Обезличенные данные просятся на бумагу
Министерство цифрового развития, связи и массовых коммуникаций РФ сформулировало определения "обезличенных персональных данных", "обезличенных данных" и предложило порядок и условия их обработки. Ведомство также выступило за то, чтобы у пользователей была возможность давать согласие на обработку персональных данных одновременно на несколько целей, а также уточнило процедуру отзыва предоставленной информации.
Минкомсвязи вчера разместило для общественного обсуждения на портале нормативных правовых актов проект Федерального закона "О внесении изменений в ФЗ "О персональных данных". Документ укладывается в план мероприятий, предусмотренных направлением "Нормативное регулирование" нацпрограммы "Цифровая экономика РФ".
Ведомство предлагает дополнить ФЗ "О персональных данных" понятиями "обезличенные персональные данные" и "обезличенные данные", а также установить порядок и условия их обработки. Обезличенными персональными данными Минкомсвязи предлагает считать информацию, которая "в результате обезличивания персональных данных не позволяет без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных". Определение "обезличенные данные" ведомство формулирует так: "информация, которая в результате обезличивания не позволяет даже при использовании дополнительной информации определить ее принадлежность конкретному субъекту персональных данных".
В документе говорится о том, что обезличивание персональных данных, в том числе в целях их последующей передачи третьим лицам, возможно только с согласия субъекта персональных данных. Однако есть исключения: если речь идет о сборе данных для статистических, исследовательских и (или) аналитических случаев, то разрешения не нужно. "Действия по получению обезличенных данных, а также обработка обезличенных данных может осуществляться без согласия субъекта персональных данных. Обезличенные данные могут быть использованы свободно, в том числе в целях, связанных с осуществлением предпринимательской деятельности", – следует из проекта закона. Требования и методы обезличивания персональных данных устанавливает уполномоченный орган по защите прав субъектов персональных данных.
В проекте НПА также предполагается поправка, которая позволит давать согласие на обработку персональных данных одновременно на несколько целей. При этом субъекты персональных данных могут отказаться от дачи согласия на обработку персональных данных или отозвать ранее данное согласие на обработку персональных данных. "Оператор обязан по требованию субъекта персональных данных внести изменения в согласие на обработку персональных данных, либо в течение семи рабочих дней с момента поступления указанного требования представить субъекту персональных данных мотивированный отказ в письменной форме, который может быть обжалован в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке", – говорится в документе.
В противном случае оператор вправе продолжать осуществлять обработку персональных данных для предотвращения имущественного ущерба, предупреждения и предотвращения противоправных деяний, а также во исполнение положений, позволяющих осуществлять обработку персональных данных в аналитических целях при условии их обязательного обезличивания.
Партнер юридической компании "ЭБР", член Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Борис Едидин отметил, что законопроект был давно ожидаем предпринимательским сообществом. "Его принятие, во многом упростит работу с данными, позволит развивать продукты и сервисы, основанные на обработке больших массивов информации. Все технологические компании по факту уже осуществляют обработку таких данных, и законопроект фактически фиксирует определенный статус-кво", - комментирует он инициативу.
Согласие на обработку данных одновременно на несколько целей, по сути, признает уже сложившуюся практику, продолжает Борис Едидин. "Все пользовательские соглашения крупных технологических компаний и соглашения о конфиденциальности предполагают многовариантность использования операторами персональных данных пользователей", - указывает он. Что касается согласия на обработку данных – это в определенной степени анахронизм, говорит юрист. "Читают такие документы единицы. Если прочитать согласие на обработку данных от большинства компаний, то с ними не хочется иметь дело. Но это не влияет на пользовательское поведение, конкретная ценность продукта (услуги) в отдельный момент времени важнее, чем гипотетические угрозы злоупотреблений со стороны операторов, - рассуждает Борис Едидин. - Гораздо важнее, но этого нет в законопроекте, выстроить эффективную систему информирования граждан об операциях с их персональными данными, об их утечках и случаях передачи третьим лицам. Гражданин должен иметь простой и понятный механизм управлениями данными им согласиями, возможность удаления своих данных, а также право на достойную компенсацию в случае утечек. Эти инструменты в законопроекте отсутствуют".
Что касается термина "обезличенные данные", то партнер "ЭБР" считает их в определенной степени фикцией. "Во многих случаях, вопрос идентификации человека по обезличенным данным — это вопрос алгоритмов и технологий. Сегодня они не позволяют вас идентифицировать, а завтра такая возможность технически будет реализована. Кроме этого, с введением данного определения остаются открытыми вопросы безопасности данных как персональных, которые были преобразованы в обезличенные, так и самой технологии обезличивании. Любая утечка предоставляет массу возможностей для реализации обратного процесса создания на основе обезличенных данных профиля конкретного человека", - предостерегает он.