Обзор изменений в сфере персональных данных за 1 полугодие 2021 года
СКАЧАТЬ LEGAL ALERT: ОБЗОР ИЗМЕНЕНИЙ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ЗА 1 ПОЛУГОДИЕ 2021 ГОДА >>>
Представляем вашему вниманию обзор новостей в сфере регулирования персональных данных за 1 полугодие 2021 года:
- ВСТУПИЛИ В СИЛУ ПРАВИЛА ОБ ОБРАБОТКЕ ОБЩЕДОСТУПНЫХ ДАННЫХ
- СУД ЗАПРЕТИЛ ИСПОЛЬЗОВАТЬ ДАННЫЕ ПОЛЬЗОВАТЕЛЕЙ ВКОНТАКТЕ В КОММЕРЧЕСКИХ ЦЕЛЯХ
- КС РФ ПРИЗНАЛ ДОПУСТИМЫМ ПУБЛИКОВАТЬ ОТЗЫВЫ О МЕДРАБОТНИКАХ В ИНТЕРНЕТЕ
- ОПЕРАТОРОВ СВЯЗИ ОБЯЗАЛИ РАСКРЫВАТЬ ДАННЫЕ ОБ АБОНЕНТАХ И ИХ ЗВОНКАХ
- ПРОКУРАТУРА ПОМОЖЕТ ЗАЩИТИТЬСЯ ОТ ОБВИНЕНИЙ В ИНТЕРНЕТЕ
- УЖЕСТОЧЕНИЕ ОТВЕТСТВЕННОСТИ ЗА НАРУШЕНИЯ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Настоящее сообщение носит исключительно информационный характер и не является консультацией или иным результатом оказания юридических услуг. Просим вас воздержаться от принятия юридически значимых решений, основанных исключительно на данном сообщении, которое по своему характеру не может учитывать всех фактических обстоятельств ведения вашей деятельности и исчерпывающим образом описывать все относящиеся к вашему случаю правовые нормы. Любые решения, основанные на данном сообщении, вы принимаете исключительно на собственный риск и соглашаетесь с тем, что Максима Лигал (ООО) не будет возмещать никакие связанные с этим убытки.
При необходимости получения профессиональной помощи по данному вопросу, пожалуйста, свяжитесь с нами с помощью контактов, указанных в настоящем сообщении.
>>> ВСТУПИЛИ В СИЛУ ПРАВИЛА ОБ ОБРАБОТКЕ ОБЩЕДОСТУПНЫХ ДАННЫХ
С 1 марта 2021 года из Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» исчезла возможность по умолчанию обрабатывать общедоступные персональные данные. Теперь для такой обработки необходимо получать от лица отдельное согласие, которое необходимо оформить отдельно от других согласий.
Что изменилось?
Ранее в законе было понятие «общедоступные персональные данные» — данные, которые субъект раскрыл неограниченному кругу лиц. Их распространение не требовало получения отдельного согласия, но оператор всё равно должен был соблюдать принципы обработки персональных данных.
Теперь закон использует понятие «персональные данные, разрешенные субъектом персональных данных для распространения». Закон прямо указывает, что распространение и доступ к ним возможен только при наличии согласия субъекта.
Как получить согласие?
Согласие на обработку таких данных оператор может получить двумя способами:
- непосредственно от субъекта,
- через сервис Роскомнадзора, который начал работу с 1 июля 2021 года.
Сервис позволяет подготовить шаблон согласия с учетом специфики деятельности оператора. Оператору нужно заполнить форму, после чего Роскомнадзор в течение 5 дней рассмотрит сформированный шаблон согласия и при необходимости даст оператору рекомендации по его доработке. Авторизация оператора в сервисе осуществляется через ЕСИА.
Какие требования к форме согласия?
Требования к форме согласия на обработку данных, разрешенных для распространения, установлены приказом Роскомнадзора, который вступит в силу с 1 сентября 2021 года.
Форма согласия должна содержать следующие сведения:
- ФИО и контактная информация субъекта;
- наименование/ФИО, адрес и иные идентифицирующие сведения об операторе;
- информационные ресурсы оператора (адреса сайтов), на которых будут размещены данные субъекта;
- цель обработки данных;
- перечень данных, на обработку которых дается согласие;
- перечень данных, на обработку которых устанавливается запрет (по желанию субъекта);
- дополнительные условия обработки (по желанию субъекта): запрет на передачу данных третьим лицам / запреты на обработку данных третьими лицами / условия обработки данных третьими лицами;
- срок действия согласия.
Может ли субъект отозвать согласие?
Субъект вправе в любое время потребовать у оператора прекратить распространять персональные данные, ранее разрешенные для распространения. В требовании субъект указывает перечень персональных данных, в отношении которых отзывается согласие.
После получения требования оператор не может передавать третьим лицам данные, указанные субъектом.
