ZakonGuru
Назад

Когда персональные данные можно обрабатывать без согласия граждан: дополнения в законопроект о регуляторной песочнице

Опубликовано: 15.07.2020
Время на чтение: 10 мин
0
125

Сегодняшняя экономика и ее стабильное развитие невозможны без постоянного внедрения различных экспериментальных механизмов, которым требуется тщательная отработка, «обкатка». Однако нередко такие эксперименты требуют обязательного нормативного регулирования, что существенным образом тормозит возможности для многих компаний проверять на практике те экспериментальные идеи, которые они выдвигают.

Для того чтобы помочь разным компаниям в наиболее востребованных отраслях, на территории Российской Федерации начинается создание специальных площадок, которые подразумевают под собой не только территории, но и специально созданные условия для проведения разных экспериментов. По аналогии с Великобританией, где такие площадки были созданы и начали успешно применяться в 2016 году, в России их назвали «регуляторными песочницами».

🏝 Что такое «регуляторные песочницы»

«Регуляторная песочница» – условное название, которое, однако, достаточно четко отражает суть таких площадок. По своему происхождению данный термин относится к финансовым. Он означает предоставление разрешения тем компаниям, которые разрабатывают новые финансовые продукты, разные сервисы, технологии. Однако проводить проверку своих продуктов и технологий компании должны таким образом, чтобы не нарушать условия действующего законодательства.

Причем здесь песочница? Создание таких экспериментальных площадок происходит с помощью Центрального банка Российской Федерации – он является регулятором основных экономических вопросов, в том числе связанных с реализацией различных нововведений. Слово «песочница» в данном случае можно трактовать по аналогии с небольшой игровой зоной на детской площадке – дети там начинают реализовывать полученные навыки строительства («куличики», «домики»), чтобы потом их переносить на другие материалы (например, строить шалаши из более прочного материала). Именно таким же образом можно утрированно представить и «регуляторные песочницы» (другое название – «регулятивные песочницы») для компаний, которые хотят проверить жизнеспособность своих нововведений: они проверяют их в специально созданных для них условиях, а потом, если проверка эксперимента прошла успешно, внедряют в остальную жизнь.

А персональные данные? Проверка жизнеспособности созданного нововведения происходит «в условиях реальной жизни», то есть с задействованием определенного круга физических лиц, компаний. И нередко для того, чтобы проверка жизнеспособности того или иного нововведения полностью соответствовала условиям реальной жизни, требуется обрабатывать персональные данные определенных групп людей.

Использование «регуляторных песочниц» позволяет провести исследование жизнеспособности потенциального нововведения, но не нарушить при этом закон и быть частично свободными от предъявляемых требований, которые могут ограничить возможности практической проверки результатов проведенного эксперимента.

Первоначально создание «регуляторных песочниц» стало идеей Центробанка, а у самого этого механизма есть следующие цели:

  • увеличение перечня тех финансовых сервисов и технологий, которые есть на рынке и могут быть представлены в дальнейшем;
  • сокращение расходов, относимых к издержкам, которые компании несут при внедрении различных инновационных процессов;
  • повышение привлекательности для инвесторов тех компаний, которые предлагают различные инновации (отрасль внедрения таких инноваций не играет роли – это может быть и медицина, и образование, и другие сферы, где такие предложения могут быть нужны);
  • внесение изменений в существующую нормативную базу деятельности компаний-новаторов;
  • установление специального контроля со стороны уполномоченных органов над компаниями, работающими над внедрением разных инноваций.

Однако для того, чтобы эти цели были достижимы и Центробанком, и компаниями, которые свои инновации проверяют, потребуется в некоторой части преступать закон, получая доступ к определенным сведениям, доступа к которым может и не быть. Чаще всего речь идет о персональных данных.

Как вы относитесь к тому, что ваши персональные данные могут обрабатывать без получения письменного согласия на это?
Отрицательно – я не хочу, чтобы мои данные «уплыли» в сеть и там светилисьНейтрально – какая разница, если наши данные и так уже есть во всех организациях?Положительно – может быть, тогда от этих экспериментов появится что-то новое и упрощающее нашу жизнь

💡 Понятие экспериментальных правовых режимов

Для того чтобы проверять жизнеспособность тех или иных инновационных технологий, в том числе цифрового профиля, на государственном уровне принято решение позволить разным компаниям, которые и будут осуществлять такую проверку, осуществлять ее без соблюдения определенных норм действующего законодательства – если такие нормы законодательства будут причинять ущерб попыткам проведения таких проверок. Исключение составляет законодательство в сфере защиты прав потребителей – в этой сфере придется применять все действующие нормы.

