×

Предлагается исключить согласие субъекта персональных данных на их обработку третьим лицом

Центр компетенций Фонда Сколково разработал законопроект, который адаптирует работу с персональными данными под новые технологии
Фотобанк Лори
Эксперты «АГ» разошлись во мнениях относительно разумности предлагаемых поправок. Одни считают, что проект направлен на устранение неоднозначного толкования закона, актуален и соответствует духу времени, другие оценивают идеи разработчиков негативно. Так, по мнению одного из них, субъекты ПД утратят контроль за обработкой своих данных, а операторы получат больше возможностей по их монетизации.

Центр компетенций по нормативному регулированию цифровой экономики Фонда Сколково опубликовал текст законопроекта о внесении изменений в ФЗ «Об информации, информационных технологиях и о защите информации» и «О персональных данных». Проект предусматривает сразу несколько поправок.

Во-первых, разработчики предлагают дополнить ФЗ «Об информации» термином «обезличенные данные», под которым понимается информация и (или) иные данные, не позволяющие без использования дополнительной информации определить, к какому конкретному физическому лицу (субъекту персональных данных) они относятся. По мнению разработчиков, такие данные могут свободно использоваться и передаваться любыми лицами, в том числе на возмездной основе.

Обработка персональных данных (ПД) может осуществляется в аналитических, научных, статистических или иных исследовательских целях при условии их обязательного обезличивания. В этой связи оператор в случае достижения цели обработки вправе не только уничтожить, но и обезличить данные.

Предполагается, что обрабатывать ПД можно не только в целях заключения или исполнения договора, но и в связи с ведением переговоров о его заключении, включая стадию направления оферты.

Во-вторых, разработчики предлагают исключить согласие субъекта ПД на их обработку третьим лицом: оператор вправе поручить обработку иному лицу с соблюдением условия о конфиденциальности и безопасности данных. Ответственным перед субъектом ПД в любом случае остается оператор.

Последний также обязан разместить на своем сайте или иными способами сделать доступным перечень таких лиц, с указанием наименования, Ф.И.О., адреса третьих лиц, действий с персональными данными, цели их обработки, а также условий выражения отказа субъекта от такой обработки.

Еще одна поправка – форма согласия на обработку: субъект персональных данных может выразить или отозвать его посредством СМС-сообщений, e-mail или с использованием иных электронных способов коммуникации.

Наконец, предлагается увеличить срок обработки обращений субъектов персональных данных: ознакомиться со сведениями о ПД можно по истечении 30 дней, а внести изменения оператор обязан не через 7, а через 20 дней с момента обращения.

Разработчики поясняют, что одним из ключевых факторов формирования цифровой экономики и развития информационного общества в настоящее время является обработка больших объемов данных, в том числе персональных. При этом условия и ограничения, предусмотренные в действующем законодательстве, формировались в условиях традиционной экономики, что на этапе перехода к цифровому обществу ставит вопрос об их актуальности.

В пояснительной записке указаны качественно новые модели общественного устройства и отношений, которые требуют адекватного правового регулирования: дистанционное взаимодействие, удаленная идентификация, электронный документооборот, новая ценность данных, сквозные инновационные технологии.

По мнению разработчиков, проект направлен на создание благоприятных условий и новых возможностей в интересах бизнеса, потребителей, общества и государства в целом. Например, оптимальным правовым решением называется разрыв в результате обезличивания связи между данными и личностью субъекта, права которого могут быть нарушены обработкой.

Отсутствие согласия на привлечение третьего лица для обработки ПД будет удобно контактным центрам, архивам и IT-подрядчикам, считают разработчики. Сейчас, в условиях повышенной значимости согласия субъекта, у операторов сокращаются возможности по оптимизации внутренних процессов, процедур обслуживания, сервисной аналитике, а также в части минимизации рисков, в том числе вследствие мошенничества со стороны субъектов. При этом размещать информацию о привлеченных лицах можно в таких общедоступных источниках, как сайты, торговые точки, СМИ, либо уведомлять через личный кабинет, электронную почту или счета.

Константин Голуб, руководитель направления правовых инициатив Фонда Сколково поясняет, что законопроект разработан в рамках задач Центра компетенций по нормативному регулированию цифровой экономики, которые утверждены Дмитрием Медведевым в декабре 2017 г. «В подготовке поправок принимали участие ведущие компании цифровой экономики, как из государственного сектора, так и частные», – рассказал эксперт.

