« Données anonymisées » ou ce qui est prévu dans le 152-FZ

Un bref extrait du projet de loi portant modification de la loi fédérale du 27.07.2006 juillet 152 N 152-FZ « sur les données personnelles » (152-FZ). Avec ces modifications, le XNUMX-FZ « permettra le commerce » du Big Data et renforcera les droits de l'exploitant des données personnelles. Peut-être que les lecteurs voudront prêter attention aux points clés. Pour une analyse détaillée, il est bien entendu recommandé de lire source d'origine.

Comme indiqué dans la note explicative :

Le projet de loi a été élaboré conformément à l'article 01.01.003.002.001 du plan d'action en direction de la « Réglementation Réglementaire » du programme de l'Économie Numérique, approuvé par la Commission Gouvernementale sur l'utilisation des technologies de l'information pour améliorer la qualité et les conditions de vie. pour faire des affaires le 18 décembre 2017, protocole n°2.

Qu’est-ce que vous trouvez le plus intéressant ?

(Dans le texte ci-dessous, les références font partout référence au 152-FZ)

1. Rencontrez les « données anonymisées ».

   Les « données anonymisées » ne sont pas la même chose que les « données personnelles anonymisées ». Les « données anonymisées » sont identiques aux données personnelles anonymisées, décrites par exemple ici dans le cadre du RGPD.

2. Un autre consentement est né : pour les traitements de données personnelles incompatibles avec les finalités de collecte de données personnelles (la partie 2 de l'article 5 est complétée).
3. Le traitement des données personnelles sera désormais autorisé à prévenir des dommages matériels, à prévenir et à empêcher des actes illégaux (modification de la clause 7, partie 1, article 6) et à atteindre des objectifs socialement significatifs (la clause 7.1, partie 1, article 6 est complétée). .
4. À l'article 9, partie 1, art. 6 « ou autres recherches » sont remplacés par « recherche et (ou) analytique » (un point important, nous y reviendrons plus loin).
5. Nouvelle base de traitement dans la partie 1 de l'art. 6 « 12) le traitement des données personnelles obtenues par l'opérateur légalement est effectué afin d'obtenir des données anonymisées. » Ici, le traitement d'anonymisation des données sans la participation du sujet des données personnelles est légalisé.
6. L'article est ajouté. 8.1., qui permet la circulation civile et juridique des données personnelles anonymisées. Ceux. Les données peuvent être utilisées à des fins commerciales et vendues à des tiers. À des fins statistiques, de recherche et (ou) d'analyse, le consentement du sujet n'est pas requis.
7. Si « l’anonymat » est perdu lors du traitement de données personnelles anonymisées, le consentement ne pourra plus être demandé à l’avenir (mais il faudra trouver une base juridique). Ceci est indiqué par l'ajout de « (ou) » dans la phrase « ... effectué avec le consentement du sujet des données personnelles et (ou) en présence des motifs spécifiés aux paragraphes 2 à 11 de la partie 1 de l'article 6...".
8. Les données anonymisées peuvent être utilisées librement sans le consentement du sujet (modifications de la partie 4 de l'article 8.1).
9. Les exigences et les méthodes de dépersonnalisation sont attribuées au niveau du gouvernement de la Fédération de Russie.
10. Les formulaires d'obtention de données personnelles en vertu de la partie 1 de l'art. 9, les formes électroniques d'obtention du consentement sont formellement légalisées : SMS, formulaire sur le site Internet, autres méthodes.
11. La personne concernée aura la possibilité de modifier les finalités du traitement des données personnelles indiquées dans le consentement (unique). Le principe : « Un objectif – un accord » est ici annulé. Les modifications correspondantes pour combiner les objectifs sont apportées à la partie 4 de l'art. 9. Si l'opérateur de données personnelles refuse de modifier le consentement, le refus motivé peut faire l'objet d'un recours auprès de Roskomnadzor.
12. Selon la partie 4 de l'art. 9 simplifie la signature du consentement sous forme électronique, désormais au lieu de « sous la forme d'un document électronique signé conformément à la loi fédérale avec une signature électronique » il est prévu comme suit : « signé conformément à la loi fédérale avec une signature électronique ou confirmé d'une manière permettant d'identifier de manière fiable le sujet des données personnelles et d'établir son testament."
13. En fait, la pratique informelle existante consistant à publier sur le site Web une liste de tiers traitant des données personnelles est légalisée.

Selon la chaîne Telegram Privacy Experts (@privacyexperts):

Le projet de loi contient des concepts interprétés au sens large. Par exemple, « prévention et prévention des actes illégaux » ou « objectifs socialement significatifs ».

Dans le même temps, le projet de loi ne contient pas de solutions si, à la suite du traitement d'un ensemble de données, il devient possible d'attribuer des données personnelles individuelles à un sujet spécifique.

Il est clair que la situation du sujet des données personnelles s'aggrave, dans le même temps, les risques pour l'opérateur de données personnelles liés à la documentation des processus de traitement des données personnelles pour de nouveaux types de traitement ne peuvent être exclus.

Il n’est pas clair dans quel ordre les données doivent être supprimées lors de la modification des finalités du traitement dans le « Consentement unique ».

La note explicative se termine par une indication que le projet de loi est conforme aux dispositions du Traité sur l'Union économique eurasienne du 29 mai 2014, ainsi qu'aux dispositions d'autres traités internationaux de la Fédération de Russie, et n'affectera pas les indicateurs d'État. programmes de la Fédération de Russie et leurs résultats.

Source: habr.com