Krótki fragment projektu ustawy o zmianie ustawy federalnej z dnia 27.07.2006 lipca 152 r. N 152-FZ „O danych osobowych” (152-FZ). Dzięki tym zmianom XNUMX-FZ „umożliwi handel” Big Data i wzmocni prawa operatora danych osobowych. Być może czytelnicy będą zainteresowani zwróceniem uwagi na kluczowe punkty. Aby uzyskać szczegółową analizę, oczywiście zaleca się przeczytanie .
Jak stwierdzono w nocie wyjaśniającej:
Projekt ustawy powstał zgodnie z klauzulą 01.01.003.002.001 planu działań w kierunku „Regulacji” programu Gospodarki Cyfrowej, zatwierdzonego przez Komisję Rządową ds. wykorzystania technologii informatycznych w celu poprawy jakości życia i warunków życia z tytułu prowadzenia działalności gospodarczej w dniu 18 grudnia 2017 roku, protokół nr 2.
Co uważasz za najciekawsze?
(W poniższym tekście wszędzie odniesienia odnoszą się do 152-FZ)
- Poznaj „anonimowe dane”.
„Zanonimizowane dane” to nie to samo, co „Zanonimizowane dane osobowe”. „Zanonimizowane dane” są tożsame z zanonimizowanymi danymi osobowymi, opisanymi np w kontekście RODO.
- Rodzi się kolejna zgoda: na przetwarzanie danych osobowych niezgodne z celami gromadzenia danych osobowych (uzupełnia się część 2 art. 5).
- Przetwarzanie danych osobowych będzie teraz możliwe w celu zapobiegania szkodom majątkowym, zapobiegania i zapobiegania działaniom niezgodnym z prawem (zmiana w ust. 7 ust. 1 art. 6) oraz dla osiągnięcia celów społecznie ważnych (uzupełnianie ust. 7.1 ust. 1 ust. 6 art. XNUMX) .
- W klauzuli 9 ust. 1, art. 6 „lub inne badania” zmieniono na „badania i (lub) analityczne” (ważna kwestia, wrócimy poniżej).
- Nowa podstawa przetwarzania w części 1 art. 6 „12) przetwarzanie danych osobowych pozyskanych przez operatora zgodnie z prawem następuje w celu uzyskania danych zanonimizowanych.” Tutaj przetwarzanie w celu anonimizacji danych bez udziału podmiotu danych osobowych jest zalegalizowane.
- Dodano art. 8.1., który umożliwia cywilnoprawny obrót zanonimizowanymi danymi osobowymi. Te. Dane mogą być wykorzystywane w celach komercyjnych oraz sprzedawane podmiotom trzecim. Do celów statystycznych, badawczych i (lub) analitycznych nie jest wymagana zgoda podmiotu.
- Jeżeli w trakcie przetwarzania zanonimizowanych danych osobowych zostanie utracona „anonimowość”, w przyszłości nie będzie można pytać o zgodę (konieczne będzie jednak znalezienie podstawy prawnej). Wskazuje na to dodanie „(lub)” w zdaniu „... przeprowadzone za zgodą podmiotu danych osobowych i (lub) w obecności podstaw określonych w ust. 2-11 części 1 art. 6...”.
- Zanonimizowane dane mogą być wykorzystywane swobodnie bez zgody podmiotu (zmiany w części 4 art. 8.1 ust. XNUMX).
- Wymagania i metody depersonalizacji przypisane są szczeblowi Rządu Federacji Rosyjskiej.
- Formularze pozyskiwania danych osobowych zgodnie z częścią 1 art. 9, formalnie zalegalizowane są elektroniczne formy uzyskania zgody: SMS, formularz na stronie internetowej, inne metody.
- Osoba, której dane dotyczą, będzie miała możliwość zmiany celów przetwarzania danych osobowych określonych w (jednej) zgodzie. Zasada: „Jeden cel – jedna umowa” zostaje tu anulowana. Odpowiednie zmiany w zakresie łączenia celów wprowadza się w części 4 art. 9. Jeżeli operator danych osobowych odmówi zmiany zgody, od uzasadnionej odmowy przysługuje odwołanie do Roskomnadzor.
- Zgodnie z częścią 4 art. 9 upraszcza podpisywanie zgody w formie elektronicznej, teraz zamiast „w formie dokumentu elektronicznego podpisanego zgodnie z prawem federalnym z podpisem elektronicznym” planuje się w następujący sposób: „podpisane zgodnie z prawem federalnym z podpisem elektronicznym lub potwierdzone w sposób pozwalający na wiarygodne zidentyfikowanie podmiotu danych osobowych i ustalenie jego woli.”
- Faktycznie, istniejąca nieformalnie praktyka publikowania na stronie internetowej wykazu podmiotów trzecich przetwarzających dane osobowe została zalegalizowana.
Według ekspertów ds. prywatności kanału Telegram ():
Projekt ustawy zawiera szeroko rozumiane pojęcia. Na przykład „zapobieganie i zapobieganie działaniom nielegalnym” lub „cele istotne społecznie”.
Jednocześnie projekt ustawy nie zawiera rozwiązań, jeżeli w wyniku przetwarzania zbioru danych możliwe będzie przypisanie poszczególnych danych osobowych do konkretnego podmiotu.
Nie ulega wątpliwości, że sytuacja podmiotu danych osobowych pogarsza się, jednocześnie nie można wykluczyć zagrożeń dla operatora danych osobowych związanych z dokumentowaniem procesów przetwarzania danych osobowych pod kątem nowych rodzajów przetwarzania.
Nie jest jasne, w jakiej kolejności dane powinny być usuwane przy zmianie celów przetwarzania w „Jednej zgodzie”.
Nota wyjaśniająca kończy się wskazaniem, że projekt ustawy jest zgodny z postanowieniami Traktatu o Eurazjatyckiej Unii Gospodarczej z dnia 29 maja 2014 r., a także postanowieniami innych umów międzynarodowych Federacji Rosyjskiej i nie będzie miał wpływu na wskaźniki stanu państwa programy Federacji Rosyjskiej i ich wyniki.
Źródło: www.habr.com