Стандартные персональные вместо случайных
Роскомнадзор предлагает разработать и закрепить на законодательном уровне обязательные стандарты работы с персональными данными, которым должны будут следовать все участники оборота таких данных. Об этом РБК рассказал представитель ведомства. По его словам, эта инициатива — пока в стадии предложения.
Как следует из объяснения собеседника РБК, организации смогут собирать только те данные, которые действительно нужны для выполнения конкретных задач, и сбор будет возможен только на основании закона, а не по согласию граждан, как это происходит сейчас. Вместо того чтобы получать данные напрямую от граждан, организации будут получать их от уполномоченных органов, если это необходимо.
По словам представителя Роскомнадзора, сейчас нередко персональные данные собирают «на всякий случай», без четкой цели их дальнейшего использования. Оператором персональных данных является любой, кто их обрабатывает. А это более 5 млн юридических лиц в России, включая индивидуальных предпринимателей, говорил в октябре глава комитета Госдумы по информационной политике Александр Хинштейн. По его словам, не все они могут обеспечить их защиту. В связи с этим депутат предлагал создать институт доверенных операторов, которые будут хранить персональные данные для тех, кто не может сделать это самостоятельно. На них Хинштейн предлагал возложить процесс обработки данных. Таких операторов, по его мысли, будет контролировать государство, и в случае необходимости другие участники рынка смогут получать доступ к этим данным через защищенные каналы.
РБК направил запрос Александру Хинштейну и Минцифры.
Как обрабатывают персональные данные в России
Закон «О персональных данных» выделяет несколько категорий такой информации:
- общие персональные данные (фамилия, имя, отчество, дата и место рождения, адрес, информация о работе, доходах и др.);
- специальные данные (расовая и национальная принадлежность, религия, взгляды на жизнь, информация о здоровье и личной жизни);
- биометрические данные (отпечатки пальцев, ДНК, фотографии и голосовые записи);
- иные данные (членство в организациях, текущее местонахождение и т.п.).
Самое распространенное сейчас основание сбора персональных данных — это согласие пользователя, пояснила РБК советник практики интеллектуальной собственности юридической компании ЭБР Кристина Мкртчян. Среди других она назвала требования законодательства, исполнение договора с человеком, чьи данные собираются, защиту его жизненно важных интересов.
За нарушение правил защиты персональных данных физлица могут быть оштрафованы на сумму до 300 тыс. руб., юрлица — до 1 млн руб. Наказание за уголовное преступление, связанное с нарушением частной жизни, может повлечь лишение свободы на срок до пяти лет.
Госдума в январе 2024-го приняла в первом чтении законопроекты об административной и уголовной ответственности за утечки персональных данных. Среди прочего проекты могут ввести оборотные штрафы для бизнеса и усилить уголовную ответственность. Поправки критиковали представители бизнеса. Сейчас обсуждается версия документов ко второму чтению.
Как предложение Роскомнадзора повлияет на бизнес
По общему правилу, установленному законом «О стандартизации», национальные стандарты в России применяются добровольно, обязательными могут быть только требования, включенные в технические регламенты, напомнила Кристина Мкртчян. «То есть потребуется либо вносить изменения в законодательство о персональных данных с установкой конкретных обязательных требований, либо разработать специальный технический регламент», — рассуждает Мкртчян. Директор по аналитике АНО «Цифровая экономика» Карен Казарян, в свою очередь, указал, что Роскомнадзор не уполномочен выпускать какие-либо стандарты, так как является надзорным ведомством.
Источник РБК в одной из крупных IT-компаний указывает на невозможность учета всех сценариев обработки данных. «Стандарт обработки данных не может одинаково эффективно применяться и к небольшим интернет-магазинам, и к крупным IT-компаниям. Набор данных, который нужен для эффективной работы локальному интернет-ресурсу и сервису с десятками миллионов пользователей, отличается в разы, и появление некоего единого обязательного стандарта здесь может означать невозможность развивать новые сервисы», — рассуждает он.
По мнению основателя Privacy Advocates Алексея Мунтяна, инициатива может вызвать сопротивление со стороны бизнеса, так как новые ограничения могут затруднить их работу с данными и негативно сказаться на доходах и развитии. В то же время предложение Роскомнадзора о разработке стандартов, по его словам, — значимый шаг к улучшению защиты персональных данных в России, где сейчас наблюдается нехватка гибких правовых норм. Инициативу Роскомнадзора стоит рассматривать в контексте других предложений. Он пояснил, что в настоящее время согласие пользователя является основным основанием для обработки его данных, но некоторые регуляторы предлагают создать иерархию оснований, в которой согласие будет не единственным или главным критерием. Вместо этого данные можно будет обрабатывать на основе закона или договора, отметил Мунтян.
По мнению Кристины Мкртчян, эта инициатива Роскомнадзора «отражает глобальный тренд на усиление защиты приватности граждан». Она отметила, что предложенный подход концептуально схож с принципом минимизации данных в европейском Общем регламенте по защите данных (GDPR). Плюсом этого подхода она называет снижение рисков утечек данных и бóльшую прозрачность для бизнеса, среди минусов — сложность определения того, какие данные действительно нужны. «Важно будет дать компаниям время на адаптацию к изменениям», — подытожила она.