Когда персональные данные можно обрабатывать без согласия граждан: дополнения в законопроект о регуляторной песочнице
Сегодняшняя экономика и ее стабильное развитие невозможны без постоянного внедрения различных экспериментальных механизмов, которым требуется тщательная отработка, «обкатка». Однако нередко такие эксперименты требуют обязательного нормативного регулирования, что существенным образом тормозит возможности для многих компаний проверять на практике те экспериментальные идеи, которые они выдвигают.
Для того чтобы помочь разным компаниям в наиболее востребованных отраслях, на территории Российской Федерации начинается создание специальных площадок, которые подразумевают под собой не только территории, но и специально созданные условия для проведения разных экспериментов. По аналогии с Великобританией, где такие площадки были созданы и начали успешно применяться в 2016 году, в России их назвали «регуляторными песочницами».
- 🏝 Что такое «регуляторные песочницы»
- 💡 Понятие экспериментальных правовых режимов
- ⚡ Исключения из правил применения закона «О персональных данных» в срезе законопроекта о «регуляторных песочницах»
- ⭐ Обработка специальных категорий персональных данных без согласия субъекта
- 👇 Прогноз №1: последствия внесения поправок
- 👍 Прогноз №2: положительные моменты
- 👉 Прогноз № 3: насколько все это безопасно и удобно для граждан
- ❓ Часто задаваемые вопросы
🏝 Что такое «регуляторные песочницы»
«Регуляторная песочница» – условное название, которое, однако, достаточно четко отражает суть таких площадок. По своему происхождению данный термин относится к финансовым. Он означает предоставление разрешения тем компаниям, которые разрабатывают новые финансовые продукты, разные сервисы, технологии. Однако проводить проверку своих продуктов и технологий компании должны таким образом, чтобы не нарушать условия действующего законодательства.
Причем здесь песочница? Создание таких экспериментальных площадок происходит с помощью Центрального банка Российской Федерации – он является регулятором основных экономических вопросов, в том числе связанных с реализацией различных нововведений. Слово «песочница» в данном случае можно трактовать по аналогии с небольшой игровой зоной на детской площадке – дети там начинают реализовывать полученные навыки строительства («куличики», «домики»), чтобы потом их переносить на другие материалы (например, строить шалаши из более прочного материала). Именно таким же образом можно утрированно представить и «регуляторные песочницы» (другое название – «регулятивные песочницы») для компаний, которые хотят проверить жизнеспособность своих нововведений: они проверяют их в специально созданных для них условиях, а потом, если проверка эксперимента прошла успешно, внедряют в остальную жизнь.
А персональные данные? Проверка жизнеспособности созданного нововведения происходит «в условиях реальной жизни», то есть с задействованием определенного круга физических лиц, компаний. И нередко для того, чтобы проверка жизнеспособности того или иного нововведения полностью соответствовала условиям реальной жизни, требуется обрабатывать персональные данные определенных групп людей.
Использование «регуляторных песочниц» позволяет провести исследование жизнеспособности потенциального нововведения, но не нарушить при этом закон и быть частично свободными от предъявляемых требований, которые могут ограничить возможности практической проверки результатов проведенного эксперимента.
Первоначально создание «регуляторных песочниц» стало идеей Центробанка, а у самого этого механизма есть следующие цели:
- увеличение перечня тех финансовых сервисов и технологий, которые есть на рынке и могут быть представлены в дальнейшем;
- сокращение расходов, относимых к издержкам, которые компании несут при внедрении различных инновационных процессов;
- повышение привлекательности для инвесторов тех компаний, которые предлагают различные инновации (отрасль внедрения таких инноваций не играет роли – это может быть и медицина, и образование, и другие сферы, где такие предложения могут быть нужны);
- внесение изменений в существующую нормативную базу деятельности компаний-новаторов;
- установление специального контроля со стороны уполномоченных органов над компаниями, работающими над внедрением разных инноваций.
Однако для того, чтобы эти цели были достижимы и Центробанком, и компаниями, которые свои инновации проверяют, потребуется в некоторой части преступать закон, получая доступ к определенным сведениям, доступа к которым может и не быть. Чаще всего речь идет о персональных данных.
💡 Понятие экспериментальных правовых режимов
Для того чтобы проверять жизнеспособность тех или иных инновационных технологий, в том числе цифрового профиля, на государственном уровне принято решение позволить разным компаниям, которые и будут осуществлять такую проверку, осуществлять ее без соблюдения определенных норм действующего законодательства – если такие нормы законодательства будут причинять ущерб попыткам проведения таких проверок. Исключение составляет законодательство в сфере защиты прав потребителей – в этой сфере придется применять все действующие нормы.