Также субъект может обратиться с аналогичными требованиями к любому лицу, если оно распространяет данные с нарушением закона. Лицо обязано прекратить распространение данных в течение 3 дней с момента получения требования. С такими же требованиями субъект может обратиться в суд.
>>> СУД ЗАПРЕТИЛ ИСПОЛЬЗОВАТЬ В КОММЕРЧЕСКИХ ЦЕЛЯХ ДАННЫЕ ПОЛЬЗОВАТЕЛЕЙ ВКОНТАКТЕ
Девятый арбитражный апелляционный суд отменил решение нижестоящей инстанции и принял решение в пользу ООО «ВКонтакте» по делу против ООО «Дабл».
| Предыстория вопроса:
Дабл является разработчиком программных продуктов, которые анализируют информацию о пользователях в соцсети, в том числе для оценки их платежеспособности. В 2017 ВКонтакте предъявило Дабл требования, связанные с защитой прав на созданную им базу данных пользователей. В 2018 году суд кассационной инстанции признал права ВКонтакте на базу данных, но отправил дело на новое рассмотрение, поскольку суды не до конца исследовали сущность программы. При новом рассмотрении Арбитражный суд г.Москвы решением от 22.03.2021 отказал в удовлетворении заявленных требований. ВКонтакте подало апелляционную жалобу на это решение. |
Примечательно, что при новом рассмотрении суды исследовали вопрос, что является нормальным использованием базы данных пользователей ВКонтакте.
Основной посыл заключается в том, что использование базы данных не должно противоречить нормальному использованию и ущемлять интересы изготовителя базы данных. Аргументы, отраженные в Постановлении суда апелляционной инстанции, изложены ниже.
| Позиция Дабл | Позиция суда | ||
| 1. |
Программа функционирует как обычная поисковая система.
|
→ | Программа, хотя и схожа с рядовыми поисковыми системами, по факту является инструментом для поиска специфической информации в коммерческих целях. |
| 2. | Программа анализирует только те данные, которые не скрыты пользователями как приватные. | → | Использование базы данных приводит к нарушению обязательств ВКонтакте перед своими пользователями. ВКонтакте гарантировало пользователям защиту информации (как открытой, так и приватной) от лиц, не являющихся пользователями социальной сети |
Дабл может обжаловать Постановление Девятого арбитражного апелляционного суда в Суде по интеллектуальным правам. Будем следить за движением дела.
Постановление Девятого арбитражного апелляционного суда № 09АП-31545/2021-ГК по делу № А40-18827/17
>>> КС РФ ПРИЗНАЛ ДОПУСТИМЫМ ПУБЛИКОВАТЬ ОТЗЫВЫ О МЕДРАБОТНИКАХ В ИНТЕРНЕТЕ
Суды трех инстанций, а затем и Конституционный Суд РФ искали справедливый баланс между правом на неприкосновенность частной жизни и свободой слова СМИ.
Спор возник между владельцем интернет-сайта, на котором размещались отзывы о медицинских работниках, и врачом, который потребовал удалить с сайта свои персональные данные.
Первоначально суды отказали истице, мотивируя тем, что персональные данные медицинских работников подлежат обязательному раскрытию (опубликованию) в соответствии с законом. Обработка СМИ общедоступных данных не нарушает ее права.
Судебная коллегия по гражданским делам Верховного Суда отправила дело на новое рассмотрение, поскольку суд исследовал не все обстоятельства.
В результате повторного рассмотрения дела суды удовлетворили требования истицы. Суды пришли к выводу, что вмешательство в частную жизнь истицы было неправомерным, поскольку:
- Отзывы, размещенные на сайте, носили оскорбительный характер и не проверялись на предмет достоверности.
- У истицы отсутствовали самостоятельные средства для их удаления или опровержения.
Не согласившись с принятыми решениями судов, владелец сайта обратился в КС РФ.
Позиция Конституционного Суда
КС РФ признал наличие особого общественного интереса к сведениям о медицинских работниках, поскольку такое информирование является одной из форм общественного контроля качества медицинских услуг.
При этом суд отметил, что распространение информации о лице в СМИ должно уравновешиваться защитой чести и достоинства, а также запретом дискриминации.
Выводы суда (изложены ниже) полезны не только правоприменителю, но и сетевым изданиям, размещающим отзывы пользователей о медицинских работниках:
- Сетевые СМИ нельзя обязать удалять порочащие гражданина сведения, если их недостоверность небесспорна.
В случае возникновения спора этот вопрос окончательно должен разрешаться судом.
Однако СМИ, получая обращения от медицинских работников, должно принимать меры по проверке таких сведений, а также на период проверки ограничивать доступ к спорным сведениям или помечать их как «спорные» для пользователей ресурса.
