Комментарии в СМИ
«Готовятся поправки в Закон о персональных данных»
Почему законопроект может отразиться на субъектах персональных данных крайне негативно, поясняет юрист практики по интеллектуальной собственности / информационным технологиям «Качкин и Партнеры» Андрей Алексейчук.
Центр компетенций по нормативному регулированию цифровой экономики Фонда «Сколково» опубликовал текст законопроекта, который адаптирует работу с персональными данными (далее – ПД) к новым технологиям.
Законопроектом предусмотрено расширение прав операторов и их возможностей по предоставлению ПД третьим лицам. Из текста законопроекта и содержания пояснительной записки к нему можно сделать вывод, что поправки предлагаются в интересах владельцев так называемых «больших данных» (которые включают в себя как обезличенные, так и иные данные) и, по сути, выводят обработку обезличенных ПД из сферы регулирования.
На мой взгляд, основная причина изменений – желание операторов получить более широкие возможности по «продаже» ПД третьим лицам.
Поправки не соответствуют принципам обработки персональных данных
Предлагаемые изменения не соответствуют принципам, закрепленным в Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон), в частности принципу информированного согласия субъекта ПД и принципу обработки ПД с заранее определенными целями.
Принцип информированного согласия закреплен в ч. 1 ст. 9 Закона, где указано, что «согласие на обработку персональных данных должно быть конкретным, информированным и сознательным». Это значит, что субъект, давая согласие на обработку ПД, должен обладать информацией о том, кто будет ее осуществлять, с какими целями и в каком объеме. Планируемые поправки (например, в части изменений, исключающих цели обработки ПД из перечня предоставляемой субъекту информации) не соответствуют указанному принципу.
Принцип обработки ПД с заранее определенными целями установлен в ч. 2 ст. 5 Закона. В соответствии с данным положением «обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей». Изменения данного положения, которые предусмотрены законопроектом, предполагают возможность отказаться от соблюдения данного принципа, если оператор получил согласие субъекта ПД или имеет некие «законные основания» для осуществления такой обработки ПД. По моему мнению, с учетом того, что указанный принцип является одним из основополагающих, отказ от него недопустим.
Поправки во многом избыточны
Статью 9 Закона предлагается дополнить возможностью получения согласия субъекта ПД, «подтвержденного с помощью иного аналога собственноручной подписи, в том числе установленного соглашением сторон, позволяющего однозначно установить лицо, выразившее такое согласие». При этом использование простой электронной подписи и сейчас возможно по соглашению сторон в соответствии с условиями, установленными законодательством об электронной подписи [1].
Кроме того, изменениями в ст. 6 и 9 Закона предусмотрено предоставление оператору права поручить другому лицу обработку ПД без согласия субъекта, если оператор разместил на своем сайте перечень лиц, которым может быть поручена обработка. С одной стороны, более гибкий механизм указания лиц, которым может быть поручена обработка ПД, может быть полезен участникам рынка.
С другой стороны, практически аналогичного эффекта можно достичь и в рамках действующего регулирования, которое не запрещает деятельность по предоставлению ПД третьим лицам, в том числе в обезличенной форме, при условии обязательного получения информированного согласия субъекта на такие действия. Этот подход представляется справедливым с точки зрения необходимости защиты прав субъекта ПД.
Наиболее известный судебный спор по данной теме за последнее время – между ООО «ВКонтакте» и ООО «ДАБЛ», между владельцем большого массива ПД и лицом, разрабатывающим средства для обработки таких данных. В данном споре ООО «ВКонтакте» удалось отстоять свое право на массив ПД пользователя, защитив его как базу данных. К сожалению, вопрос защиты прав субъектов ПД (речь шла об общедоступных данных) в этом споре не рассматривался.
Изменения, ущемляющие права субъектов персональных данных
Во-первых, предлагается предоставить Правительству РФ возможность устанавливать иные случаи обработки специальных категорий ПД без согласия субъекта (изменения в ч. 2 ст. 10 Закона).
Во-вторых, разработчики хотят увеличить сроки предоставления сведений субъекту ПД (изменения в ч. 3 ст. 14 Закона), сроки изменения и уничтожения неактуальных ПД (изменения в ч. 3 ст. 20 Закона).
В-третьих, поправки дополняют Закон основанием для обработки ПД без согласия субъекта «для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных», при этом под достижением таких целей может пониматься практически все что угодно.
Кроме того, законопроект предполагает наделение поправок обратной силой, что негативным образом скажется на субъектах ПД, которые дали согласие на обработку в рамках текущего регулирования.
В целом я оцениваю законопроект крайне негативно. Предлагаемые изменения идут вразрез с мировыми практиками в области регулирования обработки ПД (в частности, GDPR). Кроме того, в законопроекте планируется закрепить возможность свободной обработки обезличенных ПД, хотя многие эксперты, наоборот, указывают на необходимость более строгого регулирования в данной области в рамках «больших данных» [2].
Следует отметить, что в законопроекте есть ряд положительных моментов. Например, предлагается уточнить право оператора обрабатывать ПД без согласия субъекта в ходе переговоров. Но право обрабатывать ПД при направлении оферты создает угрозу злоупотребления со стороны операторов, поскольку позволяет им направлять предложения о заключении договора без согласия субъекта.
В то же время, если законопроект будет принят, то поправки крайне отрицательно отразятся на субъектах ПД, которые утратят контроль за обработкой их данных. При этом операторы получат гораздо большие возможности для анализа и монетизации больших данных.
[1] Статья 9 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
[2] См., например, Савельев А. И. Направления регулирования больших данных и защита неприкосновенности частной жизни в новых экономических реалиях // Журнал «Закон» № 5, 2018.
Материал опубликован в разделе «Мнения» на сайте «Адвокатской газеты» 27.08.2018