Персональные данные: применение Закона вызывает вопросы
Закон от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон) вступил в силу 15 ноября минувшего года. Данный НПА впервые ввел комплексное регулирование защиты персональных данных, прав и свобод физических лиц при обработке их личной информации. Документом установлено достаточно много новшеств в работе субъектов хозяйствования, и не все, как выяснилось, готовы их применять.
Об этом свидетельствует накопившаяся за почти 3 месяца практика.
О трудностях, с которыми пришлось столкнуться в связи с нововведениями, на пресс-конференции рассказал директор Национального центра защиты персональных данных (НЦЗПД) Андрей Гаев. Центр создан во исполнение норм Закона в декабре 2021 г.
Согласие на всякий случай
В НЦЗПД за это время поступило около 180 запросов от субъектов хозяйствования и граждан с просьбой разъяснить нормы нового закона – от обработки персональных данных в сфере ЖКХ и деятельности банков и дистанционного банковского обслуживания до вопросов использования данных торговыми сетями в рамках разрабатываемых и продвигаемых ими программ лояльности.
«Есть уже некоторые признаки, свидетельствующие о том, что имеется ряд проблем в организации работы тех, кто обрабатывает персональные данные. Есть и вопросы, с которыми сталкиваются граждане», – констатировал Андрей Гаев.
По его словам, многими операторами персональных данных «упущен шестимесячный срок, отведенный на вступление основных положений закона в силу... Сегодня многие операторы пытаются нагнать упущенное время. Из-за того, что те или иные решения, вытекающие из закона, не были реализованы, возникают проблемы, связанные с последующей защитой персональных данных», – добавил руководитель НЦЗПД.
Он обратил внимание, что во многих сферах сложился «культ согласия на обработку персональных данных». Так представитель организации охарактеризовал практику получения согласия не только в предусмотренных законом случаях, но и когда этого делать не требуется.
По словам Андрея Гаева, Законом установлен широкий перечень оснований для обработки персональных данных без согласия их субъекта, в частности, в сфере трудовых и связанных с ними отношений, при обращении за осуществлением административных процедур, заключении договоров.
Еще один блок проблем при применении нового законодательства связан с тем, что, получив согласие, ему придают «абсолютный характер» и часто считают, что «раз оно получено, никаких иных мер по защите персональных данных и по исполнению закона якобы принимать не надо».
Представитель регулятора пояснил, что в законодательство намеренно заложен риск-ориентированный подход – конкретный перечень мер по защите данных каждый оператор должен определить самостоятельно, а НПА установил только базовые требования к ним (разработать политику по защите персональных данных, определить их перечень, категории лиц, имеющие к ним доступ, принять меры по технической и криптографической защите информации).
Также согласие зачастую отбирается однократно для нескольких не связанных между собой целей, что неверно. Например, при входе в систему дистанционного банковского обслуживания человек сталкивается с просьбой согласиться предоставить данные для коммерческой рассылки, хотя согласие при проведении самой банковской операции не требуется.
В целом директор НЦЗПД посоветовал не предоставлять персональные данные непроверенным источникам, и «категорически недопустимо распространять персональные данные в отношении иных лиц». Речь идет в т.ч. о фотоснимках, пояснил он.
Рекомендации готовы
Заместитель начальника управления методологии защиты персональных данных НЦЗПД Ирина Пырко рассказала об отраслевых рекомендациях, которые разработал центр. Первый документ – Рекомендации об обработке персональных данных в связи с трудовой (служебной) деятельностью – был опубликован 25 января в информационно-поисковой системе «Эталон-онлайн» в разделе «Правоприменительная практика» (см. статью «Согласие работников и соискателей на обработку персональных данных», «ЭГ» № 7 за 28.01.2022).
Сейчас центр занят систематизацией вопросов, возникших в банковской среде, поэтому есть большая вероятность, что следующие рекомендации будут адресованы банковскому сектору.
Получение операторами согласия клиентов и работников на обработку персональных данных, по словам Ирины Пырко, является актуальной проблемой для всех отраслей. В рекомендациях, сформулированных для трудовой сферы, приведены два основания, когда согласие субъекта не требуется: данные обрабатываются в связи с исполнением норм законодательства о труде либо во исполнение обязанностей нанимателя.
Представитель НЦЗПД подчеркнула, что, независимо от правового основания обработки персональных данных (в т.ч. при обработке без согласия субъекта), наниматели обязаны соблюдать общие требования к ней, установленные ст. 4 Закона.
Самые важные – об исключении избыточности данных по отношению к заявленным целям обработки, а также о том, что персональные данные могут храниться не дольше, чем этого требуют заявленные цели их обработки.