Он пояснил, что законопроект направлен на устранение неоднозначного толкования закона, оптимизацию режима защиты персональных данных при их обработке компаниями, включая уточнение особенностей их обезличивания, порядка получения и отзыва согласия на обработку персональных данных. «Так, в действующей редакции закона возможность получения согласия в электронной форме находится в “серой” зоне регулирования», – привел пример эксперт.

Читайте также
Новое в регулировании защиты персональных данных
Территориальное действие и ответственность в GDPR
18 Июня 2018 Мнения

Как сообщили в пресс-службе российского платежного сервиса QIWI, компания поддерживает концепцию законопроекта как позволяющую соблюсти баланс интересов оператора и субъекта персональных данных. На вопрос «АГ» о причинах предлагаемых изменений в компании пояснили, что тема регулирования персональных данных назрела давно.

«Изменения позволят бизнесу оптимизировать порядок обработки ПД, проводить масштабные исследования, осуществлять сбор статистики пользовательского поведения по фокус-группам, что в конечном итоге будет способствовать предоставлению потребителям более качественных услуг. Вместе с передачей оператору дополнительных возможностей пользователи получат право управлять своим согласием на обработку ПД в более удобной форме», – подчеркнули в QIWI.

Павел Катков, основатель и владелец юридической компании «Катков и партнеры», член Совета ТПП РФ по интеллектуальной собственности, также считает законопроект актуальным и соответствующим духу времени. «Защита персональных данных – важный институт, однако он не должен тормозить развитие других институтов. Сегодня известны случаи предъявления претензий Роскомнадзором за обычную форму обратной связи на сайте без грамотно сформулированного согласия на обработку персональных данных, и эти претензии поддерживал суд. Дальнейшее ужесточение в этом направлении может еще более осложнить жизнь интернет-бизнеса. Поэтому не идти на поводу у ЕС с его GDPR и разумно либерализовать регулирование – это отличная идея», – считает эксперт. Он полагает, что права пользователей в необходимой степени защищены правом на отзыв, перечнем третьих лиц и другими балансирующими нормами, также содержащимися в законопроекте.

Между тем Карен Казарян, главный аналитик Российской ассоциации электронных коммуникаций, пояснил, что понятие обезличивания данных уже есть в Законе о персональных данных, равно как и возможность использовать их в исследовательских, аналитических и других целях. Кроме того, Роскомнадзор неоднократно разъяснял порядок получения согласия пользователя на обработку персональных данных в электронной форме. По его мнению, текущее законодательство разрешает и обработку данных по поручению третьими лицами при условии публикации таких сведений в пользовательском соглашении.

«Однако обработка ПД в целях, не указанных в соглашении, или передача третьим лицам в настоящий момент действительно ограничена. Представляемая законопроектом формулировка фактически скопирована из GDPR (предлагается руководствоваться законными интересами субъекта при передаче данных для обработки), однако в ЕС это на самом деле налагает большую ответственность на оператора, чем в случае получения согласия. Возникает вопрос – кто в таком случае будет нести ответственность за нарушения при обработке?» – задался вопросом Карен Казарян, отметив, что текущая версия законопроекта выглядит достаточно «сырой».

Андрей Алексейчук, юрист практики по интеллектуальной собственности и информационным технологиям адвокатского бюро «Качкин и Партнеры», в целом оценивает предложения крайне негативно. «Предлагаемые изменения идут вразрез с мировыми практиками в области регулирования обработки персональных данных (в частности, GDPR). Кроме того, законопроект предлагает закрепить возможность свободной обработки обезличенных персональных данных, хотя многие эксперты, наоборот, говорят о необходимости ужесточения регулирования в данной области», – поясняет юрист. Он полагает, что если законопроект будет принят, то поправки негативно отразятся на субъектах ПД, которые утратят контроль за обработкой своих данных, в то время как операторы получат гораздо большие возможности по аналитике и монетизации больших данных, предоставлению персональных данных третьим лицам за плату.

Константин Голуб отметил, что Центром компетенций проект направлен на одобрение в Рабочую группу по нормативному регулированию АНО «Цифровая экономика». Затем документ должен быть вынесен на рассмотрение в приоритетном порядке Правительственной комиссией по ИТ.

Рассказать: