Приняты изменения закона 152-ФЗ в части распространения ПДн неограниченному кругу лиц

Обзор поправок 152-ФЗ «О персональных данных» от 30.12.2020

1. В первую очередь введено новое понятие «персональные данные, разрешенные субъектом персональных данных для распространения». Это такие ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
2. Условие, допускающее обработку общедоступных персональных данных (пункт 10 части 1 статьи 6) из закона 152-ФЗ будет удалено.
3. Требования к содержанию согласия на распространение персональных данных будут установлены Роскомнадзором.
4. Обработка специальных категорий персональных данных, разрешенных субъектом ПДн для распространения, должна осуществляться с соблюдением запретов и условий, предусмотренных новой статьёй 10.1:
   • согласие на обработку персональных данных, разрешенных субъектом ПДн для распространения, должно оформляться отдельно от иных согласий субъекта;
   • должна быть обеспечена возможность субъекта определить перечень персональных данных, на распространение которых он дает своё согласие;
   • если оператор не имеет согласия субъекта, он обязан предоставить доказательства законности последующего распространения или иной обработки таких персональных данных;
   • оператор не имеет права распространять персональные данные, если из согласия не следует, что субъект персональных данных согласился с распространением;
   • оператор не имеет права распространять персональные данные, если в согласии не установлены запреты и условия или не указаны категории и перечень ПДн, в отношении которых установлены такие запреты и условия;
   • согласие на распространение персональных данных, может быть предоставлено оператору непосредственно либо с использованием информационной системы Роскомнадзора (должна быть запущена до 1 июля 2021г);
   • порядок взаимодействия субъекта ПДн с оператором, а также правила использования вышеуказанной информационной системы должны быть определены Роскомнадзором;
   • молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не могут считаться согласием на распространение ПДн;
   • в согласии на распространение субъект вправе установить запреты оператором на передачу (кроме предоставления доступа), на обработку или условия обработки (кроме получения доступа) персональных данных неограниченному кругу лиц;
   • оператор в течение трех рабочих дней с момента получения соответствующего согласия субъекта обязан опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц распространяемых ПДн;
   • установленные субъектом запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) распространяемых персональных данных не распространяются на случаи обработки ПДн в государственных, общественных и иных публичных интересах, определенных законодательством РФ;
   • передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом для распространения, должна быть прекращена по требованию субъекта в любое время;
   • требование субъекта о прекращении распространения ПДн должно включать ФИО субъекта, контактную информацию (телефон, e-mail или почтовый адрес), а также перечень персональных данных, распространение которых подлежит прекращению;
   • действие согласия субъекта на распространение персональных данных прекращается с момента поступления оператору вышеуказанного требования;
   • субъект вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений закона или обратиться с таким требованием в суд, а указанное лицо обязано прекратить распространение персональных данных в течение трех рабочих дней с момента получения такого требования от субъекта;
   • требования данной статьи не применяются в случае обработки ПДн в целях выполнения возложенных законодательством РФ на органы власти функций, полномочий и обязанностей.
5. Оператор освобождается от обязанности предоставить субъекту ПДн сведения об обработке персональных данных, предусмотренные частью 3 статьи 18 закона 152-ФЗ в случаях, если распространение персональных данных осуществляется с соблюдением запретов и условий, предусмотренных новой статьей 10.1.
6. Оператор вправе осуществлять без уведомления Роскомнадзора обработку ПДн, разрешенных субъектом для распространения при условии соблюдения оператором запретов и условий, предусмотренных новой статьей 10.1.