Речь идет о поправках к закону о персональных данных, что вступили в силу в марте. Теперь любые персональные данные обязаны убрать откуда угодно по первому требованию их владельца. Причем владельцу не надо ничего никому доказывать и объяснять.
Ситуация одновременно и правильная, и проблемная. Причем проблемы появятся (по факту уже появились) у всех владельцев сайтов, интернет-площадок и СМИ, кто так или иначе взаимодействует с пользователями.
Что касается нововведений, я попытался разложить все по полочкам. А еще собрал в отдельный список то, что придется поменять и добавить владельцам сайтов.
С чего началось
Бесконтрольный сбор персональных данных кем ни попадя, торговля ими, попытки манипулировать людьми, рынками и общественным мнением на основе анализа этих данных, черный пиар, клевета, публичные оскорбления, травля, создание «волн ненависти» и многое другое — все эти вещи заставили задуматься о дополнительных мерах.
Поворотным пунктом стало принятие регламента GDPR в Евросоюзе в 2018 году взамен рамочной Директивы о защите персональных данных 95/46/ЕС от 24 октября 1995 года. Однако аналогичные шаги предпринимают много где. В России с 2006 года действует Закон от 27.07.2006 № 152-ФЗ «О персональных данных» с последующими изменениями и дополнениями. Под занавес 2020 года, 30 декабря, президентом был подписан Закон № 519-ФЗ, вносящий в предыдущий документ довольно серьезные изменения. Он вступил в силу с 1 марта 2021 года, то есть эти поправки уже действуют, и все должны им следовать.
О чем речь
У нас есть персональные данные (ст. 3 п. 1 Закона №152-ФЗ от 27.07.2006):
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
субъект персональных данных (определение не дано, выводится косвенно):
субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
И оператор персональных данных (ст. 3 п. 2):
оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных.
К персональным данным относится любая информация, которая позволяет прямо или косвенно идентифицировать конкретного человека. А в понятие операторов включены даже физические лица, то есть лично вы становитесь оператором персональных данных, получив от человека его имя и номер телефона. Так что каждый из нас ежедневно оказывается с обеих сторон баррикад.
Теперь должны удалять по первому требованию
Закон № 519-ФЗ создает отдельное регулирование для ситуации, когда персональные данные (ПД) становятся доступны «для неограниченного круга лиц».
Что такое неограниченный круг лиц? Это когда увидеть их может любой случайный человек — что на улице, что в интернете. Если для того, чтобы увидеть ПД, нужно ввести имя пользователя и пароль (или пройти другие процедуры идентификации) — это уже не будет считаться неограниченным кругом лиц. Например, закрытые страницы ВКонтакте, которые можно увидеть, только выполнив вход, не должны считаться доступными для неограниченного круга лиц.
Итак, новый закон вводит следующее:
Любое распространение ПД оператором или предоставление доступа к ним для неограниченного круга лиц возможно только с согласия субъекта ПД. Причем это согласие он обязательно должен выразить в активной форме, то есть высказать его, составить письменный документ или произвести какие-либо действия. Согласие «по умолчанию» не допускается. Нельзя сказать: «ну, мы подразумевали, что раз человек произнес свое имя на камеру, то он согласен на его публикацию». Поэтому мы у себя в Leader-ID посчитали, что даже проставленная по умолчанию галочка в поле «я даю согласие на…» — уже, скорее всего, нарушение.
Закон позволяет в самом согласии указать, какие категории ПД можно опубликовать, а какие нельзя. Например, субъект ПД может указать, что фамилию и имя публиковать можно, а мобильный телефон или адрес — нельзя. Это называется «персональные данные, разрешенные субъектом персональных данных для распространения».
Оператор обязан обеспечить возможность субъекту ПД при предоставлении согласия также установить условия или запреты для публичного распространения конкретных категорий ПД.
Оператор обязан довести информацию из согласия (какую именно информацию и как публиковать, что можно или нельзя делать, если субъект ПД указал специфические особенности ее обработки) до сведения пользователей этих ПД (ст. 10.1 п. 11).
Субъект ПД может в любое время отозвать согласие на публикацию своих ПД.В этом случае он направляет требование с указанием фамилии, имени, отчества, контактной информации (телефон, email или почтовый адрес) и перечня данных, которые больше нельзя обрабатывать и публиковать. Оператор (а точнее, в законе сказано «любое лицо», то есть кто угодно, кто их опубликовал) обязан в течение трех дней с момента получения требования или аналогичного по смыслу судебного решения прекратить любое распространение и любой доступ к таким ПД.
