В 2020 г. в текст 152-ФЗ была добавлена ст. 10.1, регламентирующая порядок обработки новой категории персональных данных (ПДн), разрешенных субъектом для распространения. Из этой же редакции закона был исключен термин «общедоступные ПДн», ранее широко используемый для организации неограниченного доступа к ПДн субъекта. При этом категория до сих пор встречается в некоторых нормативных актах РФ и фактически используется компаниями. 

В сложившейся неопределенной ситуации, когда на практике сосуществуют два понятия — общедоступные ПДн и ПДн, разрешенные для распространения, следует различать их и правильно использовать. 

В статье разобрали основные вопросы о категориях ПДн вместе с аналитиком по кибербезопасности — Екатериной Марковиной. 

Термин «персональные данные, сделанные общедоступными субъектом персональных данных», исчез из текста Федерального закона «О персональных данных» в 2020 году. До этого в ст. 6 152-ФЗ общедоступные ПДн были определены как «персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе».

Несмотря на то, что в текущей редакции 152-ФЗ термин уже не используется, остаются актуальными его производные, которые встречаются в законодательных актах РФ. Среди них — информационные системы (ИС), обрабатывающие общедоступные ПДн, и общедоступные источники ПДн.

Определение ИС, обрабатывающей общедоступные ПДн, приводится в Постановлении Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»:

Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».

Принципы формирования общедоступных источников ПДн определены в ч.1 ст. 8 152-ФЗ:

В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн.

Получается, что понятие «общедоступные ПДн» в действующей редакции законодательства не используется, однако сохраняются такие смежные термины, как «ИС, обрабатывающие общедоступные ПДн» и «общедоступные источники ПДн».

Для ответа на этот вопрос обратимся к ч. 1 ст. 8 152-ФЗ, в которой перечислены основные характеристики такого источника:

• Источник содержит преимущественно контактную или иную справочную информацию о соответствующем субъекте ПДн (ФИО, номер телефона, адрес электронной почты);

• Владелец источника определяет содержание данных, включаемых в общедоступные источники ПДн.

На практике к общедоступным источникам ПДн можно отнести: 

• Различные справочники на любых носителях информации — бумажных, электронных, в том числе размещаемые в сети Интернет (справочники телефонные, адресные, выпускников вузов, руководителей и пр.);

• Различные информационные базы данных государственных, муниципальных органов, управлений, учреждений;

• Сборники, энциклопедии и пр.

Раздел с руководителями на сайте компании может быть отнесен к общедоступным источникам ПДн, так как, с одной стороны, целью публикации является предоставление справочной информации о руководстве, а с другой, объем и содержание данных полностью определяется самой организацией. 

В то же время, ситуации, когда объем публикуемых ПДн зависит от конечных пользователей сайта, не могут рассматриваться как использование общедоступных источников ПДн. К таким случаям относятся, например, публикация информации в соцсетях, на форумах, при размещении отзывов на сайте компании. При этом нарушаются оба принципа общедоступных источников ПДн, определенных законодательством. Во-первых, для всех субъектов не регламентируется единый объем публикуемых ПДн (он определяется каждым самостоятельно), во-вторых — целью обработки данных является не обеспечение информацией, а общение, обмен мнениями.

Термин был внесен в 152-ФЗ в 2020 году. Согласно ст. 3: 

ПДн, разрешенные субъектом ПДн для распространения — ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном 152-ФЗ.

Порядок предоставления согласия на распространение ПДн раскрывается в ст. 10.1 152-ФЗ.

При предоставлении такого согласия субъект ПДн может установить запреты на передачу этих ПДн оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки этих ПДн неограниченным кругом лиц. Ограничения в обоих пунктах не затрагивают получение доступа к таким ПДн. 

Например, вы можете разрешить размещение ПДн в составе отзыва только на сайте компании, запретив их публикацию в социальных сетях и на других ресурсах.

В отличие от общедоступных источников ПДн, персональные данные, разрешенные субъектом для распространения, предназначены для публикации заранее не модерируемого объема персональных данных в сети Интернет. К типовым случаям использования данной категории ПДн можно отнести:

• Публикацию ПДн в социальных сетях или на торговых площадках — например, в профиле на сайте услуг как специалист и мастер;

• Публикацию статей в различных изданиях и сообществах;

• Размещение отзывов клиентов на интернет-ресурсах компании;

• Размещение данных о сотрудниках компании в сети Интернет в целях продвижения услуг и товаров компании.

Зачастую на сайтах компаний публикуются данные ответственных за различные вопросы сотрудников (ФИО, должность, контакты и др.), при этом применяются ПДн, разрешенные субъектом ПДн для распространения. В случае с размещением таких данных о работниках на внутренних корпоративных порталах речь о данной категории не идет, так как доступ к информации предоставлен ограниченному кругу лиц — только сотрудникам компании.