- Комментарии должны проверяться в ходе премодерации или постмодерации.
Издание должно воспрепятствовать появлению комментариев, не относящихся к деятельности медицинского работника, а также очевидно противоправных суждений.
- Редакция сетевого СМИ обязана предоставить медицинскому работнику право на ответ.
Например, разместить ответ медицинского работника рядом с критическим отзывом.
- Полное удаление персональных данных и отзывов о профессиональной деятельности медицинского работника является крайней мерой, которая должна применяться судами в случаях, когда иные способы защиты не смогли (или не могут) обеспечить защиту прав и интересов граждан.
В качестве примера суд привел ситуацию, когда сетевое издание систематически нарушает права медицинского работника, публикует недостоверные отзывы пользователей.
Оспариваемые заявителем нормы законодательства в сфере персональных данных были признаны соответствующими Конституции. Его дело будет пересмотрено с учетом разъяснений КС РФ.
Постановление Конституционного Суда РФ от 25.05.2021 № 22-П
>>> ОПЕРАТОРОВ СВЯЗИ ОБЯЗАЛИ РАСКРЫВАТЬ ДАННЫЕ ОБ АБОНЕНТАХ И ИХ ЗВОНКАХ
С 1 июня 2021 года абоненты-юридические лица и ИП обязаны вносить в систему госуслуг (ЕСИА) сведения о работниках, которые пользуются корпоративной связью. Операторы связи будут следить за достоверностью внесенных данных.
Напоминаем, что работодатели должны внести необходимые сведения в ЕСИА до 30 ноября 2021 года. В противном случае оператор связи прекратит обслуживание номеров, принадлежащих неустановленным лицам.
Подробнее о поправках – в нашем обзоре за 4 квартал 2020 года >>>
Роскомнадзор будет проверять операторов связи и запрашивать у них сведения об абонентах и принадлежащих им устройствах. В марте 2021 года был размещен проект постановления Правительства РФ, который конкретизирует перечень таких сведений.
Роскомнадзор сможет получить сведения о ФИО, месте жительства, паспортных данных и номере абонента, используемом им устройстве, а также о совершенных звонках и СМС.
Авторы проекта утверждают, что обработка полученной информации будет осуществляться в соответствии с законодательством о персональных данных. Также Минцифры разъяснило, что содержание переговоров и сообщений предоставляться Роскомнадзору не будет.
Предлагаемые меры, по мнению Минцифры, позволят эффективнее бороться с увеличившимся числом случаев мошенничества с использованием «серых» sim-карт.
Разъяснения Минцифры от 17 марта 2021 года
>>> ПРОКУРАТУРА ПОМОЖЕТ ЗАЩИТИТЬСЯ ОТ ОБВИНЕНИЙ В ИНТЕРНЕТЕ
В Федеральном законе от 01.07.2021 № 260-ФЗ «Об информации, информационных технологиях и о защите информации» появилась новая процедура, которая позволяет гражданину бороться с порочащей информацией.
Если лицо обнаружит в интернете обвинения в свой адрес в совершении преступления (при условии, что эта информация не соответствует действительности), такое лицо может направить прокурору субъекта заявление.
Заявление должно содержать следующие сведения:
- ФИО, паспортные данные, контактную информацию заявителя;
- ссылку на страницу сайта, где размещена информация;
- мотивированное обоснование недостоверности размещенной информации.
Проверка обоснованности доводов, изложенных в заявлении, осуществляется в течение 15 дней. Если доводы признаются обоснованными, то Генеральный Прокурор обращается в Роскомнадзор с требованием принять меры по удалению порочащей информации.
После этого Роскомнадзор взаимодействует с провайдером хостинга и владельцем ресурса в обычном порядке. В случае неудаления порочащей информации Роскомнадзор направляет оператору связи требование ограничить доступ к ресурсу, на котором размещена информация.
>>> УЖЕСТОЧЕНИЕ ОТВЕТСТВЕННОСТИ ЗА НАРУШЕНИЯ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Вступили в силу ряд изменений Кодекса РФ об административных правонарушениях (КоАП), касающихся ответственности в сфере информации и персональных данных.
В Кодексе появилась новая статья 13.14.1, предусматривающая ответственность за незаконное получение информации с ограниченным доступом.
Также выросли штрафы за разглашение информации с ограниченным доступом по статье
13.14 КоАП (подробнее об этой поправке – в нашем обзоре за 3 квартал 2020 года >>>), а также за нарушения в сфере персональных данных (статья 13.11 КоАП).
Срок давности за нарушения в сфере персональных данных теперь составляет 1 год вместо
3 месяцев.
Федеральный закон от 11.06.2021 № 206-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»
МАТЕРИАЛ ПОДГОТОВЛЕН СИЛАМИ ПРАКТИКИ IP/IT MAXIMA LEGAL
