24.10.2024, 15:04

Роскомнадзор предлагает отказаться от избыточного сбора персональных данных

Очень часто в форме оплаты в интернете или в анкете банка можно найти графы, которые нужно заполнить, но которые абсолютно не относятся к предмету сделки или соглашения. Организации собирают персональные данные граждан «на всякий случай» и часто не могут обеспечить их сохранность. Роскомнадзор решил изменить практику излишнего сбора персональных данных и предложил создать стандарты их обработки, согласно которым организации смогут собирать только те данные, которые необходимы для решения конкретных задач. Мнения экспертов по поводу инициативы Роскомнадзора разделились. Юристам идея службы понравилась, так как концептуально совпадает с европейскими нормами. Бизнесмены же считают, что в случае принятия стандартов они затормозят рост компаний и развитие новых сервисов.

Photo by Claudio Schwarz on Unsplash

Сбор данных будет возможен только на основании закона, а не с согласия граждан, как это происходит сейчас, пишет РБК, ссылаясь на представителя службы. В случае необходимости, организации смогут запрашивать их у уполномоченных органов вместо прямого получения персональных данных от граждан. Собеседник издания рассказал, что в настоящее время персональные данные часто собираются «на всякий случай», без ясной цели их дальнейшего использования. Он также отметил, что на данный момент это только предложение.

Упоминание источником РБК неких «уполномоченных органов» согласуется с инициативой депутата Александра Хинштейна по созданию «института спецоператоров персональных данных», с которой он выступил в августе.

Сейчас оператором персональных данных считается любой, кто их обрабатывает, а таких юридических лиц в России более 5 миллионов, включая индивидуальных предпринимателей, заявил в октябре глава комитета Госдумы по информационной политике. Хинштейн подчеркнул, что не все из них могут гарантировать защиту данных. В связи с этим он предложил создать институт спецоператоров персональных данных, которые будут хранить данные для тех, кто не в состоянии сделать это самостоятельно, и возложить на них ответственность за обработку данных. Эти операторы, по мнению Александра Хинштейна, будут находиться под контролем государства, а в случае необходимости другие участники рынка смогут получать доступ к данным по защищенным каналам. «Аналогия та же, что и банковское хранилище: если у тебя на дверях нет замков, не держи деньги дома. Понадобились? Банк всегда открыт», — пояснил депутат.

Что такое персональные данные

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить (Статья 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ)

В законе выделено четыре категории персональных данных:

  • Общие персональные данные (фамилия, имя, отчество, дата и место рождения, адрес, информация о работе, доходах и др.);

  • Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни, судимостях;

  • Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии;

  • Иные данные — все данные о человеке, не попадающие в первые три группы. Например, электронная почта или геолокация, информация о принадлежности к определенной социальной группе, членство в организациях, стаж работы и пр.

За нарушения правил защиты персональных данных физические лица могут быть оштрафованы на сумму до 300 тыс. рублей, а юридические — до 1 млн рублей (статья 13.11 КоАП РФ). Кроме того, за уголовные преступления, связанные с нарушением частной жизни, предусмотрено наказание вплоть до пяти лет лишения свободы (статья 137 УК РФ).

Инициатива Роскомнадзора созвучна европейскому регламенту

По словам Кристины Мкртчян, советника практики интеллектуальной собственности юридической компании ЭБР, сейчас самым распространенным основанием для сбора персональных данных является согласие пользователя. Среди других оснований эксперт упомянула требования законодательства, выполнение договора с человеком, чьи данные собираются, и защиту его жизненно важных интересов. В случае если предложение Роскомнадзора будет принято, потребуется внести изменения в законодательство о персональных данных или разработать специальный технический регламент, считает Кристина Мкртчян, ссылаясь на закон «О стандартизации», согласно которому стандарты в России применяются добровольно, за исключением требований, включенных в технические регламенты. Предложение службы, по ее мнению, «отражает глобальный тренд на усиление защиты приватности граждан» и концептуально совпадает с принципом минимизации данных в принятом в Евросоюзе «Общем регламенте по защите данных» (GDRP — General Data Protection Regulation).

Принцип минимизации данных изложен в статье 5 GDPR, которая описывает основные принципы обработки персональных данных. Вот ее основные тезисы:

  • Законность, справедливость и прозрачность: Обработка данных должна происходить законно, справедливо и прозрачно по отношению к субъекту данных.

  • Целевое ограничение: Данные должны собираться для конкретных, заранее определенных и законных целей и не должны обрабатываться дальше способом, несовместимым с этими целями;

  • Минимизация данных: Организации должны собирать только те данные, которые необходимы для целей обработки;

  • Точность: Данные должны быть точными и при необходимости обновляться;5. Хранение: Данные не должны храниться дольше, чем это необходимо для целей обработки;

  • Целостность и конфиденциальность: Обработка данных должна обеспечивать соответствующую безопасность данных, включая защиту от несанкционированной или незаконной обработки, утраты, уничтожения или повреждения.

Роскомнадзор — не имеет полномочий выпускать какие-либо стандарты, так как является надзорным ведомством, напомнил директор по аналитике АНО «Цифровая экономика» Карен Казарян.

Инициатива Роскомнадзора может усложнить работу компаний

Учесть все сценарии обработки данных невозможно, отмечает источник РБК в одной из крупных IT-компаний. По его мнению, стандарт обработки данных не может одинаково эффективно применяться как к небольшим интернет-магазинам, так и к крупным IT-компаниям из-за требований к объему данных, которые «отличается в разы». Введение единого обязательного стандарта может затруднить развитие новых сервисов, резюмирует эксперт.

Основатель Privacy Advocates Алексей Мунтян считает, что инициатива Роскомнадзора может встретить сопротивление со стороны бизнеса, так как новые ограничения могут затруднить работу с данными и негативно отразиться на доходах и помешать развитию компаний. Эксперт предлагает рассматривать инициативу Роскомнадзора в контексте других предложений, подразумевающих создание иерархии оснований для получения и обработки данных, в которых согласие перестанет играть роль единственного и главного критерия.

Авторы:
Артемий Шохор
Редакция ADPASS
Главное про маркетинг и рекламу
в Telegram

Вам понравится

Редакция ADPASS
17.10.2024
Редакция ADPASS
14.10.2024
Редакция ADPASS
07.10.2024
Редакция ADPASS
02.10.2024