Образ ответа можно посмотреть в телеграм.
В соответствии с пунктом 1.1 статьи 3 Закона «персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом».
Единственным правовым основанием, которое свидетельствует о том, что субъект персональных данных разрешил распространять персональные данные, является согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Данное согласие является также и единственным правовым основанием для обработки любыми третьими лицами персональных данных, возможность для обработки которых возникает в случае, если субъект персональных данных разрешил оператору персональных данных распространять их неограниченному кругу лиц.
Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения (далее – Требования), утверждены приказом Роскомнадзора от 24.02.2021 № 18.
В соответствии с частью 9 статьи 10.1 Закона в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.
Согласно пп. 7-8 Требований данные пункты заполняются по желанию субъекта персональных данных.
Таким образом, право установления в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, перечня устанавливаемых условий и запретов находится в компетенции субъекта персональных данных и не предусматривает участия оператора в его реализации.
Относительно отнесения определенных действий к распространению персональных данных сообщаем, что в соответствии с пунктом 5 статьи 3 Закона распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
В этой связи применительно к комментируемой ситуации, а именно: при условиях, связанных с размещением персональных данных работников и (или) клиентов в мобильном приложении с возможностью доступа к размещаемым данным только зарегистрированным пользователям (работникам и (или) клиентам), не будет являться распространением персональных данных, в связи с чем Требования не подлежат применению.
Обращаем Ваше внимание, что согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, предоставляется непосредственно оператору, осуществляющему обработку персональных данных, и указанные персональные данные могут обрабатываться только оператором, которому предоставлено указанное согласие.
В соответствии с частью 14 статьи 10.1 Закона оператор обязан прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.
Вместе с тем положения части 5 статьи 21 Закона не распространяются применительно к обработке персональных данных, разрешенных субъектом персональных данных для распространения.
Относительно использования информационной системы Роскомнадзора сообщаем, что в соответствии с пунктом 3 приказа Роскомнадзора от 21.06.2021 № 106 «Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором» согласие, соответствующее требованиям, установленным согласно части 9 статьи 9 Закона, предоставляется и отзывается субъектом персональных данных на информационном ресурсе оператора в порядке, установленном постановлением Правительства Российской Федерации от 28.11.2011 № 977 «О федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме (далее – ФГИС «ЕСИА»)». Информируем, что приказ Роскомнадзора от 21.06.2021 № 106 вступает в законную силу с 1.03.2022.
Таким образом, реализация возможности предоставления оператору согласия на обработку персональных данных с использованием информационной системы будет осуществлена с учетом вышеуказанного срока. Информирование операторов о поступлении согласия, предусмотренного статьей 10.1 Закона, будет осуществляться с учетом функционала ФГИС «ЕСИА».
