ОСОБЕННОСТИ РАСПРОСТРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ В ПОСЛЕДНЕЙ РЕДАКЦИИ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ Текст научной статьи по специальности «Право»

ПОТЕНЦИАЛ ИНФОРМАЦИОННЫХ СИСТЕМ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОБРАЗОВАНИИ

УДК 004.056

ОСОБЕННОСТИ РАСПРОСТРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ В ПОСЛЕДНЕЙ РЕДАКЦИИ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ

А.В. Гнедков, А.В. Нищик

В настоящей статье рассматриваются особенности обработки персональных данных, разрешённых субъектом персональных данных для распространения с учётом последних изменений законодательства Российской Федерации в области персональных данных. Представлены актуальные проблемы распространения персональных данных, пути их решения и возможные последствия их некорректной обработки. Приведены рекомендации по обработке персональных данных, в частности такого вида обработки, как распространение.

Ключевые слова: сведения конфиденциального характера, персональные данные, обработка персональных данных, распространение персональных данных, согласие на обработку персональных данных, согласие для распространения.

В настоящее время информационные технологии значительно изменили понимание о частной жизни и соблюдении личного пространства. Ранее, все жизненные процессы существовали в реальном (физическом) мире. Сейчас большинство из этих процессов перешли или продолжают переходить в онлайн (онлайн-вещание, онлайн-обучение, онлайн-магазин и т.д.). С каждым годом появляется всё больше возможностей удалённо работать, приобретать разные товары, услуги, общаться с родными, друзьями, знакомыми, коллегами, государственными и негосударственными органами, не выходя из дома или со своего рабочего места. Достаточно лишь иметь стационарный компьютер или любое мобильное устройство. Все эти безграничные возмож-

ности приводят к тому, что объёмы личной информации, раскрываемой самими гражданами, подвергается обработке различными организациями, органами и другими лицами, преследующими какие-либо цели, в неограниченных размерах. Поэтому распространению персональных данных граждан неопределённому кругу лиц стало уделяться большое внимание. Именно защита конфиденциальной информации, такой как персональные данные, является актуальной проблемой защиты информации в современном обществе. Возникают вопросы по части использования персональных данных, какие есть возможности, какие ограничения и какие могут быть последствия их обработки.

Согласно части 1 статьи 24 Конституции РФ «сбор, хранение и распространение информации о частной жизни лица без его согласия не допускается» [1]. Данное положение Конституции РФ несёт в себе фундаментальный и системообразующий характер. Положение повлекло за собой создание многих нормативно-правовых актов разного уровня, выделяющих такие категории, как «персональные данные», и «конфиденциальная информация», в том числе оно является одной из причин создания Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее Федеральный закон N 152-ФЗ).

Современное законодательство Российской Федерации о персональных данных, действующее с 2006 года, обязывает оператора получать согласие субъекта на их обработку, что является одним из законных оснований для обработки персональных данных. До 1 марта 2021 года конструкция Федерального закона N 152-ФЗ давала большие возможности треть-

им лицам организовывать распространение персональных данных в сети «Интернет» (например, на интернет-сайтах). Т.е. данный момент строго не контролировался, и с 1 марта 2021 года вышли значительные изменения в законодательстве по работе с персональными данными, в частности особое внимание было уделено распространению персональных данных. Ранее достаточно было взять одно согласие на обработку персональных данных и, для возможности их распространения, можно было включить в перечень действий с персональными данными, на совершение которых даётся согласие, такое действие, как распространение.

Сегодня, если организация каким-либо образом распространяет персональные данные, то необходимо собирать отдельное от всех иных согласий, согласие для распространения персональных данных, полученное непосредственно от субъекта или через сайт уполномоченного органа по защите прав субъектов персональных данных. А именно, Федеральный закон Российской Федерации от 30.12.2020 N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» определил новый порядок при работе с персональными данными и добавил новое понятие «персональные данные, разрешенные субъектом персональных данных для распространения» [4]. К ним согласно статье 3 Федерального закона N 152-ФЗ относятся «персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путём дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом» [5]. Кроме этого установлено, что согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, должно оформляться отдельно от иных согласий субъекта, которые преследуют иные цели обработки персональных данных.