Экспериментальный правовой режим – это специально сформированная ситуация по применению права, когда некоторые нормативно-правовые акты не применяются, чтобы не ограничивать права тех компаний, которые занимаются проверкой жизнеспособности тех или иных инноваций. То есть на компании, внедряющие такие проекты, не должны распространяться общие нормы законов, которые могут ограничить их экспериментаторские возможности.
Наибольшая вероятность установления таких экспериментальных правовых режимов характерна для следующих отраслей:
- связанных с осуществлением дистанционной торговли, предметом которой являются товары, услуги или определенные виды работ;
- деятельность которых связана с разработкой и последующим тестированием специальных систем эксплуатации транспортных средств, отличающихся высокой автоматизированностью функционирования;
- функционирующих в сфере строительства и последующей эксплуатации возводимых зданий, а также различных инженерных и инженерно-коммуникационных сооружений.
Указанные сферы для установления экспериментальных правовых режимов характерны для компаний, которые начинают принимать участие в «регуляторных песочницах» с момента вступления в силу данного законопроекта в виде закона. Однако для организаций, которые тестируют и проверяют финансовые продукты, направленные на совершенствование всех действий в экономической и финансовой сферах деятельности, Центральным Банком Российской Федерации еще с 2018 года принято решение о необходимости использования специальных правовых режимов.
Экспериментальный правовой режим может быть установлен на региональном уровне для конкретного субъекта.
Пример. Из последних ярких примеров следует вспомнить тестирование, а потом и полноценное внедрение системы цифровых пропусков на территории Москвы с целью профилактики нарушений режима самоизоляции при борьбе с активным распространением коронавирусной инфекции. Такая система может быть применена на территории всего государства: в период нахождения Российской Федерации на пике распространения коронавирусной инфекции рассматривался вопрос о том, чтобы вводить пропускной режим на территории всего государства в случае ухудшения существующей ситуации с заболеваемостью.
Для того чтобы на уровне руководства региона или государства было принято решение об установлении экспериментального правового режима для той или иной организации, должны совпасть определенные условия, к которым относятся:
- готовность созданных инноваций (цифрового профиля) к внедрению и использованию;
- существующие нормативно-правовые акты мешают внедрению созданных цифровых инноваций;
а также если рассматриваемые инновации приведут хотя бы к одному из перечисленных ниже последствий:
- в результате внедрения таких инноваций должен появиться новый вид экономической деятельности;
- изменится – с качественной точки зрения – состав реализуемых товаров, услуг или работ, либо произойдет их расширение – с точки зрения ассортимента;
- изменится в сторону увеличения прибыль компаний, работающих в той или иной отрасли бизнеса, либо сократятся их издержки;
- произойдет повышение эффективности управления, осуществляемого на государственном или муниципальном уровнях (при этом речь идет и о предоставлении государственных услуг посредством различных электронных информационно-коммуникационных услуг и IT-решений).
В том случае, если указанные выше цели введения или использования экспериментального правового режима не будут достигнуты в те сроки, которые установлены законом для их действия (максимальный срок действия такого режима – три года), то компания исключается из перечня участвующих в таком режиме.
⚡ Исключения из правил применения закона «О персональных данных» в срезе законопроекта о «регуляторных песочницах»
Введение экспериментальных правовых режимов налагает определенные особенности на функционирование других законов. Одним из тех нормативных актов, действие и существование которого существенным образом может измениться после начала действия законов о «регуляторных песочницах», является Федеральный закон №152-ФЗ «О персональных данных».
Ключевым исключением, которое возникнет после принятия законопроекта «Об экспериментальных правовых режимах», следует считать возможность тех компаний и индивидуальных предпринимателей, которые действуют в рамках сформированного такого режима: то есть, не подчиняясь некоторым нормативным актам, обрабатывать персональные данные людей, косвенно затронутых данным режимом.
Как это? В частности, статья 9 Федерального закона №152-ФЗ «О персональных данных» говорит о том, что все личные идентифицирующие сведения субъекта (то есть физического лица, которое обладает теми или иными данными) могут быть обработаны только с его согласия. В случае же, если произошло введение экспериментального правового режима (то есть создание той самой «регуляторной песочницы»), то эти личные данные компания может обработать уже самостоятельно, не получая согласия. И доказывать, что согласие было получено, оператору уже не придется. Но только если речь идет о письменном согласии (выполненном на бумажном носителе). Если речь идет о получении согласия в электронной форме, то оно будет необходимо к получению.
