Проект приказа предполагает, что согласие субъекта ПДн может быть предоставлено оператору ПДн непосредственно или с использованием информационной системы Роскомнадзора. Согласие должно включать цели обработки данных, а также категории и перечень данных, на передачу которых дается согласие.
"Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу: общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных); специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости); биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения)", - говорится в проекте приказа.
По желанию субъект может ограничить или запретить оператору ПДн распространять и предоставлять ПДн неограниченному или определенному кругу лиц. Также согласие должно включать срок, в течение которого оно действует, а также сведения об информационных ресурсах оператора, посредством которых он будет передавать доступ к данным неограниченному кругу лиц.
В Ассоциации больших данных (АБД) считают, что требованиям нового закона на подзаконном уровне нужна большая детализация. Эксперты АБД предлагают в проект приказа Роскомнадзора добавить также цели обработки, категории и перечень персональных данных, на обработку которых дается согласие.
"В большинстве случаев при размещении данных в общественном доступе затруднительно заранее определить исчерпывающий перечень целей обработки, также затруднительно определить заранее категории персональных данных и их перечень, учитывая, что пользователи могут размещать данные на интернет-ресурсах на постоянной основе, и о чем будут следующие публикации, какие данные о себе захочет раскрыть человек, заранее неизвестно. Кроме того, необходимо учитывать, что пользователи общаются в режиме реального времени и их активности на интернет-площадках не поддаются прогнозированию", - сказал представитель пресс-службы АБД.
Роскомнадзор предлагает оформлять согласие по форме с указанием отчества, мобильного телефона и электронного или почтового адреса - это будет сложно, говорит ассоциированный партнер Rödl & Partner в России Татьяна Вуколова: "По сути, получается, что оператор должен очень постараться, чтобы собрать все требуемые данные. Притом, согласно разъяснениям самого же Роскомнадзора, для идентификации пользователя достаточно куда меньшее количество данных". Эксперт также отметила, что в пояснительной записке есть непонятные формулировки: "Проект приказа не содержит обязательных требований и не потребует дополнительного финансирования из федерального бюджета". "То есть обязательных требований все-таки нет в данном проекте приказа или данный пассаж касается исключительно вопросов финансирования и госбюджета?" - обратила внимание юрист Rödl & Partner.
Управляющий партнер юридической фирмы Axis Pravo Алексей Сулин считает, что самая большая проблема с персональными данными состоит в том, что, соглашаясь с обработкой персональных данных, люди, как правило, не читают политику их обработки. "Сейчас предоставление персональных данных происходит в автоматическом режиме, что делает этот процесс пустой формальностью. Представляется, что изменения в закон и принятие процедурного нормативного акта могут изменить отношение к этому вопросу", - сказал Сулин. Детализированное согласие позволит отнестись к передаче данных более внимательно и осознанно. "К тому же требования к содержанию такого согласия позволяют подойти к нему гибко, предусмотрев условия и запреты для обработки данных. Конечно, указанные нововведения создают дополнительные сложности для интернет-сервисов, которые будут вынуждены пересмотреть процедуры обработки персональных данных", - добавил представитель Axis Pravo. Такие сложности связаны как с затратами на дополнительное администрирование процедуры сбора и обработки, так и с возможными жалобами граждан в Роскомнадзор и с исками в судебные органы.
"Новые нормы принципиально не изменят федеральный закон, ведь приказ - лишь подзаконный акт, принятый во исполнение закона. В свою очередь, любые новые требования - это регуляторная и операционная нагрузка дополнительного характера, - говорит старший партнер юрфирмы "Катков и партнеры" Павел Катков. - Конечно, эту нагрузку не сравнить с законом Яровой, законом о суверенном рунете, однако из капель складывается море, а из этого моря - снижение уровня рентабельности и рост цены для абонента". По мнению юриста, для пресечения незаконного оборота персональных данных стоило бы бороться с мошенничеством, а не повышать нагрузку операторов.
Законопроект разработали для исполнения положений Федерального закона от 30 декабря 2020 г. №519-ФЗ "О внесении изменений в Федеральный закон "О персональных данных". Он наделяет Роскомнадзор правом устанавливать требования к содержанию согласия на обработку ПДн. Закон вступит в силу 1 марта этого года. Обсуждение проекта приказа продлится до 10 февраля.
Анастасия Самсонова