Экспериментальный правовой режим – это специально сформированная ситуация по применению права, когда некоторые нормативно-правовые акты не применяются, чтобы не ограничивать права тех компаний, которые занимаются проверкой жизнеспособности тех или иных инноваций. То есть на компании, внедряющие такие проекты, не должны распространяться общие нормы законов, которые могут ограничить их экспериментаторские возможности.

Наибольшая вероятность установления таких экспериментальных правовых режимов характерна для следующих отраслей:

  • связанных с осуществлением дистанционной торговли, предметом которой являются товары, услуги или определенные виды работ;
  • деятельность которых связана с разработкой и последующим тестированием специальных систем эксплуатации транспортных средств, отличающихся высокой автоматизированностью функционирования;
  • функционирующих в сфере строительства и последующей эксплуатации возводимых зданий, а также различных инженерных и инженерно-коммуникационных сооружений.

Указанные сферы для установления экспериментальных правовых режимов характерны для компаний, которые начинают принимать участие в «регуляторных песочницах» с момента вступления в силу данного законопроекта в виде закона. Однако для организаций, которые тестируют и проверяют финансовые продукты, направленные на совершенствование всех действий в экономической и финансовой сферах деятельности, Центральным Банком Российской Федерации еще с 2018 года принято решение о необходимости использования специальных правовых режимов.

Экспериментальный правовой режим может быть установлен на региональном уровне для конкретного субъекта.

Пример. Из последних ярких примеров следует вспомнить тестирование, а потом и полноценное внедрение системы цифровых пропусков на территории Москвы с целью профилактики нарушений режима самоизоляции при борьбе с активным распространением коронавирусной инфекции. Такая система может быть применена на территории всего государства: в период нахождения Российской Федерации на пике распространения коронавирусной инфекции рассматривался вопрос о том, чтобы вводить пропускной режим на территории всего государства в случае ухудшения существующей ситуации с заболеваемостью.

Для того чтобы на уровне руководства региона или государства было принято решение об установлении экспериментального правового режима для той или иной организации, должны совпасть определенные условия, к которым относятся:

  • готовность созданных инноваций (цифрового профиля) к внедрению и использованию;
  • существующие нормативно-правовые акты мешают внедрению созданных цифровых инноваций;

а также если рассматриваемые инновации приведут хотя бы к одному из перечисленных ниже последствий:

  • в результате внедрения таких инноваций должен появиться новый вид экономической деятельности;
  • изменится – с качественной точки зрения – состав реализуемых товаров, услуг или работ, либо произойдет их расширение – с точки зрения ассортимента;
  • изменится в сторону увеличения прибыль компаний, работающих в той или иной отрасли бизнеса, либо сократятся их издержки;
  • произойдет повышение эффективности управления, осуществляемого на государственном или муниципальном уровнях (при этом речь идет и о предоставлении государственных услуг посредством различных электронных информационно-коммуникационных услуг и IT-решений).

В том случае, если указанные выше цели введения или использования экспериментального правового режима не будут достигнуты в те сроки, которые установлены законом для их действия (максимальный срок действия такого режима – три года), то компания исключается из перечня участвующих в таком режиме.

Быть ИП лучше, чем самозанятым. Выясняем почему
Читать
Хватит кошмарить бизнес. Как работает сервис защиты предпринимателей ЗаБизнес.рф
Подробнее

⚡ Исключения из правил применения закона «О персональных данных» в срезе законопроекта о «регуляторных песочницах»

Введение экспериментальных правовых режимов налагает определенные особенности на функционирование других законов. Одним из тех нормативных актов, действие и существование которого существенным образом может измениться после начала действия законов о «регуляторных песочницах», является Федеральный закон №152-ФЗ «О персональных данных».

Ключевым исключением, которое возникнет после принятия законопроекта «Об экспериментальных правовых режимах», следует считать возможность тех компаний и индивидуальных предпринимателей, которые действуют в рамках сформированного такого режима: то есть, не подчиняясь некоторым нормативным актам, обрабатывать персональные данные людей, косвенно затронутых данным режимом.

