Юрий Донников: результаты работы РАЭК над поправками в ФЗ №152 «О персональных данных»

Юрий Донников (руководитель юридического отдела HeadHunterGroup, сопредседатель Комиссии РАЭК по правовым вопросам, член Комиссии РАЭК по информационной безопасности и киберпреступности)

Мы работаем по различным направлениям правового регулирования Интернета и не только. Одним из этих направлений является законодательство о персональных данных. Как обычно, есть два вопроса. Зачем вообще вносить поправки? Мы каждый год обсуждаем, каждый год вносятся какие-то изменения. И второй вопрос – почему этот закон настолько несовершенен?

Причины совершенно очевидны, потому что деятельность любых компаний в России в государственных и муниципальных органах и учреждениях, так или иначе, сопряжена с регулированием законодательства о персональных данных. Соответственно, интересы всех граждан, находящихся на территории РФ, в том числе и не граждан РФ, могут быть нарушены. Поскольку единожды написав законы нельзя заранее на века предусмотреть все события в жизни, определить ту модель, по которой будут регулироваться возникающие вновь и вновь отношения. Наши предложения направлены на то, чтобы повышать эффективность действующего законодательства о персональных данных, обеспечивать баланс интересов граждан и операторов персональных данных, в принципе, и государства.

Хотел бы рассказать о некоторых предложениях, которые мы обсуждали в комиссии и с представителями Совета Федерации. Два из них касаются введения нового понятия и выделения нового субъекта в области персональных данных – сооператора как лица, осуществляющего обработку персональных данных по поручению оператора и, соответственно, определение его правового статуса. Это нужно для того, чтобы те существующие отношения, когда операторы в силу небольшой оговорки в законе, вправе передавать на обработку имеющиеся у них данные из-за того, что, например, у них не хватает своих технических средств либо кадровых возможностей для того, чтобы обеспечить адекватную защиту персональных данных. В этом случае они могут привлекать сторонние организации. Сейчас проблема такова, что если взять реальные примеры – допустим я прихожу в торговый центр, мне предлагают участвовать в рекламной акции и, соответственно, просят оставить персональные данные для того, чтобы в случае выигрыша со мной связались. Я внимательно читаю и вижу, что я должен дать согласие на обработку персональных данных не только оператору, но еще и ряду компаний, которые указаны там указаны. Они не только обрабатывают, но и собирают, отдают на обработку и т.д. Наша идея заключается в том, чтобы поместить вот такого сооператора в зону ответственности основного оператора персональных данных. Т.е. если вы даете свои персональные данные, даете согласие на их обработку оператором, но у последнего нет необходимых ресурсов, то он может на договорной основе привлекать сторонние подрядные организации. При этом оператор будет отвечать за привлеченного субподрядчика, который будет осуществлять обработку ваших данных. Сейчас получается, что перед вами выступают две независимые организации. Если вам необходимо отозвать свое согласие на обработку персональных данных, то вы должны это делать путем отправления соответствующего уведомления и оператору и той организации, которая непосредственно занимается обработкой. Мы упрощаем эту процедуру и для субъекта персональных данных, т.е. он отзывает у оператора, а последний должен дать соответствующее поручение сооператору, который должен прекратить обработку ваших данных.

Другие правки направлены на некоторые уточнения законодательства, которое сейчас является фиксацией деловой практики, существующей много лет. Были попытки внесения конкретных предложений. Мы понимаем, что такое Интернет. Мы понимаем, что направлять письменное согласие на обработку персональных данных неудобно и для оператора и для субъекта персональных данных. Но при этом мы понимаем, что практика выработала предоставление согласия. Были другие попытки это явно в законе указать. Это привело к тому, что оператору в случае чего нужно было предоставить полученное согласие в любой форме. Мы сейчас более конкретно об этом говорим. Способ получения согласия может быть любой, в том числе и электронный – не только письменный. Еще одно направление связано с юрисдикцией действия закона о персональных данных. Есть территория РФ, имеется федеральное законодательство, но права субъектов могут нарушаться за пределами Российской Федерации, когда сбор осуществляется на территории других государств. Мы это дополнительно здесь оговариваем. Это необходимо делать, поскольку есть операторы, которые ведут подобную деятельность. Возникает вопрос – какое законодательство к ним применимо – другой страны или РФ?