Однако это касается, в первую очередь, биометрических персональных данных. Иные виды пока придется обрабатывать только с «бумажной формы» согласия того лица, которое ими обладает – является субъектом.
⭐ Обработка специальных категорий персональных данных без согласия субъекта
Если говорить о специальных категориях персональных данных, то их нормативно-правовое регулирование опирается на положения статьи 10 Федерального закона №152-ФЗ «О персональных данных».
Что такое специальные категории персональных данных
К специальным категориям персональных данных следует отнести:
- данные, которые касаются расовой и национальной принадлежности;
- сведения о политических взглядах;
- данные о религиозных и философских убеждениях;
- сведения о состоянии здоровья;
- информация об интимной жизни субъекта.
Эти сведения не могут быть распространены и обработаны без согласия того, кого они касаются, за исключением случаев:
- когда такая обработка происходит в отношении тех данных, которые субъект самостоятельно сделал общедоступными;
- провести обработку необходимо для того, чтобы выполнить условия международных договоров;
- происходит обработка имеющихся сведений в рамках исполнения норм законодательства о переписи населения;
- проведение такой обработки нацелено на улучшение обеспечения безопасности жизни и здоровья одного человека или группы лиц;
- персональные данные религиозного характера обрабатываются самой организацией религиозного толка или специально нанятым для этого оператором (то есть организацией, у которой есть техническая возможность для того, чтобы проводить обработку таких данных);
- проведение обработки персональных данных происходит в связи с необходимостью полноценного и грамотного осуществления правосудия;
- для реализации законодательства, регулирующего правоотношения об обороне государства, обеспечении безопасности Российской Федерации, а также об осуществлении борьбы с терроризмом, в том числе в рамках проведения мероприятий по оперативно-розыскной деятельности на основании правил и требований уголовно-процессуального и уголовно-исполнительного законодательства России;
- если речь идет об обработке персональных данных, которую проводят органы прокуратуры в рамках проведения ими мероприятий по прокурорскому надзору;
- если обработка персональных данных производится в рамках реализации норм законодательства об обязательных видах страхования;
- если речь идет об обработке персональных данных на государственном или муниципальном уровнях для того, чтобы обеспечить передачу детей, которые остались без попечения своих родителей, в другие семьи на воспитание;
- если обработка полученных персональных данных ведется на основании действующего законодательства о гражданстве в Российской Федерации;
- если речь идет о медицинских персональных данных, которые были обезличены и используются исключительно для того, чтобы улучшить эффективность управления системой здравоохранения на государственном или муниципальном уровнях (в том числе в виде улучшения качества оказания различных медицинских услуг).
Если речь идет о таких персональных данных, которые отражают факт наличия у человека судимости, то их обработка может осуществляться только специально уполномоченными на то государственными или муниципальными органами власти или учреждениями и без превышения специальных пределов доступа к таким данным, которые установлены действующим законодательством.
Можно ли потребовать прекращения обработки
Часть 5 статьи 21 Федерального закона №152-ФЗ «О персональных данных» сегодня говорит о возможности человека, который является субъектом персональных данных, потребовать прекращения такой обработки. И если оператором данные были получены без согласия субъекта (в том числе речь может идти о биометрических данных), то они должны не только перестать обрабатываться организацией-оператором, но и уничтожены в течение тридцати дней с момента получения заявления о прекращении обработки и использования.
Однако если речь идет об обезличенных данных, которые используются в статистических целях, либо речь идет об использовании персональных данных для соблюдения международных договоров или для отправления правосудия на территории Российской Федерации, то обработка имеющихся данных, а также их хранение будут осуществляться даже после отзыва согласия или после предоставления заявления о прекращении обработки.
Отзыв персональных данных из обработки может быть осуществлен субъектом или его представителем в том случае, если оператор осуществляет обработку неправомерно либо нарушает существующие нормы законодательства. В этом случае придется обращаться либо в тот государственный или муниципальный орган власти, который контролирует оператора, либо, если этот орган власти откажет в удовлетворении требований, действовать через суд.
Но ввиду того, что в Российской Федерации планируется к принятию законопроект федерального закона «Об экспериментальных правовых режимах», данные правила могут не действовать на компании, которые включаются в «регуляторные песочницы» и существуют в рамках созданных экспериментальных правовых режимов. Тогда отзыв персональных данных из обработки возможен будет только в том случае, если:
- компания или действующий в ее интересах оператор прямым образом нарушил действующее законодательство или посягнул на права и свободы человека и гражданина;
- либо по причине такой незаконной или некорректной обработки личные данные человека оказались разглашены.
