Очень важно обратить внимание на то, что до 1 марта 2021 года действовала правовая конструкция Федерального закона "О персональных данных", которая не препятствовала третьим лицам осуществлять сбор и последующее неконтролируемое использование персональных данных на интернет-сайтах в целях, отличных от цели их первоначального распространения, а равно с ориентиром на иные целевые аудитории.
После внесения в названный закон изменений правовая ситуация поменялась принципиально.
В настоящее время согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно от иных согласий. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на их обработку для распространения.
К примеру, если гражданин разместил свои персональные данные на сайте поиска работы (резюме), использовать такие данные на иных ресурсах запрещено, так как это уже будет обработкой персональных данных в иных целях.
Кроме того, оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой категории, указанной в таком согласии. Субъект также имеет право ограничить обработку персональных данных оператором – например, если в согласии не было прямого разрешения на распространение персональных данных, оператор имеет право их обрабатывать, но без распространения.
За нарушение закона в сфере защиты персональных данных установлена административная ответственность по статье 13.11 КоАП РФ. Полномочия по составлению протоколов за указанное нарушение предоставлены органам Роскомнадзора.
Под ответственность попадают все операторы, которые выкладывают персональные данные в общий доступ. К таким оператором относятся, например, социальные сети. Таким образом, согласие может быть предоставлено непосредственно оператору, то есть направлено в письменном виде самой социальной сети. С 1 июля 2021 года предоставление согласия можно совершать с использованием системы Роскомнадзора как уполномоченного органа по защите прав субъектов персональных данных.
Любое лицо, чьи персональные данные находятся в общем доступе, может прекратить такую обработку, включая передачу, распространение, предоставление и доступ к персональным данным. Закон определяет перечень сведений, которые должно содержать такое требование:
ФИО;
контактная информация (например, номер телефона, адрес электронной почты);
перечень персональных данных, обработка которых подлежит прекращению.
Таким образом, с момента поступления оператору соответствующего требования прекращается действие согласия на обработку персональных данных, разрешенных для распространения. Оператор обязан прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных.
Также субъект имеет право обратиться с соответствующим требованием в суд. Оператор обязан прекратить передачу персональных данных в срок, указанный во вступившем в законную силу решении суда. Если такого указания в решении суда нет – в течение трех рабочих дней с момента вступления решения суда в законную силу.
Важно помнить, что субъект персональных данных вправе обратиться с таким требованием к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений законодательства. Иными словами, гражданство и местонахождение оператора не имеют значения – если осуществляется обработка персональных данных субъекта-гражданина РФ, то требования закона на этот случай распространяется.
