Власти хотят упростить порядок сбора согласий с граждан на обработку их персональных данных. В случае принятия нового регулирования согласие можно будет давать сразу на несколько целей и нескольким организациям. Это должно облегчить «инновационному бизнесу» доступ к данным пользователей. Но гражданам нововведение грозит частичной потерей контроля над личной информацией, предупреждают эксперты.
Фото: Евгений Павленко, Коммерсантъ / купить фото
Госдума во вторник приняла в первом чтении поправки в закон «О персональных данных», которые позволяют гражданам давать согласие на обработку персональных данных сразу для нескольких целей и несколькими лицами.
Документ внесен правительством в июле 2020 года.
- Он также вводит понятие уникального идентификатора для субъекта персональных данных, который по соглашению сторон может быть использован вместо ФИО и паспортных данных.
- Оператор персональных данных, согласно законопроекту, должен будет использовать средства защиты информации с функцией ее уничтожения, которые прошли оценку соответствия в ФСБ или ФСТЭК.
- Роскомнадзор будет устанавливать требования к обезличиванию данных и методы для этого.
В случае принятия во втором и третьем чтениях законопроект вступит в силу через полгода после публикации.
Авторы инициативы считают ее актуальной «для построения цифровой среды доверия», в том числе для запуска новых инновационных сервисов, удаленного взаимодействия с клиентами и работниками, получения госуслуг.
Оператором персональных данных могут быть как органы власти, так и юридические и физические лица. Они определяют, какие данные будут обрабатывать и с какой целью.
Роскомнадзор и суды считают, что в текущей версии закона в одном согласии на обработку персональных данных могут быть указаны только одна цель обработки и только одно лицо для этого, пояснил член комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Вадим Перевалов. В Роскомнадзоре оперативно не ответили на запрос “Ъ”.
Законопроект может облегчить обработку данных клиентов холдингам, в которые входят сразу несколько компаний, полагает главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян.
В то же время для бизнеса инициатива может быть чревата дополнительными затратами на специальные средства по удалению данных.
«Уже сейчас компаниям сложно наладить процессы удаления информации, согласие на обработку которой, например, кончилось»,— говорит господин Перевалов.
Господин Казарян сомневается, что требование о соответствии средств уничтожения станет большой проблемой, поскольку закон «О персональных данных» уже предусматривает такую обязанность в отношении средств защиты. Однако директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович уточняет, что у ФСТЭК и ФСБ в утвержденных ими системах сертификации сейчас в принципе нет требований к средствам уничтожения информации. Поэтому, по ее мнению, проблема будет не только в экономической эффективности требований для бизнеса, но и в том, как реализовать норму с правовой точки зрения.
Ключевой же проблемой, подчеркивает Вадим Перевалов, остается информирование граждан:
«В новой форме согласия будет понятно, например, как долго могут обрабатываться персональные данные для той или иной цели, но не о какой именно информации в каждом случае идет речь».
Объединение нескольких целей обработки в одном согласии может быть неблагоприятно для граждан, согласны участники рынка. «Если место для подписи будет всего одно, то невозможно согласиться на одну цель обработки, но отказаться от другой»,— отмечает преподаватель Moscow Digital School Олег Блинов. Получается, считает он, что субъект будет хуже контролировать использование своих данных.