Как это? В частности, статья 9 Федерального закона №152-ФЗ «О персональных данных» говорит о том, что все личные идентифицирующие сведения субъекта (то есть физического лица, которое обладает теми или иными данными) могут быть обработаны только с его согласия. В случае же, если произошло введение экспериментального правового режима (то есть создание той самой «регуляторной песочницы»), то эти личные данные компания может обработать уже самостоятельно, не получая согласия. И доказывать, что согласие было получено, оператору уже не придется. Но только если речь идет о письменном согласии (выполненном на бумажном носителе). Если речь идет о получении согласия в электронной форме, то оно будет необходимо к получению.

Однако это касается, в первую очередь, биометрических персональных данных. Иные виды пока придется обрабатывать только с «бумажной формы» согласия того лица, которое ими обладает – является субъектом.

Национальная база генетической информации
Читать
Биометрия: что это такое и для чего собираются данные
Подробнее
Как ОМС ограничивает права граждан
Читать

⭐ Обработка специальных категорий персональных данных без согласия субъекта

Если говорить о специальных категориях персональных данных, то их нормативно-правовое регулирование опирается на положения статьи 10 Федерального закона №152-ФЗ «О персональных данных».

Что такое специальные категории персональных данных

К специальным категориям персональных данных следует отнести:

Эти сведения не могут быть распространены и обработаны без согласия того, кого они касаются, за исключением случаев:

  • когда такая обработка происходит в отношении тех данных, которые субъект самостоятельно сделал общедоступными;
  • провести обработку необходимо для того, чтобы выполнить условия международных договоров;
  • происходит обработка имеющихся сведений в рамках исполнения норм законодательства о переписи населения;
  • проведение такой обработки нацелено на улучшение обеспечения безопасности жизни и здоровья одного человека или группы лиц;
  • персональные данные религиозного характера обрабатываются самой организацией религиозного толка или специально нанятым для этого оператором (то есть организацией, у которой есть техническая возможность для того, чтобы проводить обработку таких данных);
  • проведение обработки персональных данных происходит в связи с необходимостью полноценного и грамотного осуществления правосудия;
  • для реализации законодательства, регулирующего правоотношения об обороне государства, обеспечении безопасности Российской Федерации, а также об осуществлении борьбы с терроризмом, в том числе в рамках проведения мероприятий по оперативно-розыскной деятельности на основании правил и требований уголовно-процессуального и уголовно-исполнительного законодательства России;
  • если речь идет об обработке персональных данных, которую проводят органы прокуратуры в рамках проведения ими мероприятий по прокурорскому надзору;
  • если обработка персональных данных производится в рамках реализации норм законодательства об обязательных видах страхования;
  • если речь идет об обработке персональных данных на государственном или муниципальном уровнях для того, чтобы обеспечить передачу детей, которые остались без попечения своих родителей, в другие семьи на воспитание;
  • если обработка полученных персональных данных ведется на основании действующего законодательства о гражданстве в Российской Федерации;
  • если речь идет о медицинских персональных данных, которые были обезличены и используются исключительно для того, чтобы улучшить эффективность управления системой здравоохранения на государственном или муниципальном уровнях (в том числе в виде улучшения качества оказания различных медицинских услуг).

Если речь идет о таких персональных данных, которые отражают факт наличия у человека судимости, то их обработка может осуществляться только специально уполномоченными на то государственными или муниципальными органами власти или учреждениями и без превышения специальных пределов доступа к таким данным, которые установлены действующим законодательством.

Можно ли потребовать прекращения обработки

Часть 5 статьи 21 Федерального закона №152-ФЗ «О персональных данных» сегодня говорит о возможности человека, который является субъектом персональных данных, потребовать прекращения такой обработки. И если оператором данные были получены без согласия субъекта (в том числе речь может идти о биометрических данных), то они должны не только перестать обрабатываться организацией-оператором, но и уничтожены в течение тридцати дней с момента получения заявления о прекращении обработки и использования.

Однако если речь идет об обезличенных данных, которые используются в статистических целях, либо речь идет об использовании персональных данных для соблюдения международных договоров или для отправления правосудия на территории Российской Федерации, то обработка имеющихся данных, а также их хранение будут осуществляться даже после отзыва согласия или после предоставления заявления о прекращении обработки.

