Найти тему
"ДОЛГ.РФ"

В России появился новый закон о персональных данных. Как он будет работать? Пока что объяснений нет даже у Роскомнадзора

Законом были установлены новые правила по обработке, распространению и использованию персональных данных. Документ устанавливает для операторов персональных данных обязанность получать отдельное согласие на их распространение. Молчание субъекта, заранее проставленная «галочка» или опубликованное положение о политике конфиденциальности больше считаться не будут. Кроме этого, гражданин может указать оператору, какие данные он готов распространять, а какую информацию следует оставить недоступной для третьих лиц. Однако ряд положений уже действующего закона до сих пор остаются непонятными. Разъяснить их должен Роскомнадзор, который пока только готовит соответствующий приказ.

Вступивший в силу документ отменяет такое понятие как «общедоступные персональные данные». Документом установлено правило, согласно которому согласие на обработку любых персональных данных (в том числе имени и фамилии) должно быть оформлено отдельным документом. Его нельзя включать в примечания к договорам и в пункты с «проставленными» галочками, в документы о политике конфиденциальности сайта. В законопроекте подчеркивается, что молчание гражданина — не есть согласие на распространение его данных. Закон обязывает операторов, работающих с данными, иметь письменное соглашение или отказ субъекта.

«Такое согласие должно содержать перечень информационных ресурсов оператора персональных данных, на которых планируется размещать общедоступные персональные данные. Устанавливается, что молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения», — говорится в комментарии Кремля к документу.

В законе уточняется, что оператор обязан обеспечить субъекту персональных данных самому определять, какая информация может быть распространена, а какую не следует передавать неограниченному кругу. Кроме этого закон наделяет субъектов персональных данных правом в любой момент наложить табу на их использование. При этом подчеркивается, что никаких дополнительных условий или обоснований для выполнения оператором данного требования гражданин предоставлять не должен.

На первый взгляд нормы, указанные в законе, кажутся понятными. Однако у юристов есть рад вопросов касательно механизмов исполнения установленного регламента. Например, в документе говорится, что согласие на распространение персональных данных должно быть предоставлено в форме, которая подтверждала бы его наличие. При этом о каких конкретно формах идет речь, в законе не уточняется. Юрист CMS Russia Ирина Шурмина в рамках сессии на XII Всероссийском форуме деловых СМИ отмечала, что в приказе Роскомнадзора, который только находится на согласовании, уточняется, что согласие должно быть либо письменным, либо полученным через информационные ресурсы, например, портал «Госуслуги».

«Но с другой стороны, вы можете представить себе ситуацию, когда человек регистрируется в социальной сети, где подразумевается, что его данные будут распространяться на неограниченный круг лиц. И ему для того, чтобы дать согласие на такое распространение персональных данных, нужно будет либо письменно подписать согласие (что в цифровую эпоху нереально); либо воспользоваться квалифицированной ЭЦП, которая не у всех есть; либо залогиниться через «Госуслуги», там дать это согласие, и тогда только он сможет зарегистрировать в этой социальной сети. Пока что это выглядит весьма громоздкой конструкцией», — говорит эксперт.

В Минцифре пояснили, что социальные сети, вероятнее всего, будут выведены из-под действия новых норм об обработке персональных данных. Как пишет «Интерфакс», глава ведомства Максут Шадаев сообщил, что уже готовится инициатива, посвященная этому вопросу, которая упросить процесс идентификации.

«Очевидно, что для соцсетей такой режим не совсем подходит. С одной стороны, (сейчас) создаются дополнительные риски, что у соцсетей будут скапливаться реальные идентификационные данные, что вряд ли нужно, а с другой, это может во многом тормозить развитие наших социальных сетей, тем более если, например, Facebook такое не спрашивает», — цитирует издание министра.

В действующем с 1 марта законе также указано, что операторы, получившие полное или частичное одобрение персональных данных гражданина, должны в течение трех дней разместить информацию о том, какие именно данные и как субъект разрешил распространять. Как должно выглядеть это размещение — не уточняется. Возможно, это должны быть какие-то пометки или всплывающие окна (в случае с сайтом). Конкретных рекомендаций на этот счет Роскомнадзор пока не дает. Впрочем, данная норма вступает в силу только с 1 июля 2021 года, и у операторов еще есть время к ней подготовиться.

Не распространяется действие новых норм об обработке персональных данных на государственные организации — они могут запрашивать любую информацию без задокументированного согласия субъекта; а также на случаи, имеющие публичный интерес. Второй аспект не предусматривает конкретных критериев, по всей видимости, каждый случай будет рассматриваться индивидуально. Кроме этого, новация не распространяется на случаи передачи данных контрагентам или партнерам, когда существует такая необходимость. Закон четко разделяет понятия «распространение» и «передача».

«В связи со вступившим в силу законопроектом, использование любых открытых данных из интернета — риск для оператора. Даже если эту информацию уже кто-то «слил» в сеть — использовать ее по своему усмотрению не стоит. Нужно анализировать, просчитывать все риски. Если все же есть необходимость указать эти данные, лучше дать ссылку на источник, который их опубликовал», — говорит Ирина Шурмина.

Источник: ДОЛГ.РФ

Читайте нас также на нашей страничке Вконтакте и Telegram канале