. Для составления согласия на включение в общедоступные источники необходимо руководствоваться общими требования к согласиям на обработку ПДн в письменном виде, определенными в ст. 9 № 152-ФЗ.

Согласие на включение ПДн в общедоступный источник ПДн должна содержать следующие сведения:

ФИО, адрес, номер паспорта субъекта ПДн;
наименование оператора;
перечень ПДн;
цель обработки ПДн;
перечень действий с ПДн;
срок действия согласия;
подпись субъекта ПДн.

Чтобы исключить публикацию своих ПДн в общедоступных источниках, субъект ПДн может направить заявление владельцу общедоступного источника. Законодательство напрямую не определяет содержание такого заявления, поэтому рекомендуем добавить следующие сведения в форму отзыва согласия:

ФИО;
адрес;
наименование общедоступного источника ПДн с указанием адреса сайта, года публикации или выпускающего издательства.
требование об исключении персональных данных заявителя из указанного источника.

После получения заявления с требованием исключения ПДн письменное согласие на включение в общедоступные источники теряет силу. Обработка, в том числе публикация таких ПДн, должна быть исключена.

В завершении еще раз остановимся на ограничениях, связанных с их использованием общедоступных источников ПДн. Ключевое из ограничений —применением таких ресурсов только в справочно-информационных целях.

Если ресурс направлен не на информирование и используется, например, для продвижения товаров и услуг, цель обработки ПДн не будет соответствовать требованиям ст.8 152-ФЗ. Такой ресурс не будет являться общедоступным источником ПДн. В таком случае компании потребуется получить согласие на обработку ПДн, разрешенных субъектом ПДн для распространения.

Заключение

В действующей редакции закона на замену понятия «общедоступные ПДн введено определение «персональных данные, разрешенных субъектом для распространения».

При этом в российском законодательстве все еще остаются термины и понятия, связанные с общедоступными ПДн — например, общедоступные источники ПДн и ИСПДн, обрабатывающие общедоступные ПДн.

Несмотря на недостаток основного определения общедоступных ПДн, термин «общедоступные источники ПДн» может по-прежнему использоваться организациями. При этом надо помнить об ограничениях при использовании таких источников. Использование данной категории не означает, что ПДн можно распространять свободно на любых ресурсах.

Персональные данные, разрешенные субъектом для распространения, и персональные данные, включенные в общедоступные источники— это разные категория с отличающимися основаниями и условиями их обработки. С введением категории ПДн, разрешенных для распространения, субъекты ПДн могут четко определить, какие именно ПДн, в каком объеме и на каких условиях они разрешают распространять.

Со своей стороны операторам важно обеспечить соблюдение законодательства при обработке обеих категорий ПДн. Для ПДн, включенных в общедоступные источники, необходимо собирать согласия в письменном виде, для ПДн, разрешенных для распространения, согласие собирается уже в любой доказуемой форме. По требованию субъекта ПДн оператор должен быть готов прекратить обработку обеих категорий ПДн и удалить такие данные из своих информационных ресурсов.

Советуем операторам четко различать и разграничивать указанные категории ПДн и, при необходимости, собирать два отдельных согласия. Одно — письменное для включения в общедоступные источники ПДн, второе — в письменном или электронном виде о распространении ПДн неограниченному кругу лиц.

*Оператору необходимо обращать внимание на тип интернет-ресурса — был ли он создан в целях информирования или в целях маркетинговых действий. Принятие решения о намерениях (цели) ресурса поможет в определении публикации ПДн как общедоступных ПДн или ПДн, разрешенных для распространения.

Общедоступные ПДн и ПДн, разрешенные субъектом ПДн для распространения: в чем отличия?