Причем тут Роскомнадзор
Закон № 519-ФЗ предусматривает три основных направления работы Роскомнадзора:
Издать ведомственный акт относительно формы согласия на публикацию с указанием обязательных реквизитов документа (данных, которые там должны быть) и описанием примерной формы документа. Проект такого приказа есть, но он не подписан. То есть к моменту вступления закона в силу подзаконный акт не готов.
UPD: 21 апреля 2021 года Роскомнадзор подписал и зарегистрировал приказ № 63204: «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Приказ вступит в силу с 1 сентября 2021 года и будет действовать шесть лет.
К 1 июля создать систему управления согласиями. Уже есть опубликованный для общественного обсуждения проект. Согласно ему должен быть создан реестр субъектов ПД, который позволяет идентифицировать стороны с помощью ЕСИА (Единой системы идентификации и аутентификации). Помимо идентификации сторон отношений, в ней должен быть реестр согласий с возможностью изменить и отозвать согласие (в этом случае оператору направляется уведомление). Но проект написан таким языком, что сложно понять, как система будет работать и что конкретно в ней будет.
Проверять соблюдение законодательства о персональных данных — как по заявлениям, так и по собственной инициативе.
Несанкционированное распространение: верблюдом может стать каждый
Самая интересная часть нового закона — нормы о несанкционированном распространении ПД в адрес неограниченного круга лиц. Это п. 2 и 3 ст. 10.1 Закона № 519-ФЗ. Переформулируем их для понятности.
Если специальное согласие не оформлено, то каждый, кто распространил эти ПД (не первый оператор ПД, а вообще все, кто разместил их в открытом доступе!), обязан доказывать законность такого распространения, обработки, предоставления доступа и т.д.
Если эти ПД стали достоянием неограниченного круга лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы (речь, скорее всего, идет о «сливах», то есть взломе компьютерных систем или ином попадании данных в открытый доступ без разрешения), то и в этом случае каждое лицо, разместившее ПД в открытом доступе либо иным образом опубликовавшее их, должно отдельно доказывать законность своих действий.
Судя по всему, в обоих случаях публикация или перепубликация персональных данных без разрешения их владельца будет правонарушением. Причем исходя из буквы закона речь может идти даже о таких ситуациях, как перепечатка статьи из СМИ с указанием фамилии и имени (например, размещение у себя на странице в соцсети) или, например, размещение у себя афиши концерта или спектакля с указанием имен выступающих артистов.
В сопроводительной записке к законопроекту депутаты Госдумы указали, что теперь субъект ПД имеет право обратиться к любому оператору ПД с требованием удалить его данные из общего доступа без необходимости доказывания факта их неправомерной обработки.
То есть бремя доказывания перекладывается с лица, требующего удалить данные, на того, кто их публикует (открывает доступ). Это серьезнейшим образом меняет баланс сил в случае спора сторон.
Получаем три радикальных новшества
Во-первых, теперь субъект ПД может напрямую обращаться к любому лицу, опубликовавшему ПД и требовать их убрать. Ему не нужно ничего доказывать, ничего объяснять — самого факта размещения ПД достаточно.
Во-вторых, законность размещения теперь должен доказывать разместивший, причем изначально он находится в крайне невыгодной ситуации, потому что у него должно быть формальное разрешение на публикацию от самого субъекта.
В-третьих, обращаться можно напрямую к любому опубликовавшему, то есть не нужно искать источник распространения, разбираться с ним, а потом бороться с репостами. Достаточно самого факта, что это ПД определенного субъекта. Так можно очень быстро заставить убрать любые опубликованные ПД отовсюду или выбрать, где их можно оставить, а откуда убрать (например, если согласие на публикацию дали одному СМИ, то остальных, видимо, можно заставить убрать ПД из перепечаток). Причем даже если согласие на распространение было дано, его легко можно отозвать.
Борьба с черным пиаром
Есть известная схема распространения неподтвержденной негативной информации, которую очень часто применяют для черного пиара: публикуют ПД в любом анонимном источнике, соцсети, телеграм-канале — а дальше начинается их перепубликация со ссылкой на этот источник. Потом первую публикацию (а иногда и учетную запись или вообще сайт целиком) удаляют, и получается, что претензии предъявлять вроде некому, а публикации остаются. И чтобы убрать их, придется в каждом случае доказывать нарушение прав — что долго, сложно и дорого. Теперь субъект ПД может почти мгновенно удалять любые свои персональные данные из интернета, ему не надо доказывать вообще ничего, кроме того, что это его ПД.
Оговорка для СМИ, или когда вокруг загорелось
Формально в п. 11 ст. 10.1 содержится исключение:
Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
В теории, наверное, это исключение позволяет размещать информацию, например, о совершенном преступлении, о некачественном оказании услуг и т.д. Но, во-первых, теперь уже разместившему придется доказывать Роскомнадзору или суду, что существует какой-то «общественный или публичный интерес», а во-вторых, вы что-нибудь поняли в формулировках этой статьи? Я, если честно, не очень.