Отзыв персональных данных из обработки может быть осуществлен субъектом или его представителем в том случае, если оператор осуществляет обработку неправомерно либо нарушает существующие нормы законодательства. В этом случае придется обращаться либо в тот государственный или муниципальный орган власти, который контролирует оператора, либо, если этот орган власти откажет в удовлетворении требований, действовать через суд.

Но ввиду того, что в Российской Федерации планируется к принятию законопроект федерального закона «Об экспериментальных правовых режимах», данные правила могут не действовать на компании, которые включаются в «регуляторные песочницы» и существуют в рамках созданных экспериментальных правовых режимов. Тогда отзыв персональных данных из обработки возможен будет только в том случае, если:

  • компания или действующий в ее интересах оператор прямым образом нарушил действующее законодательство или посягнул на права и свободы человека и гражданина;
  • либо по причине такой незаконной или некорректной обработки личные данные человека оказались разглашены.
Безвозмездная субсидия малому бизнесу на дезинфекцию
Читать
Создание единого ресурса с данными обо всех россиянах
Подробнее

👇 Прогноз №1: последствия внесения поправок

В том случае, если поправки будут внесены в Федеральный закон «О персональных данных» и в случае принятия законопроекта «Об экспериментальных правовых режимах», можно прогнозировать следующие правовые последствия:

  • компаниям, которые участвуют в апробации внедренных цифровых инноваций, будет позволено производить обработку персональных данных, в первую очередь, биометрического характера, без получения письменного согласия субъектов;
  • возможно послабление, с точки зрения требований относительно получения согласия на обработку персональных данных;
  • возможность продолжать работу с персональными данными даже после их отзыва или после предоставления заявления на прекращение обработки данных, полученных без согласия субъекта (так как действие рассмотренного выше Федерального закона будет частично приостановлено, чтобы исключить возможность ограничения функционирования организаций, тестирующих инновационные продукты или проекты).

Говорить о том, какие еще последствия могут сформироваться после принятия законопроекта «Об экспериментальных правовых режимах», пока рано, так как он прошел только первое чтение в Государственной думе и, вполне возможно, подвергнется еще неоднократным доработкам и поправкам, которые могут сформировать новые условия существования компаний, индивидуальных предпринимателей и других заинтересованных во внедрении различных, в первую очередь, цифровых, новшеств.

Почему правило «Клиент всегда прав» может вредить бизнесу
Читать
Система Честный знак для маркировки товаров
Подробнее

👍 Прогноз №2: положительные моменты

Планируемое принятие законопроекта «Об экспериментальных правовых режимах» должно существенным образом изменить существующую позицию в части обработки различных персональных данных в сторону упрощения проведения этой работы компаниями, функционирующими в «регуляторных песочницах».

С точки зрения компаний и индивидуальных предпринимателей, которые будут участвовать в проверке жизнеспособности их инноваций, можно выделить следующие положительные моменты:

  • появляется возможность обрабатывать большой массив данных с целью получения информации о том, как действуют внедренные инновации;
  • на обработку таких данных теперь не будет тратиться большое количество времени, так как не потребуется производить сбор письменных согласий – некоторые данные можно будет обрабатывать на основании электронных согласий субъектов, а некоторые – без такого согласия;
  • с точки зрения получения более качественного результата тестирования внедряемых инноваций (о жизнеспособности или нежизнеспособности той или иной технологии или продукта), возможно распространить такое тестирование на более широкий круг лиц, что позволит сделать такие тестирования более массовыми.

О других положительных сторонах так же следует делать выводы только после того, как будут приняты нормативные акты, формирующие порядок установления экспериментальных правовых режимов и создание «регуляторных песочниц».

Предусмотрена ли законом приостановка деятельности ИП. Оптимизация налогов во время простоя
Читать
Регуляторная гильотина, или Масштабная отмена бессмысленных требований к бизнесу
Смотреть

👉 Прогноз № 3: насколько все это безопасно и удобно для граждан

Подавляющее большинство людей, которые могут оказаться в сфере действия законодательства о «регуляторных песочницах», заинтересовано ключевым вопросом о том, насколько безопасна для них будет складывающаяся ситуация. В частности, речь идет о том, насколько будут защищены их персональные данные, если они будут подвергаться обработке без согласия субъектов. Для ответа на вопрос о безопасности людей следует указать, что у субъектов остаются в руках правовые инструменты, с помощью которых они смогут осуществлять защиту своих интересов, а именно:

