Роскомнадзор решил еще больше ограничить сбор персональных данных

«РБК» поделилась новостью о том, что Роскомнадзор предлагает разработать и закрепить на законодательном уровне обязательные стандарты работы с персональными данными, которым должны будут следовать все участники оборота таких данных. Об этом рассказал представитель ведомства, по его словам, эта инициатива — пока в стадии предложения.

По словам источника, организации смогут собирать только те данные, которые действительно нужны для выполнения конкретных задач, сбор будет возможен только на основании закона, а не по согласию граждан, как это происходит в настоящее время.

Теперь при необходимости организации будут получать данные от уполномоченных органов, а не напрямую от граждан. Представитель Роскомнадзора заявляет, что в данный момент персональные данные часто собирают на всякий случай, без четкой цели их дальнейшего использования.

Глава комитета Госдумы по информационной политике Александр Хинштейн говорил, что оператором персональных данных является любой человек, кто их обрабатывает, включая индивидуальных предпринимателей, что составляет более 5 млн юридических и физических лиц в России. По его словам, не все они могут обеспечить защиту этих данных.

Так и появилось предложение депутата создать институт доверенных операторов, которые будут хранить персональные данные для тех, кто не могут сделать это самостоятельно. На них Хинштейн предлагал возложить процесс обработки данных. По его мнению, таких операторов должно будет контролировать государство, а в случае необходимости другие участники рынка смогут получать доступ к этим данным через защищенные каналы.

В настоящее время персональные данные в России обрабатываются по закону «О персональных данных», который выделяет несколько категорий такой информации:

• общие персональные данные (фамилия, имя, отчество, дата и место рождения, адрес, информация о работе, доходах и др.),
• специальные данные (расовая и национальная принадлежность, религия, взгляды на жизнь, информация о здоровье и личной жизни),
• биометрические данные (отпечатки пальцев, ДНК, фотографии и голосовые записи),
• иные данные (членство в организациях, текущее местонахождение и т. п.).

По словам советника практики интеллектуальной собственности юридической компании ЭБР Кристины Мкртчян, в настоящее время самым распространенным основанием сбора персональных данных является согласие пользователя. Также она выделила требования законодательства, исполнение договора с человеком, чьи данные собираются в защиту его жизненно важных интересов.

Суммы штрафов за нарушение правил защиты персональных данных физлица варьируются до 300 тыс. руб. для физлиц и до 1 млн руб. для юрлиц. Наказание за уголовное преступление, связанное с нарушением частной жизни, может повлечь лишение свободы на срок до пяти лет.

В январе 2024 года Госдума в первом чтении приняла законопроекты об административной и уголовной ответственности за утечки персональных данных. Проекты могут ввести оборотные штрафы для бизнеса и усилить уголовную ответственность. Данные поправки критиковали представители бизнеса. В настоящее время обсуждается версия документов ко второму чтению.

Кристина Мкртчян уточнила, что по общему правилу, установленному законом «О стандартизации», национальные стандарты в России применяются добровольно. Она добавила, что обязательными могут быть только требования, включенные в технические регламенты.

«То есть потребуется либо вносить изменения в законодательство о персональных данных с установкой конкретных обязательных требований, либо разработать специальный технический регламент», — сказала Мкртчян. Директор по аналитике АНО «Цифровая экономика» Карен Казарян, в свою очередь, указал, что Роскомнадзор не уполномочен выпускать какие-либо стандарты, так как является надзорным ведомством.

Источник в одной из IT-компаний указывает на невозможность учета всех сценариев обработки данных. По его словам, стандарт обработки данных не может одинаково эффективно применяться и к небольшим интернет-магазинам, и к крупным IT-компаниям.

Он считает, что набор данных, который нужен для эффективной работы локальному интернет-ресурсу и сервису с десятками миллионов пользователей, отличается в разы, и появление некоего единого обязательного стандарта здесь может означать невозможность развивать новые сервисы.

Алексей Мунтян, основатель Privacy Advocates, говорит, что данная инициатива может вызвать сопротивление со стороны бизнеса, так как новые ограничения могут затруднить их работу с данными и негативно сказаться на доходах и развитии. Но он считает, что предложение Роскомнадзора о разработке стандартов — значимый шаг к улучшению защиты персональных данных в России, где сейчас, по его словам, наблюдается нехватка гибких правовых норм.

По мнению Мунтяна, инициативу Роскомнадзора стоит рассматривать в контексте других предложений. Он пояснил, что в настоящее время согласие пользователя является основным основанием для обработки его данных, но некоторые регуляторы все равно предлагают создать иерархию оснований, в которой согласие не будет единственным или главным критерием. Вместо этого данные можно будет обрабатывать на основе закона или договора.

Кристина Мкртчян высказала свое мнение о том, что данная инициатива Роскомнадзора отражает глобальный тренд на усиление защиты приватности граждан. Она также обратила внимание на концептуальную схожесть предложенного подхода с принципом минимизации данных в европейском Общем регламенте по защите данных (GDPR).

По ее мнению, плюсом данного подхода является снижение рисков утечек данных и большая прозрачность для бизнеса. При этом она также отмечает минусы: сложность определения, какие данные действительно нужны. По словам Мкртчян, будет важно дать компаниям время на адаптацию к изменениям.

Ранее сообщалось, что Европейский суд, поддержав иск активиста Макса Шремса, защищающего неприкосновенность частной жизни, обязал компанию Meta* Platforms (запрещена на территории РФ) ограничить использование персональных данных, полученных от пользователей Facebook*, для настройки таргетированной рекламы.