Минкомсвязи России подготовило проект поправок в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).
Согласно предложению ведомства, в Законе № 152-ФЗ будут прописаны понятия «обезличенные персональные данные» и «обезличенные данные», а также принципы и условия их обработки. Обезличенными персональными данными предложено считать информацию, которая не позволяет без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных, обезличенные данные — информация, которая в результате обезличивания не позволяет даже при использовании дополнительной информации определить ее принадлежность конкретному субъекту.
Как следует из текста, подготовленного Минкомсвязи, обезличивание персональных данных (ПД), в том числе в целях их последующей передачи третьим лицам, осуществляется с согласия субъекта ПД (если только они не используются для сбора статистической информации или для маркетинговых целей). Не допускается передача оператором третьим лицам в дополнение к обезличенным ПД иной информации, с использованием которой становится возможно определить субъекта персональных данных. При этом действия по получению обезличенных данных, а также их обработка могут осуществляться без согласия субъекта персональных данных, и ПД могут использоваться свободно, в том числе в целях, связанных с осуществлением предпринимательской деятельности.
Требования и методы обезличивания, обеспечивающие невозможность отнесения информации к конкретному субъекту персональных данных, должны быть установлены Правительством РФ.
Еще одно новшество, которое должно быть введено законопроектом, касается непосредственно персональных данных. Операторам могут разрешить получать согласие на обработку данных для разных целей. В соответствии с проектом от физлица потребуется всего одно согласие на обработку персональных данных с разными целями. При этом в согласии необходимо будет перечислить все цели. Гражданин сможет потребовать изменить состав целей в согласии, и на исполнение этого требования или мотивированный отказ по нему у компании или ИП будет семь рабочих дней. Отказ при этом можно будет обжаловать. По действующим правилам прямого запрета на одно согласие по нескольким целям нет, однако, как показывает практика, Роскомнадзор и суд могут посчитать это нарушением.