Общей характеристикой ПДн, содержащихся в общедоступных источниках, и ПДн, разрешенных субъектом для распространения, является наличие доступа к ним у неограниченного круга лиц. 

К различиям относится, во-первых, то, что целью создания общедоступных источников ПДн выступает информирование, в то время как ресурсы, на которых размещены ПДн, разрешенные для распространения субъектом ПДн, могут использоваться для различных целей, в том числе, маркетинговых. Во-вторых, единственным основанием включения персональных данных субъекта ПДн в общедоступные источники выступает письменное согласие субъекта ПДн, тогда как для распространения ПДн необходимо получить согласие в любой доказуемой форме.

При этом использование этой категории ПДн может отвечать тем же целям, что и создание общедоступных источников ПДн, так как распространение ПДн может проводиться, в том числе, с целью информирования и создания справочников. С учетом указанных особенностей в некоторых ситуациях целесообразнее применять категорию ПДн, разрешенных для распространения.

Для обработки ПДн, разрешенных для распространения, необходимо получить согласие субъекта ПДн в соответствии со ст. 10.1 152-ФЗ. В него должно быть включено следующее (Приказ Роскомнадзора от 24.02.21 г. № 18):

• ФИО субъекта ПДн; 

• Контактная информация — номер телефона, адрес электронной почты или почтовый адрес субъекта ПДн;

• Сведения об операторе; 

• Цели обработки ПДн;

• Категории ПДн;

• Перечень ПДн, на обработку которых дается согласие; 

• Разрешения и запреты на распространение ПДн;

• Дополнительные условия для распространения ПДн; 

• Особые условия обработки оператором ПДн; 

• Срок действия согласия; 

• Адрес ресурса, на котором будут размещаться такие ПДн — адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы, на которых будут размещаться ПДн.

Важно:

• Указание в согласии специальных категорий и биометрических ПДн допускается в случае предварительного получения оператором согласия субъекта ПДн в письменной форме на обработку таких данных в соответствии с ст. 10 и 11 № 152-ФЗ. 

• Согласие не может быть включено в единое согласие на обработку ПДн или в текст договора. 

• Только сам субъект ПДн может предоставить оператору согласия на обработку ПДн, разрешенных для распространения. 

• Согласие может быть дано непосредственно оператору в электронном или бумажном виде или через информационную систему Роскомнадзора.

Также субъект ПДн, давший согласие на распространение ПДн, в любой момент может отозвать его, направив оператору запрос. После получения требования оператор должен прекратить обработку и распространение ПДн.

Для включения ПДн в общедоступные источники требуется получение письменного согласия их субъекта. Общие требования к согласиям на обработку ПДн в письменном виде приведены в ст. 9 № 152-ФЗ. 

Согласие на включение ПДн в общедоступный источник ПДн должно содержать следующие сведения:

• ФИО, адрес, номер паспорта субъекта ПДн; 

• Наименование оператора;

• Перечень ПДн; 

• Цель обработки ПДн; 

• Перечень действий с ПДн; 

• Срок действия согласия; 

• Подпись субъекта ПДн.

Субъект ПДн может отправить владельцу общедоступного источника заявление об исключении своих ПДн из него. После получения требования обработка и публикация ПДн должны быть прекращены. 

Законодательство напрямую не определяет содержание такого заявления, поэтому рекомендуем добавить следующие сведения в форму отзыва согласия:

• ФИО;

• Адрес; 

• Наименование общедоступного источника ПДн с указанием адреса сайта, года публикации или выпускающего издательства.

• Требование об исключении персональных данных заявителя из указанного источника.

Категория «общедоступные ПДн» была исключена из 152-ФЗ в 2020 году, вместо него было введено понятие ПДн, разрешенных субъектом для распространения. Несмотря на это, в законодательстве остались термины, связанные с общедоступными ПДн — например, ИС, обрабатывающие общедоступные ПДн, и общедоступные источники ПДн.

Общедоступные источники ПДн используются компаниями на практике, однако следует учитывать ограничения при публикации данных в таких источниках. 

С введением понятия ПДн, разрешенных субъектом для распространения, появилась возможность для субъектов ПДн определять, какие именно данные, в каком объеме и на каких условиях они разрешают распространять. 

Персональные данные, разрешенные субъектом для распространения, и персональные данные, включенные в общедоступные источники — это разные категория с отличающимися основаниями и условиями их обработки. Тем не менее, операторам важно учитывать законодательные требования, регламентирующие обработку и распространение каждой из категорий ПДн. Субъект ПДн может потребовать прекратить обработку любой из категорий ПДн, и оператор обязан после получения требования удалить данные из своих источников.

Операторам необходимо различать две категории ПДн и, при необходимости, собирать два отдельных согласия: письменное – для включения в общедоступные источники ПДн, письменное или электронное — о распространении ПДн неограниченному кругу лиц.