  • на основании статьи 17 Федерального закона №152-ФЗ «О персональных данных» можно будет подать жалобу на действия организаций, выступающих операторами персональных данных, если такие действия причиняют какой-либо ущерб интересам самого человека, чьи персональные данные подвергаются обработке. Жалоба может быть подана в контролирующий орган, который смотрит за тем, каким образом происходит работа с персональными данными физических лиц;
  • в том случае, если взаимодействие с контролирующими органами над операторами персональных данных не принесло результатов, то в рамках использования части 2 статьи 17 указанного выше федерального нормативного акта может быть организовано обращение в суд. Но при этом субъект, пострадавший от неправомерных действий оператора (например, от разглашения, в том числе непредумышленного, таких данных), может подать и на взыскание морального вреда;
  • на основании абзаца 2 подпункта 2 части 2 статьи 17 законопроекта «Об экспериментальных правовых режимах» субъект персональных данных может обратиться в уполномоченные государственные органы по контролю за осуществлением функционирования организаций в рамках экспериментальных правовых режимов и за реализацией принятых программ с заявлением, если в ходе действия организаций в «регуляторных песочницах» произошло нарушение прав такого субъекта либо возникли какие-либо риски для его прав, его безопасности, в том числе связанные с проведением обработки его данных без получения у него согласия.

❓ Часто задаваемые вопросы

Можно получить согласие на обработку персональных данных по телефону?

Такое согласие носит характер электронного согласия, поэтому, если мы звоним сотовым операторам и слышим фразу о том, что, продолжая разговор, мы даем согласие на обработку персональных данных, полученное по телефону согласие может быть рассмотрено таковым.

Можно ли физлицу предоставлять персональные данные своих родственников?

Да. Такое право есть в некоторых случаях, если речь идет:

  • о несовершеннолетних детях, за которых персональные данные предоставляют их родители;
  • о недееспособных лицах, в том числе признанных таковыми на основании решения суда, так как за них в случае необходимости персональные данные и согласие на их оформление предоставляют родственники или назначенные опекуны;
  • об обработке персональных данных человека, который скончался: его персональные данные и согласие на обработку будут давать его наследник или иной представитель, которому такое право было дано покойным при жизни (душеприказчиком, доверенным лицом, личным нотариусом, адвокатом и т. д.).
Куда можно обратиться за защитой, если обработка персональных данных проводится с нарушениями?

В каждом субъекте Российской Федерации имеются контролирующие органы за операторами по обработке персональных данных. Например, если речь идет о медицинских организациях, то это специальные подразделения в Департаменте или Министерстве здравоохранения. Либо можно обращаться в суд, но надо точно знать, против кого будет происходить подача иска.

Как могут наказать оператора за нарушение закона «О персональных данных»?

В качестве наказания могут быть использованы меры, предусмотренные положениями статьи 13.11 Кодекса об административных правонарушениях Российской Федерации. При этом, если обработку персональных данных производит индивидуальный предприниматель, ведущий предпринимательскую деятельность коммерческого характера, то он в случае нарушений, подпадающих под санкции статьи 13.11 КоАП РФ, будет нести ответственность, как юридическое лицо.

Научите грамотным фразам, которыми можно пользоваться, если звонят с рекламными предложениями.

К сожалению, универсальных фраз в борьбе с рекламщиками сегодня не существует – в каждой конкретной ситуации следует принимать решение в зависимости от нее.

Как я могу убедиться в том, что мои персональные данные уничтожены по моему требованию?

Оператор на основании части 3 статьи 21 Федерального закона «О персональных данных» должен уведомить субъекта о том, что перестал обрабатывать, а также заблокировал те персональные данные, на прекращение обработки которых было направлено заявление. Но такое уведомление происходит только в том случае, если речь идет о персональных данных, в отношении которых выявлены неправомерное использование или обработка с нарушениями. Если таковых нет, то придется самостоятельно направлять запрос оператору, чтобы он сообщил о принятых действиях.

Не нашли ответа на свой вопрос? Звоните на телефон горячей линии 8 (800) 350-34-85. Это бесплатно.
Екатерина Алейникова
Юрист. Автор статей. Практика в сфере госзакупок, недвижимости, ДТП, споров со страховыми компаниями
Подпишитесь на нас в «Яндекс Дзен»
, ,
Поделиться
Похожие записи
Консультация. Звонок бесплатный
8 (800) 350-34-85
Adblock
detector