Питання, винесене в заголовок, виглядає дивним. І відповідь на нього, начебто, очевидна - звичайно, так. Але підписаний 30 грудня президентом Федеральний закон № 519-ФЗ вніс сум'яття в уми фахівців, суперечки про його зміст йдуть третій тиждень, масу запитань поставили замовники і колеги мені, тому пора, напевно, висловити і свою точку зору.
Отже, що поміняв закон.
Серйозних змін в законі «Про персональні дані» насправді всього два.
(1) З'явилося принципово нове поняття «персональні дані, дозволені суб'єктом персональних даних для розповсюдження».
(2) Виключено із закону така підстава для обробки персональних даних без згоди суб'єкта, як випадки, коли доступ необмеженого кола осіб до персональних даних надано суб'єктом або на його прохання.
При цьому зміни в закон, незважаючи на їх кардинальну переробку до другого читання, підготовлені вкрай неохайно і непродумано, так що аукаться нова редакція буде дуже довго і дуже болісно. Більш того, забігаючи вперед, висловлю свою точку зору на наслідки цього закону: застосовуватися нові положення будуть виключно точково і вибірково, оскільки їх масове застосування породить повну сум'яття і хаос.
Отже. Проблема номер один. Як тепер зазначено в пункті 1.1 статті 3 закону 152-ФЗ «Про персональних даних», згоду дається тільки на поширення персональних даних, доступ необмеженого кола осіб до яких надано суб'єктом персональних даних, тобто на дії, спрямовані на розкриття персональних даних невизначеному колу осіб . Дані, які суб'єкт розмістив, наприклад, в своєму профілі в соціальній мережі або на сайті оголошень, не можуть потім розміщуватися без його згоди на інших ресурсах в мережі Інтернет. Нагадаю, що поширення є всього лише одним з 18 способів обробки, зазначених в пункті 3 статті 3 закону.
Але в частині 2 нової статті 10.1 закону обмеження раптово починають поширюватися на будь-яку обробку персональних даних, розкритих невизначеному колу осіб самим суб'єктом: «обов'язок надати докази законності подальшого поширення чи іншої обробки таких персональних даних лежить на кожному обличчі, який здійснив їх поширення чи іншу обробку» . Не забуваємо, що одним із способів обробки є, наприклад, доступ, і доводимо ситуацію до логічного абсурду: доводити, що законно прочитав щось в пості соціальної мережі повинен кожен читач (а читання публікації і є доступ). Правда, в частині 9 цієї ж статті можливість доступу обмовляється окремо, але ця норма стосується оператора, який надав доступ, а не особи, його який отримав. І взагалі, до чого тут інше використання, в той час як нововведення стосуються виключно поширення?
Далі більше. Частини 5 і 9 статті 10.1 передбачають возможностьустановленія суб'єктом заборон і умов на обробку персональних даних, а також категорій і переліків персональних даних, для обробки яких ці умови і заборони встановлюються. Більш того, якщо з згоди суб'єкта на поширення годі було, що суб'єкт не встановив заборони і умови або не визначив категорії, щодо яких вони встановлені, оператор, який отримав дані від суб'єкта і згоду на їх поширення (мабуть, криво складене суб'єктом), повинен їх обробляти (увага!) без передачі, поширення, надання і доступу необмеженому колу осіб. Ще раз. Згоду було дано, як випливає зі статті 10.1, на поширення, але їх поширення є протиправним, тому що з згоди така можливість не слід.
Нові положення вступають в явне протиріччя з положеннями більш високорівневого закону - Цивільного кодексу, частина 1 статті 152.2 якого прямо говорить, що заборона на збір, зберігання, поширення і використання будь-якої інформації про приватне життя без згоди громадянина не поширюється на випадки, коли інформація про приватне життя громадянина раніше стала загальнодоступною або була розкрита самим громадянином або по його волі. А ось недійсність заборони на обробку в державних, громадських чи інших публічних інтересах чомусь з Цивільного кодексу продубльована в частині 11 статті 10.1 закону. Дуже нагадує відому мініатюру «тут граємо, тут не граємо, а це пляма, тому що я рибу завертав».
При цьому в законі про персональні дані як і раніше утримуються підстави для розміщення персональних даних в загальнодоступних джерелах без згоди суб'єкта - обробка персональних даних для досягнення цілей, передбачених законом, для здійснення і виконання покладених законодавством на оператора функцій, повноважень і обов'язків, для виконання договору , стороною якого є суб'єкт персональних даних, обробка даних, що підлягають опублікуванню або обов'язковому оприлюдненню відповідно до федеральним законом. У цих випадках і вимагати припинення обробки не вийде.
Нічого не змінилося і в статті 8 про загальнодоступних джерелах, вона як і раніше пахне нафталіном прошловековой давності ( «... можуть створюватися загальнодоступні джерела персональних даних (в тому числі довідники, адресні книги) ...») і нічого не знає про ресурси в мережі інтернет взагалі і соціальні мережі зокрема.
Попереду нас чекає багато цікавого - форма згоди на обробку персональних даних, дозволених суб'єктом персональних даних для поширення, яка, як хочеться сподіватися, що не буде містити паспортні дані суб'єкта і його адреси; створення чергового реєстру Роскомнадзора, в якому будуть згоди суб'єктів на поширення їх даних, а насправді - на обробку із зазначенням переліку персональних даних по кожній з категорій (ще б знати, що це - спеціальні, біометричні, або законодавець мав на увазі щось зовсім інше?). Я так вважаю, що реєстр має бути загальнодоступним, інакше звідки користувачі будуть знати, що можна, а що не можна робити з даними з переліку по кожній з категорій?
Дуже хочеться знати, як на практиці буде реалізовуватися вимога припинити передачу (поширення, надання, доступ) своїх персональних даних, раніше дозволених суб'єктом персональних даних для поширення, будь-яку особу, обробляє персональні дані, якщо до даних уже отримав доступ невизначене коло осіб.
Радує, звичайно, що всі ці заборони і обмеження не поширюються на виконання функцій, повноважень і обов'язків, покладених законодавством Російської Федерації на федеральні органи виконавчої влади, органи виконавчої влади суб'єктів Російської Федерації, органи місцевого самоврядування. І це при тому, що практично в той же час, коли був прийнятий закон, 23 грудня минулого вже року, підписано Постанову Уряду РФ № 2249, відповідно до якого громадянам дано право надавати і відкликати згоду на обробку своїх персональних даних у випадках надання органам і організаціям, підключеним до єдиної системи ідентифікації і аутентифікації (ЕСІА), доступу до інформації про фізичну особу, згоди на вчинення інших дій, в тому числі юридично значущих, з використанням державних, муніципальних та інших інформаційних систем, а також зберігання самих згод. Але це вже зовсім інша пісня.
Джерело - блог Емельяннікова Михайла "Рецепти безпеки від Емельяннікова".
Більше цікавого матеріалу на cisoclub.ru. Підписуйтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | дзен | Мессенджер | ICQ New | YouTube | Pulse.