Персональные данные приведут в порядок
Как РКН собирается оптимизировать и контролировать сбор личной информации
Роскомнадзор предложил заменить согласия на обработку персональных данных отраслевыми стандартами. По словам главы ведомства Андрея Липова, нынешний порядок больше не защищает пользователей, со временем у человека накапливается большое количество согласий, которые тяжело контролировать. Как бизнес справляется с законодательством о персональных данных? И на что надеется? Расскажет Александр Мезенцев.
Фото: Ирина Бужор, Коммерсантъ
Фото: Ирина Бужор, Коммерсантъ
Свои предложения по персональным данным Роскомнадзор может внести на рассмотрение Госдумы в текущую осеннюю сессию. РКН уже направил инициативу в правительство, чтобы оно, по словам главы ведомства Липова, включило ее во второй пакет по борьбе с мошенничеством. Механизм, который есть сейчас, избыточен, требует много расходов, вплоть до того, что все документы зачем-то нужно распечатывать, отмечает сооснователь сервиса «Битрикс-24» Сергей Рыжиков: «Есть закон, вокруг него создается деятельность, а пользы, даже защищенности, не возникает. Если я правильно понимаю инициативу РКН, они хотят исправить это и создать какой-то набор правил, которые будут сами согласовывать с организациями и обрабатывать. И здесь уже начинается другая история. Конечно, никто сейчас не понимает, как это будет раотать. Хотелось бы, чтобы было больше и здравого смысла, и пользы, но в то же время, чтобы это не превратилось в невозможность вообще работать с людьми».
Вместо повсеместных согласий РКН хочет установить для каждой отрасли нормы: какие данные допустимо собирать, сколько времени хранить, кому разрешается передавать и какие меры безопасности при этом все обязаны соблюдать. Контролировать это будут профильные органы и сам Роскомнадзор.
В РКН ответили на запрос “Ъ FM” и пояснили, что обработка данных «критична для оказания услуг и затрагивает массового потребителя». Роскомнадзор сообщает, что концепция отраслевых стандартов уже сформирована и «нашла концептуальную поддержку в ряде федеральных ведомств».
Стандарты — это конкретные «правила игры» для каждой отрасли. Они будут включать: перечень необходимых данных, сроки хранения и порядок уничтожения информации, правовые основания обработки (договор или закон), источники данных (госcистемы, уполномоченные органы, документы) и порядок взаимодействия с человеком по вопросам обработки данных.
В стандарты будут «вшиты» принципы закона «О персональных данных», прежде всего минимизация данных. Это даст понятные инструкции организациям, которые хотят работать честно, но не имеют ресурсов на юристов.
В первую очередь стандарты появятся в сферах, где обработка данных критична и затрагивает массового потребителя: образование, ЖКХ, здравоохранение и туризм.
Работа экспертов и представителей бизнеса над содержанием стандартов уже начата на площадке Центра компетенций в сфере персональных данных Главного радиочастотного центра.
Задача стандарта — защитить человека от избыточного сбора данных и злоупотреблений со стороны организаций, которые принуждают предоставлять многочисленные согласия, чтобы снять с себя ответственность и переложить риски на граждан.
В качестве примера глава ведомства указал: один набор персональных данных потребуется для образовательной компании, другой — для туристической. Последние собирают совершенно разную информацию о клиентах, отмечает вице-президент Российского союза туриндустрии Георгий Мохов: «Может быть, это упростит взаимодействие с клиентами. Каким-то компаниям нужны паспортные данные, свидетельства о рождении детей, где-то вообще информация обезличенная, например, сколько человек село в автобус. Если брать санаторно-курортный комплекс, там есть и сведения, связанные с медицинскими показаниями, то есть это уже другой уровень. Единые стандарты, конечно, помогут снизить расходы. Ведь дело же не только в согласии — там больше 50 документов для того, чтобы исполнить закон о персональных данных».
В целом собственные стандарты на фоне более жесткого и общего закона для иных случаев необходимы и могут в том числе стать защитой, говорит директор по науке компании Genotek Александр Ракитько: «Если мы говорим о медицинских, биологических, генетических данных, то они входят в самую сложную специальную категорию и требуют максимальной защиты. Крупные биобанки не могут предоставлять доступ ученым, чтобы, например, разрабатывать новые лекарства. И с этой точки зрения, если для нашей отрасли будут делать исключения, это, конечно же, хорошо. Если мы говорим про медицину, то помимо работы с персональными данными можно было оговорить, как мы можем анонимизировать эти данные, то есть деперсонализировать».
Между тем с 1 сентября заработали новые положения о персональных данных. Еще в 2024 году появился закон об оборотных штрафах за утечки информации. Например, до 300 тыс. руб. за неуведомление Роскомнадзора о начале обработки данных. В некоторых случаях речь идет даже о подключении сайта к «Яндекс Метрике» или Google Analytics. И в начале октября в соцсетях начали появляться посты предпринимателей и юристов: РКН приступил к проверкам и начал рассылать требования устранить нарушения.
С нами все ясно — Telegram-канал "Ъ FM".