«Обезличенные данные» или что планируется в 152-ФЗ

Краткая выдержка из законопроекта о внесении изменений в Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (152-ФЗ). С данными правками 152-ФЗ «позволит торговать» Big Data, усилит права оператора персональных данных. Возможно читателям будет интересно обратить внимание на ключевые моменты. Для детального разбора конечно же рекомендуется читать первоисточник.

Как указано в пояснительной записке:

Законопроект разработан во исполнение пункта 01.01.003.002.001 плана мероприятий по направлению «Нормативное регулирование» программы «Цифровая экономика», утвержденного Правительственной комиссией по использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности 18 декабря 2017 г., протокол № 2.

Что кажется наиболее интересным?

(Ниже по тексту в отсылках везде имеется ввиду 152-ФЗ)

  1. Встречаем «Обезличенные данные».

    «Обезличенные данные» не равно «Обезличенные персональные данные». «Обезличенные данные» тождественны анонимизированным персональным данным, описанным например здесь в контексте GDPR.

  2. Рождается еще одно согласие: на обработку персональных данных, несовместимую с целями сбора персональных данных (дополняется ч. 2 ст. 5).
  3. Обработка персональных данных теперь будет допускаться для предотвращения имущественного ущерба, предупреждения и предотвращения противоправных деяний (изменение в п. 7 ч.1 ст. 6) и для достижения общественно значимых целей (дополняется п. 7.1. ч. 1 ст.6).
  4. В п. 9 ч. 1 ст. 6 «или иных исследовательских» меняются на «исследовательских и (или) аналитических» (важный момент, вернемся ниже).
  5. Новое основание обработки в ч. 1 ст. 6 «12) осуществляется обработка персональных данных, полученных оператором на законных основаниях, в целях получения обезличенных данных». Здесь легализуется обработка по обезличиванию данных без участия субъекта персональных данных.
  6. Добавляется ст. 8.1., которая допускает гражданско — правовой оборот обезличенных персональных данных. Т.е. данные можно будет использовать для коммерческих целей, продавать третьим лицам. При статистических, исследовательских и (или) аналитических целях согласие субъекта на это не требуется.
  7. Если при обработке обезличенных персональных данных теряется «обезличенность», согласие в последующем можно не спрашивать (но законное основание подобрать придется). На это указывает добавленная «(или)» во фразе «…осуществляется с согласия субъекта персональных данных и(или) при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6…».
  8. Обезличенные данные могут использоваться свободно без согласия субъекта (изменения по ч. 4 ст. 8.1).
  9. Требования и методы обезличивания отнесены на уровень Правительства РФ.
  10. Уточняются формы получения персональных данных по ч. 1 ст. 9, формально легализуются электронные формы получения согласия: СМС, форма на сайте, иные способы.
  11. Субъект персональных данных будет иметь возможность изменить состав целей обработки персональных данных, заявленных в (едином) согласии. Здесь отменяется принцип: «Одна цель – одно согласие». Соответствующие изменения по объединению целей вносятся в ч. 4 ст. 9. В случае отказа оператора персональных данных внести изменение в согласие, мотивированный отказ можно будет обжаловать в Роскомнадзор.
  12. По ч. 4 ст. 9 упрощается подписание согласия в электронной форме, теперь вместо «в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью» планируется так: «подписанное в соответствии с федеральным законом электронной подписью или подтвержденное любым способом, позволяющим достоверно определить субъекта персональных данных и установить его волеизъявление».
  13. По факту легализуется неформально существующая практика публикации на сайте перечня третьих лиц, обрабатывающих персональные данные .

Как сообщает Телеграм-канал Privacy Experts (@privacyexperts):

Законопроект содержит широко трактуемые понятия. Например, «предупреждения и предотвращения противоправных деяний» или «общественно значимые цели».

В тоже время, законопроект не содержит решений, если в результате обработки совокупности данных станет возможным отнесение отдельных персональных данных к конкретному субъекту.

Видно, что положение субъекта персональных данных ухудшается, в то же время не исключены риски для оператора персональных данных, связанные с документированием процессов обработки персональных данных по новым видам обработки.

Не ясно в каком порядке нужно удалять данные при изменении целей обработки в «Едином согласии».

Пояснительная записка завершается указанием на то, что законопроект соответствует положениям Договора о Евразийском экономическом союзе ‎от 29 мая 2014 года, а также положениям иных международных договоров Российской Федерации, и не повлияет на индикаторы государственных программ Российской Федерации и их результаты.

Источник: habr.com