Кароткая вытрымка з законапраекта аб унясенні змяненняў у Федэральны закон ад 27.07.2006/152/152 N 152-ФЗ «Аб персанальных дадзеных» (XNUMX-ФЗ). З дадзенымі праўкамі XNUMX-ФЗ "дазволіць гандляваць" Big Data, узмоцніць правы аператара персанальных дадзеных. Магчыма чытачам будзе цікава звярнуць увагу на ключавыя моманты. Для дэталёвага разбору вядома ж рэкамендуецца чытаць .
Як паказана ў тлумачальнай запісцы:
Законапраект распрацаваны ў мэтах выканання пункта 01.01.003.002.001 плана мерапрыемстваў па накіраванні «Нарматыўнае рэгуляванне» праграмы «Лічбавая эканоміка», зацверджанага Урадавай камісіяй па выкарыстанні інфармацыйных тэхналогій для паляпшэння якасці жыцця і ўмоў вядзення прадпрымальніцкай дзейнасці 18 снежня 2017 г., пратакол
Што здаецца найболей цікавым?
(Ніжэй па тэксце ў адсылках ўсюды маецца на ўвазе 152-ФЗ)
- Сустракаем "Абясобленыя дадзеныя".
"Абезасобленыя дадзеныя" не роўна "Абасабленыя персанальныя дадзеныя". «Абасабленыя дадзеныя» тоесныя ананімізаваным персанальным дадзеным, апісаным напрыклад у кантэксце GDPR.
- Нараджаецца яшчэ адна згода: на апрацоўку персанальных дадзеных, несумяшчальную з мэтамі збору персанальных дадзеных (дапаўняецца ч. 2 ст. 5).
- Апрацоўка персанальных даных цяпер будзе дапускацца для прадухілення маёмаснай шкоды, папярэджання і прадухілення супрацьпраўных дзеянняў (змяненне ў п. 7 ч.1 арт. 6) і для дасягнення грамадска значных мэт (дапаўняецца п. 7.1. ч. 1 арт.6).
- У п. 9 ч. 1 арт. 6 "ці іншых даследчых" мяняюцца на "даследчых і (або) аналітычных" (важны момант, вернемся ніжэй).
- Новая падстава апрацоўкі ў ч. 1 арт. 6 "12) ажыццяўляецца апрацоўка персанальных дадзеных, атрыманых аператарам на законных падставах, у мэтах атрымання абязлічаных дадзеных". Тут легалізуецца апрацоўка па абязлічванні дадзеных без удзелу суб'екта персанальных дадзеных.
- Дадаецца арт. 8.1., якая дапускае грамадзянска - прававы абарот абязлічаных персанальных дадзеных. Г.зн. дадзеныя можна будзе выкарыстоўваць для камерцыйных мэт, прадаваць трэцім асобам. Пры статыстычных, даследчых і (або) аналітычных мэтах згода суб'екта на гэта не патрабуецца.
- Калі пры апрацоўцы абязлічаных персанальных дадзеных губляецца «обезличенность», згоду ў наступным можна не пытацца (але законную падставу падабраць давядзецца). На гэта паказвае дабаўленая "(або)" у фразе "…ажыццяўляецца са згоды суб'екта персанальных даных і(або) пры наяўнасці падстаў, указаных у пунктах 2-11 часткі 1 артыкула 6...".
- Абязлічаныя дадзеныя могуць выкарыстоўвацца свабодна без згоды суб'екта (змены па ч. 4 арт. 8.1).
- Патрабаванні і метады абязлічвання аднесены на ўзровень Урада РФ.
- Удакладняюцца формы атрымання персанальных даных па ч. 1 арт. 9, фармальна легалізуюцца электронныя формы атрымання згоды: СМС, форма на сайце, іншыя спосабы.
- Суб'ект персанальных дадзеных будзе мець магчымасць змяніць склад мэт апрацоўкі персанальных дадзеных, заяўленых у (адзінай) згодзе. Тут адмяняецца прынцып: «Адна мэта - адна згода». Адпаведныя змены па аб'яднанні мэт уносяцца ў ч. 4 арт. 9. У выпадку адмовы аператара персанальных дадзеных унесці змяненне ў згоду, матываваную адмову можна будзе абскардзіць у Раскамнагляд.
- Па ч. 4 арт. 9 спрашчаецца падпісанне згоды ў электроннай форме, зараз замест «у форме электроннага дакумента, падпісанага ў адпаведнасці з федэральным законам электронным подпісам» плануецца так: «падпісанае ў адпаведнасці з федэральным законам электронным подпісам або пацверджанае любым спосабам, які дазваляе дакладна вызначыць суб'екта персанальных дадзеных і ўсталяваць яго волевыяўленне».
- Па факце легалізуецца нефармальна існуючая практыка публікацыі на сайце пераліку трэціх асоб, якія апрацоўваюць персанальныя дадзеныя.
Як паведамляе Тэлеграм-канал Privacy Experts ():
Законапраект змяшчае паняцці, якія шырока трактуюцца. Напрыклад, "папярэджанні і прадухіленні супрацьпраўных дзеянняў" або "грамадска значныя мэты".
У той жа час, законапраект не змяшчае рашэнняў, калі ў выніку апрацоўкі сукупнасці даных стане магчымым аднясенне асобных персанальных даных да канкрэтнага суб'екта.
Відаць, што становішча суб'екта персанальных даных пагаршаецца, у той жа час не выключаны рызыкі для аператара персанальных даных, звязаныя з дакументаваннем працэсаў апрацоўкі персанальных даных па новых відах апрацоўкі.
Не ясна ў якім парадку трэба выдаляць дадзеныя пры змене мэт апрацоўкі ў «Адзінай згодзе».
Тлумачальная запіска завяршаецца ўказаннем на тое, што законапраект адпавядае палажэнням Дагавора аб Еўразійскім эканамічным саюзе ад 29 мая 2014 года, а таксама палажэнням іншых міжнародных дагавораў Расійскай Федэрацыі, і не паўплывае на індыкатары дзяржаўных праграм Расійскай Федэрацыі і іх вынікі.
Крыніца: habr.com