ProHoster > Блог > адміністрування > «Знеособлені дані» або що планується у 152-ФЗ

«Знеособлені дані» або що планується у 152-ФЗ

Коротка витримка із законопроекту про внесення змін до Федерального закону від 27.07.2006 N 152-ФЗ «Про персональні дані» (152-ФЗ). З цими правками 152-ФЗ «дозволить торгувати» Big Data, посилить права оператора персональних даних. Можливо, читачам буде цікаво звернути увагу на ключові моменти. Для детального аналізу звичайно ж рекомендується читати першоджерело.

Як зазначено в пояснювальній записці:

Законопроект розроблено на виконання пункту 01.01.003.002.001 плану заходів щодо спрямування «Нормативне регулювання» програми «Цифрова економіка», затвердженого Урядовою комісією з використання інформаційних технологій для покращення якості життя та умов ведення підприємницької діяльності 18 грудня 2017 р., протокол

Що здається найцікавішим?

(Нижче за текстом у відсиланнях скрізь мається на увазі 152-ФЗ)

  1. Зустрічаємо «Знеособлені дані».

    "Знеособлені дані" не дорівнює "Знеособлені персональні дані". "Знеособлені дані" тотожні анонімізованим персональним даним, описаним наприклад тут у контексті GDPR.

  2. Народжується ще одна згода: на обробку персональних даних, несумісну з метою збору персональних даних (доповнюється ч. 2 ст. 5).
  3. Обробка персональних даних тепер буде допускатися для запобігання майновим збиткам, попередження та запобігання протиправним діянням (зміна у п. 7 ч.1 ст. 6) та для досягнення суспільно значущих цілей (доповнюється п. 7.1. ч. 1 ст.6).
  4. У п. 9 ч. 1 ст. 6 «або інших дослідних» змінюються на «дослідницьких та (або) аналітичних» (важливий момент, повернемося нижче).
  5. Нова основа обробки у ч. 1 ст. 6 "12) здійснюється обробка персональних даних, отриманих оператором на законних підставах, з метою отримання знеособлених даних". Тут легалізується обробка знецінення даних без участі суб'єкта персональних даних.
  6. Додається ст. 8.1., яка допускає цивільно-правовий оборот знеособлених персональних даних. Тобто. дані можна використовувати для комерційних цілей, продавати третім особам. При статистичних, дослідницьких та (або) аналітичних цілях згода суб'єкта на це не потрібна.
  7. Якщо при обробці знеособлених персональних даних втрачається «знеособленість», згоду надалі можна не запитувати (але законну підставу підібрати доведеться). На це вказує додана «(або)» у фразі «…здійснюється за згодою суб'єкта персональних даних та(або) за наявності підстав, зазначених у пунктах 2-11 частини 1 статті 6…».
  8. Знеособлені дані можуть вільно використовуватися без згоди суб'єкта (зміни за ч. 4 ст. 8.1).
  9. Вимоги та методи знеособлення віднесені до рівня Уряду РФ.
  10. Уточнюються форми одержання персональних даних за ч. 1 ст. 9 формально легалізуються електронні форми отримання згоди: СМС, форма на сайті, інші способи.
  11. Суб'єкт персональних даних матиме можливість змінити склад цілей обробки персональних даних, заявлених у (єдиній) згоді. Тут скасовується принцип: "Одна мета - одна згода". Відповідні зміни щодо об'єднання цілей вносяться до ч. 4 ст. 9. У разі відмови оператора персональних даних внести зміну у згоду, мотивовану відмову можна буде оскаржити до Роскомнагляду.
  12. За ч. 4 ст. 9 спрощується підписання згоди в електронній формі, тепер замість «у формі електронного документа, підписаного відповідно до федерального закону електронний підпис» планується так: «підписане відповідно до федерального закону електронний підпис або підтверджене будь-яким способом, що дозволяє достовірно визначити суб'єкта персональних даних і встановити його волевиявлення».
  13. За фактом легалізується неформально існуюча практика публікації на сайті переліку третіх осіб, які опрацьовують персональні дані.

Як повідомляє Телеграм-канал Privacy Experts (@privacyexperts):

Законопроект містить поняття, що широко трактуються. Наприклад, «попередження та запобігання протиправним діянням» або «суспільно значущі цілі».

У той же час законопроект не містить рішень, якщо в результаті обробки сукупності даних стане можливим віднесення окремих персональних даних до конкретного суб'єкта.

Видно, що положення суб'єкта персональних даних погіршується, водночас не виключено ризиків для оператора персональних даних, пов'язаних із документуванням процесів обробки персональних даних за новими видами обробки.

Неясно, у якому порядку потрібно видаляти дані при зміні цілей обробки в «Єдиній згоді».

Пояснювальна записка завершується вказівкою на те, що законопроект відповідає положенням Договору про Євразійський економічний союз від 29 травня 2014 року, а також положенням інших міжнародних договорів Російської Федерації, і не вплине на індикатори державних програм Російської Федерації та їх результати.

Джерело: habr.com

Додати коментар або відгук