×

Предлагается распространить обязанность по обезличиванию персональных данных на всех их операторов

Минкомсвязи подготовило поправки по утверждению требований и по обработке персональных данных их операторами, не являющимися госорганами, и установлению ответственности за неисполнение таких требований
Фотобанк Лори
Один из экспертов «АГ» считает, что в поправках нет необходимости, поскольку установление обязанности оператора осуществлять обезличивание только определенными методами никак не увеличивает степень защиты прав субъекта персональных данных. Другой заметил, что, по сути, всем операторам персональных данных будет дано право их обработки.

30 августа Минкомсвязи вынесло на публичное обсуждение пакет поправок в законодательство, направленных на уточнение требований при обезличивании персональных данных и установление административной ответственности за их несоблюдение.

Первый законопроект устанавливает обязанность оператора при сборе персональных данных обезличивать их в установленных законом случаях и порядке. Также он вводит обязанность оператора, являющегося юрлицом, включать в политику обработки персональных данных правила работы с обезличенными данными в случае обезличивания персональных данных.

Из пояснительной записки следует, что проект разработан во исполнение поручения Президента РФ в целях защиты интересов субъектов персональных данных. В настоящее время требования и методы, утвержденные Роскомнадзором по обезличиванию персональных данных, распространяются только на операторов, являющихся государственными или муниципальными органами. При этом сейчас, согласно Закону о персональных данных, их обезличивание может осуществляться операторами, не являющимися государственными и муниципальными органами в отдельных случаях. «Отсутствие утвержденных требований и методов по обработке персональных данных указанными операторами является существенным правовым пробелом, создающим существенную угрозу по защите персональных данных при их обезличивании такими операторами», – указано в пояснительной записке.

Второй законопроект направлен на внесение изменений в ч. 7 ст. 13.11 КоАП РФ. Для оператора, не обезличивающего персональные данные либо не соблюдающего установленные для такого обезличивания требования или методы, установлена ответственность в виде предупреждения или штрафа. Штраф в отношении граждан варьируется от 700 до 1,5 тыс. руб., должностных лиц – от 3 до 6 тыс. рублей, ИП – от 5 до 10 тыс. руб. Согласно поправкам, юрлицам за такие нарушения придется заплатить от 15 до 30 тыс. руб.

Проект закона предусматривает расширение субъектного состава правонарушения, предусмотренного указанной статьей. Ответственность планируют распространить не только на операторов персональных данных, являющихся государственными или муниципальными органами, но и на иных операторов таких данных.

Публичное обсуждение проектов продлится до 19 сентября.

Основатель и владелец юридической компании «Катков и партнеры», член Совета ТПП РФ по интеллектуальной собственности Павел Катков считает, что обезличивание персональных данных должно, с одной стороны, обеспечить их защиту, а с другой – предоставить возможность их обработки. «Проще говоря, операторам персональных данных будет дано право их обработки. Смысл этого лежит в экономической, маркетинговой, статистической и иных плоскостях их использования», – пояснил он.

Эксперт подчеркнул, что эти данные и их анализ – основа для выводов по поведению их владельцев, в том числе потребительскому поведению, предпочтениям, действиям в интернете, иным действиям. «При этом данные для такой обработки должны быть именно обезличенными, это важно», – заключил Павел Катков.

Юрист практики по интеллектуальной собственности и информационным технологиям адвокатского бюро «Качкин и Партнеры» Андрей Алексейчук считает, что в целом в данных законопроектах нет необходимости. Исходя из п. 9 ст. 3 Закона о персональных данных обезличенными данными являются данные, по которым невозможно, без использования дополнительной информации, определить их принадлежность конкретному субъекту ПД. При этом для субъекта не важно, каким способом осуществляется обезличивание, если достигнут результат, установленный законом. «Установление обязанности оператора осуществлять обезличивание только определенными методами никак не увеличивает степень защиты прав субъекта ПД. Кроме того, частные операторы зачастую и так ориентируются на требования Роскомнадзора при обезличивании данных, но у них должно быть больше свободы выбора в этом вопросе (с учетом того, что их цели и задачи часто меняются)», – отметил эксперт.

В то же время Андрей Алексейчук поддержал поправку об обязательном указании в Политике обработки персональных данных порядка работы с обезличенными данными. «Поскольку сейчас объемы обработки обезличенных данных в коммерческих и маркетинговых целях достаточно высокие, их субъекты должны быть информированы о том, как обрабатываются, в том числе, и их обезличенные данные. Кроме того, в текущих реалиях обезличивание уже не является аналогом уничтожения и не способствует надлежащей защите прав субъектов персданных».

Юрист заметил, что операторам, которые осуществляют обезличивание персональных данных не в соответствии с требованиями Роскомнадзора, придется изменить эти процессы. Также всем операторам, которые работают с обезличенными данными, необходимо будет внести изменения в Политику. «Кроме того, законопроект дает возможность Роскомнадзору установить более жесткие требования к обезличиванию, которые будут распространяться на всех операторов», – подытожил эксперт.

Рассказать: