На Федеральном портале проектов нормативных правовых актов появился проект Федерального Закона «О внесении изменений в Федеральный закон «О персональных данных» в части уточнения требований при обезличивании персональных данных».

Полный текст проекта доступен по ссылке.

Суть предложения Минкомсвязи проста: обезличивать персональные данные можно будет только в случаях, прямо установленных законодательством Российской Федерации и в соответствии с требованиями и методами, установленными Роскомнадзором.

Если любой оператор, а не только орган власти или местного самоуправления, как сейчас, данные не обезличивает в установленных законом случаях или обезличивает их неправильно, это страшное деяние влечет административную ответственность, для чего Минкомсвязи внесло еще одно предложение, доступно по ссылке.

Текст проекта гласит:

Часть 7 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях изложить в следующей редакции:

«7. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных влечет предупреждение или наложение административного штрафа

• на граждан в размере от семисот до одной тысячи пятисот рублей;
• на должностных лиц — от трех тысяч до шести тысяч рублей;
• на индивидуальных предпринимателей — от пяти тысяч до десяти тысяч рублей;
• на юридических лиц — от пятнадцати тысяч до тридцати тысяч рублей.»

Административная ответственность за обезличивание данных в непредусмотренных законом случаях не устанавливается, но может квалифицироваться по части 1 статьи 13.11 – обработка персональных данных, не предусмотренная законом.

В Пояснительной записке к законопроекту указывается, что нововведение предлагается «во исполнение поручения Президента Российской Федерации от 23 ноября 2015 г. № Пр-2414 в целях защиты интересов субъектов персональных данных».

В упомянутой Пояснительной записке указывается, что «согласно Закону о персональных данных обезличивание персональных данных может также осуществляться операторами, не являющимися государственными и муниципальными органами в законодательно установленных случаях». А вот этого в законе нет.

Обезличивание упоминается в законе «О персональных данных» ровно четыре раза:

1. в пункте 3 статьи 3, где дается определение обработки персональных данных, и
2. в пункте 9 той же статьи, дающем определение термина «обезличивание»;
3. в части 7 статьи 5, наделяющей оператора полномочиями обезличить, а не уничтожить персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей;
4. и в пункте 9 части 1 статьи 6, разрешающей обрабатывать персональные данные без согласия субъекта в статистических или иных исследовательских целях, за исключением целей директ-маркетинга, при условии обязательного обезличивания персональных данных.

То есть, никаких установленных законом случаев обезличивания. Более того, предлагаемая норма прямо противоречит части 7 статьи 5.

Предлагаемая поправка убивает бизнес и науку. Исследования, медицинские, социологические или любые другие, построены на статистическом анализе данных об огромном количестве людей, которые именно для защиты их интересов обезличиваются соответствующими организациями.

Принятие законопроекта потребует внесения изменений в огромное количество законодательных актов для легализации обезличивания персональных данных в различных сферах деятельности, а до их принятия действия операторов по обезличиванию будут противоречить закону. Конечно, есть надежда, что данные инициативы не будут приняты.

По ссылке вы можете скачать наш White Paper о Федеральном Законе №152.
Это книга, которая была опубликована с целью помочь устранить путаницу в вопросах обработки персональных данных и ясно описать для бизнеса процесс приведения информационных систем персональных данных в соответствии с законодательством России. Тема раскрывается «с нуля». Уже более 4000 скачиваний.