👇 Прогноз №1: последствия внесения поправок
В том случае, если поправки будут внесены в Федеральный закон «О персональных данных» и в случае принятия законопроекта «Об экспериментальных правовых режимах», можно прогнозировать следующие правовые последствия:
- компаниям, которые участвуют в апробации внедренных цифровых инноваций, будет позволено производить обработку персональных данных, в первую очередь, биометрического характера, без получения письменного согласия субъектов;
- возможно послабление, с точки зрения требований относительно получения согласия на обработку персональных данных;
- возможность продолжать работу с персональными данными даже после их отзыва или после предоставления заявления на прекращение обработки данных, полученных без согласия субъекта (так как действие рассмотренного выше Федерального закона будет частично приостановлено, чтобы исключить возможность ограничения функционирования организаций, тестирующих инновационные продукты или проекты).
Говорить о том, какие еще последствия могут сформироваться после принятия законопроекта «Об экспериментальных правовых режимах», пока рано, так как он прошел только первое чтение в Государственной думе и, вполне возможно, подвергнется еще неоднократным доработкам и поправкам, которые могут сформировать новые условия существования компаний, индивидуальных предпринимателей и других заинтересованных во внедрении различных, в первую очередь, цифровых, новшеств.
👍 Прогноз №2: положительные моменты
Планируемое принятие законопроекта «Об экспериментальных правовых режимах» должно существенным образом изменить существующую позицию в части обработки различных персональных данных в сторону упрощения проведения этой работы компаниями, функционирующими в «регуляторных песочницах».
С точки зрения компаний и индивидуальных предпринимателей, которые будут участвовать в проверке жизнеспособности их инноваций, можно выделить следующие положительные моменты:
- появляется возможность обрабатывать большой массив данных с целью получения информации о том, как действуют внедренные инновации;
- на обработку таких данных теперь не будет тратиться большое количество времени, так как не потребуется производить сбор письменных согласий – некоторые данные можно будет обрабатывать на основании электронных согласий субъектов, а некоторые – без такого согласия;
- с точки зрения получения более качественного результата тестирования внедряемых инноваций (о жизнеспособности или нежизнеспособности той или иной технологии или продукта), возможно распространить такое тестирование на более широкий круг лиц, что позволит сделать такие тестирования более массовыми.
О других положительных сторонах так же следует делать выводы только после того, как будут приняты нормативные акты, формирующие порядок установления экспериментальных правовых режимов и создание «регуляторных песочниц».
👉 Прогноз № 3: насколько все это безопасно и удобно для граждан
Подавляющее большинство людей, которые могут оказаться в сфере действия законодательства о «регуляторных песочницах», заинтересовано ключевым вопросом о том, насколько безопасна для них будет складывающаяся ситуация. В частности, речь идет о том, насколько будут защищены их персональные данные, если они будут подвергаться обработке без согласия субъектов. Для ответа на вопрос о безопасности людей следует указать, что у субъектов остаются в руках правовые инструменты, с помощью которых они смогут осуществлять защиту своих интересов, а именно:
- на основании статьи 17 Федерального закона №152-ФЗ «О персональных данных» можно будет подать жалобу на действия организаций, выступающих операторами персональных данных, если такие действия причиняют какой-либо ущерб интересам самого человека, чьи персональные данные подвергаются обработке. Жалоба может быть подана в контролирующий орган, который смотрит за тем, каким образом происходит работа с персональными данными физических лиц;
- в том случае, если взаимодействие с контролирующими органами над операторами персональных данных не принесло результатов, то в рамках использования части 2 статьи 17 указанного выше федерального нормативного акта может быть организовано обращение в суд. Но при этом субъект, пострадавший от неправомерных действий оператора (например, от разглашения, в том числе непредумышленного, таких данных), может подать и на взыскание морального вреда;
- на основании абзаца 2 подпункта 2 части 2 статьи 17 законопроекта «Об экспериментальных правовых режимах» субъект персональных данных может обратиться в уполномоченные государственные органы по контролю за осуществлением функционирования организаций в рамках экспериментальных правовых режимов и за реализацией принятых программ с заявлением, если в ходе действия организаций в «регуляторных песочницах» произошло нарушение прав такого субъекта либо возникли какие-либо риски для его прав, его безопасности, в том числе связанные с проведением обработки его данных без получения у него согласия.
https://www.youtube.com/watch?v=97P6qMp_IoA