Персональные данные: применение Закона вызывает вопросы

Закон от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон) вступил в силу 15 ноября минувшего года. Данный НПА впервые ввел комплексное регулирование защиты персональных данных, прав и свобод физических лиц при обработке их личной информации. Документом установлено достаточно много новшеств в работе субъектов хозяйствования, и не все, как выяснилось, готовы их применять.

Об этом свидетельствует накопившаяся за почти 3 месяца практика.

О трудностях, с которыми пришлось столкнуться в связи с нововведениями, на пресс-конференции рассказал директор Национального центра защиты персональных данных (НЦЗПД) Андрей Гаев. Центр создан во исполнение норм Закона в декабре 2021 г.

Согласие на всякий случай

В НЦЗПД за это время поступило около 180 запросов от субъектов хозяйствования и граждан с просьбой разъяснить нормы нового закона – от обработки персональных данных в сфере ЖКХ и деятельности банков и дистанционного банковского обслуживания до вопросов использования данных торговыми сетями в рамках разрабатываемых и продвигаемых ими программ лояльности.

«Есть уже некоторые признаки, свидетельствующие о том, что имеется ряд проблем в организации работы тех, кто обрабатывает персональные данные. Есть и вопросы, с которыми сталкиваются граждане», – констатировал Андрей Гаев.

По его словам, многими операторами персональных данных «упущен шестимесячный срок, отведенный на вступление основных положений закона в силу... Сегодня многие операторы пытаются нагнать упущенное время. Из-за того, что те или иные решения, вытекающие из закона, не были реализованы, возникают проблемы, связанные с последующей защитой персональных данных», – добавил руководитель НЦЗПД.

Он обратил внимание, что во многих сферах сложился «культ согласия на обработку персональных данных». Так представитель организации охарактеризовал практику получения согласия не только в преду­смотренных законом случаях, но и когда этого делать не требуется.

По словам Андрея Гаева, Законом установлен широкий перечень оснований для обработки персональных данных без согласия их субъекта, в частности, в сфере трудовых и связанных с ними отношений, при обращении за осуществлением административных процедур, заключении договоров.

Еще один блок проблем при применении нового законодательства связан с тем, что, получив согласие, ему придают «абсолютный характер» и часто считают, что «раз оно получено, никаких иных мер по защите персональных данных и по исполнению закона якобы принимать не надо».

Представитель регулятора пояснил, что в законодательство намеренно заложен риск-ориентированный подход – конкретный перечень мер по защите данных каждый оператор должен определить самостоятельно, а НПА установил только базовые требования к ним (разработать политику по защите персональных данных, определить их перечень, категории лиц, имеющие к ним доступ, принять меры по технической и криптографической защите информации).

Также согласие зачастую отбирается однократно для нескольких не связанных между собой целей, что неверно. Например, при входе в систему дистанционного банковского обслуживания человек сталкивается с просьбой согласиться предоставить данные для коммерческой рассылки, хотя согласие при проведении самой банковской операции не требуется.

В целом директор НЦЗПД посоветовал не предоставлять персональные данные непроверенным источникам, и «категорически недопустимо распространять персональные данные в отношении иных лиц». Речь идет в т.ч. о фотоснимках, пояснил он.

Рекомендации готовы

Заместитель начальника управления методологии защиты персональных данных НЦЗПД Ирина Пырко рассказала об отраслевых рекомендациях, которые разработал центр. Первый документ – Рекомендации об обработке персональных данных в связи с трудовой (служебной) деятельностью – был опубликован 25 января в информационно-­поисковой системе «Эталон-онлайн» в разделе «Правоприменительная практика» (см. статью «Согласие работников и соискателей на обработку персональных данных», «ЭГ» № 7 за 28.01.2022).

Сейчас центр занят систематизацией вопросов, возникших в банковской среде, поэтому есть большая вероятность, что следующие рекомендации будут адресованы банковскому сектору.

Получение операторами согласия клиентов и работников на обработку персональных данных, по словам Ирины Пырко, является актуальной проблемой для всех отраслей. В рекомендациях, сформулированных для трудовой сферы, приведены два основания, когда согласие субъекта не требуется: данные обрабатываются в связи с исполнением норм законодательства о труде либо во исполнение обязанностей нанимателя.

Представитель НЦЗПД подчерк­нула, что, независимо от правового основания обработки персональных данных (в т.ч. при обработке без согласия субъекта), наниматели обязаны соблюдать общие требования к ней, установленные ст. 4 Закона.

Самые важные – об исключении избыточности данных по отношению к заявленным целям обработки, а также о том, что персональные данные могут храниться не дольше, чем этого требуют заявленные цели их обработки.