Проблема на сегодняшний день состоит в том, что многие образовательные организации,

органы местного самоуправления, осуществляющие управление в сфере образования, и иные организации, не знают, либо не уделяют должного внимания данному серьёзному изменению в законодательстве. Операторы до сих пор продолжают распространять персональные данные, не собирая при этом отдельное согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, что может повлечь за собой административную ответственность в рамках статьи 13.11 Кодекса Российской Федерации об административных правонарушениях. Ещё большая проблема состоит в том, что многие из них, даже не знают, что они распространяют персональные данные.

Требования к содержанию согласия на обработку персональных данных, разрешённых субъектом для распространения (далее -Согласие для распространения), устанавливаются уполномоченным органом по защите прав субъектов персональных данных (далее -Роскомнадзор). К содержанию Согласия для распространения есть определённые требования, утвержденные приказом Роскомнадзора от 24.02.2021 N 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения» [3] (Далее - Приказ Роскомнадзора N 18). Данный приказ вступил в силу с 1 сентября 2021 года и действует до 1 сентября 2027 года.

С целью гарантированного получения Согласия для распространения, соответствующее требованиям Федерального закона N 152-ФЗ, Роскомнадзором реализован функционал, который позволяет оператору разработать шаблон формы Согласия для распространения, учитывающий деятельность оператора, в зависимости от его профессиональной специфики (https://pd.rkn.gov.ru/soglasiya/).

Оператор, сформировавший шаблон формы согласия, имеет возможность направить его в Роскомнадзор с целью получения рекомендаций и правок. Для этого необходимо заполнить форму запроса, которая доступна по вышеука-

А.В. Гнедков, А.В. Нищик

занной ссылке.

Ещё одним важным моментом является то, что молчание или бездействие субъекта, чьи персональные данные подвергаются распространению, ни при каких обстоятельствах не может считаться Согласием для распространения.

В срок не позднее трёх рабочих дней с момента получения соответствующего Согласия для распространения, оператор должен опубликовать информацию об условиях обработки, о наличии запретов, условий на обработку неограниченным кругом лиц персональных данных, разрешённых субъектом для распространения. При этом законом не определено, где необходимо опубликовать такую информацию. Полагаем, что если персональные данные субъектов распространяются через информационно-телекоммуника-

ционную сеть путём публикации их на сайте в сети "Интернет", то условия и запреты публикуются там же. Если же распространение персональных данных осуществляется без использования информационно-телекоммуникационной сети, то опубликовать условия и запреты необходимо в том же месте, где каким-либо образом происходит распространение персональных данных.

Изменения законодательства Российской Федерации в области персональных данных повлекли за собой и изменения в "Кодексе Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ [2], в частности изменения статьи 13.11 нарушение законодательства Российской Федерации в области персональных данных. С прошлого года убрали за каждый вид правонарушения в рамках данной статьи такой вид наказания как предупреждение. Штрафы в среднем выросли в два раза по нарушениям в области персональных данных. Срок давности увеличился с трёх месяцев до одного года, и появилась ответственность за повторное правонарушение.

Ярким примером возможного нарушения является публикация информации на сайтах образовательных организаций о прошедших мероприятиях (соревнованиях, конкурсах и т.д.) с указанием данных участников (фамилии,

имена, отчества призёров, даты рождений и т.д.). Соответственно данная информация является общедоступной неопределённому кругу лиц. Любая другая организация может сделать рерайт данной новости или просто сделает репост. Гражданин, чьи данные попали в новостную ленту, может написать жалобу в Роскомнадзор о раскрытии его персональных данных неопределённому кругу лиц. И если не было соответствующего Согласия для распространения, то, согласно новым изменениям, доказательства законного распространения персональных данных или иной их обработки, должны предоставить все организации, и те, которые предоставили данную информацию, и те, которые эту информацию опубликовали у себя на сайтах и т.д.