Также стоит отметить, что закон носит явно выраженный экстерриториальный характер, то есть обращаться можно к любому оператору, и он обязан выполнить требование, если субъект ПД находится в российской юрисдикции. Если же не выполнит, то Роскомнадзор может «начать замедление».
Но, как известно, любой закон мертв без возможности к принудительному исполнению. Поэтому рассмотрим штрафы за его несоблюдение.
Ответственность и штрафы
Ответственность регламентируется ст. 13.11 КоАП РФ. 24 февраля 2021 года был принят Закон № 19-ФЗ с поправками в КоАП РФ, явно разработанный под новый Закон № 519-ФЗ, который коренным образом изменил положения статьи. Например, в общем случае штрафы за обработку ПД без разрешения или с нарушением закона выглядят так:
Категория лиц | Раньше | После поправок (в скобках — повторный случай) |
Граждане | 3–5 тыс. руб. | 2–6 (4–12) тыс. руб. |
Должностные лица | 10–20 тыс. руб. | 10–20 (20–50) тыс. руб. |
ИП | * | (50–100) тыс. руб. |
Юридические лица | 15–75 тыс. руб. | 60–100 (100–300) тыс. руб. |
*ИП в ч. 1 не упомянуты. Как считать первый штраф — непонятно. Зачастую (в том числе в других частях этой статьи) ИП приравниваются к юрлицам, но тогда получается, что первый штраф будет больше повторного, что нелогично.
Вот несколько других штрафов, чтобы понять масштаб возможной ответственности.
Пункт 2: применяется, когда речь идет только о неполучении согласия (в скобках — за повторное нарушение):
Граждане — 6–10 (10–20) тыс. руб.
Должностные лица — 20–40 (40–100) тыс. руб.
Юридические лица — 30–150 (300–500) тыс. руб.
Пункт 5: невыполнение требования о коррекции или удалении данных (в скобках — за повторное нарушение):
Граждане — 2–4 (20–30) тыс. руб.
Должностные лица — 8–20 (30–50) тыс. руб.
ИП — 20–40 (50–100) тыс. руб.
Юридические лица — 50–90 (300–500) тыс. руб.
Пункт 8: необеспечение обработки, хранения, записи или систематизации ПД на территории РФ (привет, LinkedIn; в скобках — за повторное нарушение, ИП приравнены к юрлицам):
Граждане — 30–50 (50–100) тыс. руб.
Должностные лица — 100–200 (500–800) тыс. руб.
Юридические лица — 1000–6000 (6000–18 000) тыс. руб.
В общем, все довольно сурово.
Что нужно сделать операторам персональных данных
Как видно, забот владельцам интернет-ресурсов, которые допускают публичное отображение персональных данных, сильно прибавилось. Но нужно помнить — вы подпадаете под требования нового закона только в том случае, если у вас есть возможность публиковать персональные данные.
В принципе даже интернет-форумы могут этого избежать: можно исключить отображение личных данных без регистрации (а отображаемое имя пользователя явно обозначить как «интернет-псевдоним») или можно вообще отключить показ страниц с сообщениями без регистрации.
Последним вы сильно снизите посещаемость, но зато это не будет «распространением для неограниченного круга лиц».
Нам эти варианты не подходили, и мы пошли трудным путем.
Вот список работ, которые пришлось сделать:
Разработать форму согласия на публикацию персональных данных, в которой учтены требования Роскомнадзора (которые сами по себе еще не устоялись).
Разместить у себя отдельную форму согласия на публикацию и сделать так, чтобы пользователи имели возможность дать свое разрешение.
Обеспечить возможность управлять условиями и запретами на публикацию конкретных категорий ПД, возможность дальнейшего управления этими разрешениями, например, в личном кабинете.
Проработать процедуры на случай получения требования об отзыве согласия на публикацию ПД.
Теперь пользователь при регистрации должен проставить отдельную галочку согласия на публикацию ПД. Несовершеннолетние пользователи получают экземпляр согласия в PDF, который им нужно подписать у одного из родителей или опекунов и загрузить на сайт.
У старых пользователей появлялось всплывающее окно, предлагающее согласиться на публикацию ПД в рамках нашего сайта.
Разумеется, у пользователей есть возможность отказаться от публикации любых категорий ПД, в этом случае эти ПД больше нельзя будет показывать на открытой части сайта.
В большинстве случаев это не страшно, просто профиль будет содержать меньше информации. В некоторых случаях больше нельзя будет воспользоваться какими-то возможностями, а если запретить публикацию ключевых данных, например, фамилии, имени и отчества, то функциональность пострадает довольно сильно.
