«Обезличенные данные» или что планируется в 152-ФЗ
Краткая выдержка из законопроекта о внесении изменений в Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (152-ФЗ). С данными правками 152-ФЗ «позволит торговать» Big Data, усилит права оператора персональных данных. Возможно читателям будет интересно обратить внимание на ключевые моменты. Для детального разбора конечно же рекомендуется читать первоисточник.
Как указано в пояснительной записке:
Законопроект разработан во исполнение пункта 01.01.003.002.001 плана мероприятий по направлению «Нормативное регулирование» программы «Цифровая экономика», утвержденного Правительственной комиссией по использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности 18 декабря 2017 г., протокол № 2.
Что кажется наиболее интересным?
(Ниже по тексту в отсылках везде имеется ввиду 152-ФЗ)
Встречаем «Обезличенные данные».
«Обезличенные данные» не равно «Обезличенные персональные данные». «Обезличенные данные» тождественны анонимизированным персональным данным, описанным например здесь в контексте GDPR.
Рождается еще одно согласие: на обработку персональных данных, несовместимую с целями сбора персональных данных (дополняется ч. 2 ст. 5).
Обработка персональных данных теперь будет допускаться для предотвращения имущественного ущерба, предупреждения и предотвращения противоправных деяний (изменение в п. 7 ч.1 ст. 6) и для достижения общественно значимых целей (дополняется п. 7.1. ч. 1 ст.6).
В п. 9 ч. 1 ст. 6 «или иных исследовательских» меняются на «исследовательских и (или) аналитических» (важный момент, вернемся ниже).
Новое основание обработки в ч. 1 ст. 6 «12) осуществляется обработка персональных данных, полученных оператором на законных основаниях, в целях получения обезличенных данных». Здесь легализуется обработка по обезличиванию данных без участия субъекта персональных данных.
Добавляется ст. 8.1., которая допускает гражданско — правовой оборот обезличенных персональных данных. Т.е. данные можно будет использовать для коммерческих целей, продавать третьим лицам. При статистических, исследовательских и (или) аналитических целях согласие субъекта на это не требуется.
Если при обработке обезличенных персональных данных теряется «обезличенность», согласие в последующем можно не спрашивать (но законное основание подобрать придется). На это указывает добавленная «(или)» во фразе «…осуществляется с согласия субъекта персональных данных и(или) при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6…».
Обезличенные данные могут использоваться свободно без согласия субъекта (изменения по ч. 4 ст. 8.1).
Требования и методы обезличивания отнесены на уровень Правительства РФ.
Уточняются формы получения персональных данных по ч. 1 ст. 9, формально легализуются электронные формы получения согласия: СМС, форма на сайте, иные способы.
Субъект персональных данных будет иметь возможность изменить состав целей обработки персональных данных, заявленных в (едином) согласии. Здесь отменяется принцип: «Одна цель – одно согласие». Соответствующие изменения по объединению целей вносятся в ч. 4 ст. 9. В случае отказа оператора персональных данных внести изменение в согласие, мотивированный отказ можно будет обжаловать в Роскомнадзор.
По ч. 4 ст. 9 упрощается подписание согласия в электронной форме, теперь вместо «в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью» планируется так: «подписанное в соответствии с федеральным законом электронной подписью или подтвержденное любым способом, позволяющим достоверно определить субъекта персональных данных и установить его волеизъявление».
По факту легализуется неформально существующая практика публикации на сайте перечня третьих лиц, обрабатывающих персональные данные .
Как сообщает Телеграм-канал Privacy Experts (@privacyexperts):
Законопроект содержит широко трактуемые понятия. Например, «предупреждения и предотвращения противоправных деяний» или «общественно значимые цели».
В тоже время, законопроект не содержит решений, если в результате обработки совокупности данных станет возможным отнесение отдельных персональных данных к конкретному субъекту.
Видно, что положение субъекта персональных данных ухудшается, в то же время не исключены риски для оператора персональных данных, связанные с документированием процессов обработки персональных данных по новым видам обработки.
Не ясно в каком порядке нужно удалять данные при изменении целей обработки в «Едином согласии».
Пояснительная записка завершается указанием на то, что законопроект соответствует положениям Договора о Евразийском экономическом союзе от 29 мая 2014 года, а также положениям иных международных договоров Российской Федерации, и не повлияет на индикаторы государственных программ Российской Федерации и их результаты.