В связи со всем вышеизложенным, операторам обработки персональных данных при необходимости распространения персональных необходимо внимательно подойти к данному вопросу и придерживаться следующих рекомендаций:

- следить за изменениями в законодательстве Российской Федерации в области персональных данных;

- разработать корректный шаблон Согласия для распространения;

- собирать минимальный перечень персональных данных, который действительно необходим с целью выполнения рабочих обязанностей;

- внимательно следить за всеми публикациями любых персональных данных в общедоступных источниках и своевременно собирать соответствующее Согласия для распространения с субъектов, чьи персональные данные становятся общедоступными;

- вчитываться в каждое заполненное согласие, так как субъект персональных данных имеет право указать свои условия, запреты на обработку его персональных данных в случае распространения, а если не соблюдаются оператором требования субъекта (условия, запреты), последний может обратиться в Роскомнадзор или суд с целью получения компенсаций.

Список литературы

1. Конституция Российской Федерации (принята всенародным голосованием 12.12.1993 с изменениями, одобренными в ходе общероссийского голосования 01.07.2020) - URL: http://www.consultant.ru/ document/cons_doc_LAW_28399/ (дата обращения 05.04.2022).

2. О внесении изменений в Федеральный закон "О персональных данных: Федеральный закон от 30.12.2020 N 519-ФЗ - URL: http://www.consultant.ru/document/cons_doc_L AW_372682/ (дата обращения: 05.04.2022).

3. О персональных данных: Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от

30.12.2020) - URL: http://base.garant. ru/12148555/ (дата обращения: 05.04.2022).

4. Об административных правонарушениях: Кодекс Российской Федерации N 195-ФЗ от 30.12.2001 (ред. от 01.07.2021, с изм. от

09.11.2021) (с изм. и доп., вступ. в силу с

01.10.2021) - URL: http://www.consultant.ru/ document/cons_doc_LAW_34661/ (дата обращения 05.04.2022).

5. Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения: Приказ Роскомнадзора от 24.02.2021 N 18 (Зарегистрировано в Минюсте России 21.04.2021 N 63204) - URL: https://base.garant.ru/400668442/ (дата обращения 05.04.2022).

References

1. Konstitutsiya Rossiyskoy Federatsii (prinyata vsenarodnym golosovaniem 12.12.1993 s izmeneniyami, odobrennymi v khode obshcherossiyskogo golosovaniya 01.07.2020) -URL: http://www.consutant.ru/document/ cons_doc_LAW_28399/ (data obrashcheniya

05.04.2022).

2. O vnesenii izmeneniy v Federal'nyy zakon "O personal'nykh dannykh: Federal'nyy zakon ot 30.12.2020 N 519-FZ - URL: http://www.consultant.ru/document/cons_doc_L AW_372682/ (data obrashcheniya: 05.04.2022).

3. O personal'nykh dannykh: Federal'nyy

zakon ot 27.07.2006 N 152-FZ (red. ot 30.12.2020) - URL: http://base.garant. ru/12148555/ (data obrashcheniya: 05.04.2022).

4. Ob administrativnykh pravonarusheniyakh: Kodeks Rossiyskoy Federatsii N 195-FZ ot 30.12.2001 (red. ot 01.07.2021, s izm. ot 09.11.2021) (s izm. i dop., vstup. v silu s 01.10.2021) - URL: http://www.consultant.ru/document/cons_doc_L AW_34661/ (data obrashcheniya 05.04.2022).

5. Ob utverzhdenii trebovaniy k soderzhaniyu soglasiya na obrabotku personal'nykh dannykh, razreshennykh sub"ektom personal'nykh dannykh dlya rasprostraneniya: Prikaz Roskomnadzora ot 24.02.2021 N 18 (Zaregistrirovano v Minyuste Rossii 21.04.2021 N 63204) - URL: https://base.garant.ru/400668442/ (data obrashcheniya 05.04.2022).

Сведения об авторах

Гнедков Андрей Владимирович - начальник отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск.

Нищик Анна Владимировна - методист отдела обеспечения информационной безопасности ГБУ ДПО «Региональный центр оценки качества и информатизации образования», г. Челябинск.

Information about authors

Gnedkov A.V. - Head of the Department of Ensuring Information Security, Regional Center for Quality Assessment and Informatization of Education, Chelyabinsk

Nishchik A.V. - Methodologist of Department of Ensuring Information Security, Regional Center for Quality Assessment and Informatization of Education, Chelyabinsk