Например, без такого согласия не получится указать данные спикера в анонсе конференции или иного мероприятия.
Ну и нужно контролировать обратную связь на случай, если кто-то будет присылать требование об отзыве согласия. В нашем случае мы оговорили этот момент в тексте согласия, оставив один вариант — письмом на электронную почту.
Как мне видится, наибольшая нагрузка ляжет на соцсети — как с точки зрения управления сбором и контролем данных, так и касательно требований об удалении. Пока некоторые из них пошли «путем Яндекса», то есть включили в соглашение об использовании ПД новую норму, что они являются информационным посредником и всего лишь передают дальше те ПД, которые пользователь уже решил через них опубликовать. Причем они даже не проверяют, правильные ли это ПД и ПД ли вообще (например, может быть псевдоним).
Сейчас такая стратегия требует меньше всего усилий, но в будущем может принести много проблем. Напомним, Яндекс занял аналогичную позицию в делах о такси — что компания является всего лишь информационным посредником и «сводит» между собой стороны, а уж что между ними происходит дальше, не ее проблема. В последнее время суды все чаще признают Яндекс не посредником, а именно организатором перевозок, несущим ответственность за их результаты — в том числе ущерб от ДТП и ущерб здоровью. Возможно, в аналогичный капкан могут попасть и эти соцсети.
Абстрактные плюсы
Итак, теперь любой человек может потребовать удалить любую его личную информацию, размещенную любым лицом на любом ресурсе сети интернет. Это может быть СМИ, интернет-форум, любая личная страничка в интернете. Причем сама процедура для заявителя очень упростилась: достаточно потребовать убрать ПД и подтвердить свою личность (что в будущем можно будет сделать через сайт Роскомнадзора). И все. Больше не нужны никакие разбирательства, судебные процессы, заявителю не надо что-либо доказывать.
Это дает в руки мощный инструмент борьбы с черным пиаром, дискредитацией, клеветническими кампаниями в интернете, травлей, распространением лжи и так далее. Мы на это редко обращаем внимание, но на самом деле попытки оболгать, испортить репутацию, оклеветать специалистов (врачей, юристов, архитекторов) и даже просто обычных людей из личной неприязни происходят постоянно.
Реальные минусы
Новые требования существенно усложняют работу с ПД, увеличивая документооборот, а также создают неопределенность, ведь в будущем согласие может быть отозвано, и придется тратить дополнительные усилия на выполнение этого требования.
К тому же складывается впечатление, что закон писался исключительно под интернет и его механизмы (разумеется, с использованием передового зарубежного опыта), и разработчики совершенно не учли особенности других средств коммуникации и СМИ, таких как телевидение или бумажная пресса. Объем бумажек вырастет серьезно, причем в некоторых случаях вообще непонятно, как быть. Например, что делать, если интервью уже опубликовали в бумажном издании, и тут субъект ПД вдруг решил отозвать согласие на публикацию своего имени? Изымать и уничтожать весь тираж?
Еще может возникнуть очень много проблем в сферах, о которых вообще никто никогда не задумывался. Например, нужно ли получать согласие всех музыкантов, участвующих в концерте, чьи имена перечислены в программке? А если вы выкладываете на YouTube ролик, где написано «монтаж — Иван Иванов», то теперь нужно лично брать согласие у Ивана Иванова? Получается, что реклама исполнителя превращается в довольно бумагозатратное мероприятие. А что делать, если через год вы поругались с Иваном Ивановым, и он из мести отозвал согласие, а у вас на канале выпущено 200 роликов, где вы говорите в произвольном месте: «Спасибо Ване Иванову за монтаж»?
А если в холле школы повесили красивый транспарант «Поздравляем Машу Иванову с победой в шахматном конкурсе», но не взяли у папы Маши отдельное письменное согласие на это, хранящееся в личном деле, — то будет штраф? А вывешенный на дверях школы список участников поездки (экзаменационных групп, кружков и т.д.) — как быть с ним? Таких ситуаций возникнет миллион, и следующие несколько лет государство будет переваривать последствия нового закона.
Наконец, есть еще один непонятный момент — фактически первыми, кто воспользуется этим законом, будут «инфоцыгане», действующие на грани закона мошенники, неквалифицированные специалисты (например, врачи, к работе которых есть нарекания). Закон дает им мощный инструмент борьбы с негативными отзывами и фактически делает их неуязвимыми для сарафанного радио. Причем теперь они могут бомбардировать весь интернет требованиями убрать негативную информацию о них. И лицам, операторам сайтов и соцсетей, уже распространившим информацию о них, придется доказывать, что в деле есть «общественный интерес». Между прочим, кейсов, связанных с негативными отзывами, в том числе на нерадивых врачей, было немало, и теперь они получили в руки средство цензуры.