В чем там дело?
РКН приступил к разработке отраслевых стандартов работы с ПД. Об этом на EDPC заявил Милош Вагнер:
В эти стандарты будут вшиты правила и принципы работы с данными, установленные законом. Они должны быть настроены таким образом, чтобы защищать права субъектов и удовлетворять потребности бизнеса в осуществлении своей деятельности. Это позволит дать четкие инструкции для тех, кто готов соблюдать закон. Мы уже нашли концептуальную поддержку этой инициативы в Минцифры, Минэкономразвития и других профильных федеральных ведомствах.
И буквально утром опубликовали цитату Главы Роскомнадзора Андрея Липова:
Возьмем туризм или образование. Вот две отрасли. В туризме гостиницам можно брать вот такие персональные данные. В образовании - другие. Проанализировать эти перечни с участием профильных ведомств и согласовать их. И дальше в рамках этих отраслевых перечней действовать без согласий. Но не взваливать на плечи гражданина непомерный груз по оценке того, нужны эти персональные данные или не нужны эти персональные данные. Тогда и меньше персональных данных будет скапливаться там, где не надо, и меньше будет утечек.
По сути речь идет о приземлении принципов и требований, установленных 152-ФЗ, для отдельных типовых бизнес-сценариев работы с ПД. Это прекрасная инициатива, которую приветствуют многие представители бизнеса. Это справедливо, конечно, при условии, что это не будет реализовано в форме единственного возможного сценария работы с данными, а в форме рекомендаций РКН. Опять-таки, элемент намоленного мягкого права от РКН и, кто знает, может даже пример win-win подхода для всех участников рынка данных. Это важнее и полезнее для отрасли, чем очередной запрет.
Что происходит сейчас?
С одной стороны, эта активность уже, как минимум отчасти предусмотрена Распоряжением Правительства № 2207-р, например, «определение объема обрабатываемых персональных данных» бизнесом (п. 1 плана мероприятий). С другой – из обновленного законопроекта Антифрод 2 было исключено упоминание разработки составов ПД, допускаемых к обработке. Будем посмотреть, как далее закрутится здесь сюжет.
Есть и еще нюанс. РКН говорил уже не раз, и даже не два:
Мы готовы работать, но не вместо, а вместе.
И правда, теперь видим и сами – много недовольных, но кто предложит что-то дельное? Как показывает практика, все мы много критикуем и потребляем, но креаторов из нас только лишь не все, к сожалению. А для создания таких стандартов как раз-таки нужен глас народа бизнеса.
Что в них может быть?
В таком стандарте кроме стандартных наборов ПД могли бы быть предусмотрены следующие параметры обработок:
Всем хочется как лучше, и вот чтобы так и получилось, крайне важно сразу установить рекомендательный характер такого стандарта, что его примеры и условия не являются исчерпывающими и всеохватывающими. Рекомендательный характер более предпочтителен с учетом того, что стандарт a priori не может покрыть любые процессы обработки ПД, которые могут отличаться у операторов и зависеть от многих переменных. Эта логика основывается, в том числе, на основе зарубежного опыта. Например, европейские надзорные органы издавали и издают такие стандарты в качестве не обязательных, а рекомендательных руководств, а также отдельные штаты Америки определяют в своих законах круг допустимых целей / наборов ПД для действия презумпции минимизации данных.
РКН приступил к разработке отраслевых стандартов работы с ПД. Об этом на EDPC заявил Милош Вагнер:
В эти стандарты будут вшиты правила и принципы работы с данными, установленные законом. Они должны быть настроены таким образом, чтобы защищать права субъектов и удовлетворять потребности бизнеса в осуществлении своей деятельности. Это позволит дать четкие инструкции для тех, кто готов соблюдать закон. Мы уже нашли концептуальную поддержку этой инициативы в Минцифры, Минэкономразвития и других профильных федеральных ведомствах.
И буквально утром опубликовали цитату Главы Роскомнадзора Андрея Липова:
Возьмем туризм или образование. Вот две отрасли. В туризме гостиницам можно брать вот такие персональные данные. В образовании - другие. Проанализировать эти перечни с участием профильных ведомств и согласовать их. И дальше в рамках этих отраслевых перечней действовать без согласий. Но не взваливать на плечи гражданина непомерный груз по оценке того, нужны эти персональные данные или не нужны эти персональные данные. Тогда и меньше персональных данных будет скапливаться там, где не надо, и меньше будет утечек.
По сути речь идет о приземлении принципов и требований, установленных 152-ФЗ, для отдельных типовых бизнес-сценариев работы с ПД. Это прекрасная инициатива, которую приветствуют многие представители бизнеса. Это справедливо, конечно, при условии, что это не будет реализовано в форме единственного возможного сценария работы с данными, а в форме рекомендаций РКН. Опять-таки, элемент намоленного мягкого права от РКН и, кто знает, может даже пример win-win подхода для всех участников рынка данных. Это важнее и полезнее для отрасли, чем очередной запрет.
Что происходит сейчас?
С одной стороны, эта активность уже, как минимум отчасти предусмотрена Распоряжением Правительства № 2207-р, например, «определение объема обрабатываемых персональных данных» бизнесом (п. 1 плана мероприятий). С другой – из обновленного законопроекта Антифрод 2 было исключено упоминание разработки составов ПД, допускаемых к обработке. Будем посмотреть, как далее закрутится здесь сюжет.
Есть и еще нюанс. РКН говорил уже не раз, и даже не два:
Мы готовы работать, но не вместо, а вместе.
И правда, теперь видим и сами – много недовольных, но кто предложит что-то дельное? Как показывает практика, все мы много критикуем и потребляем, но креаторов из нас только лишь не все, к сожалению. А для создания таких стандартов как раз-таки нужен глас народа бизнеса.
Что в них может быть?
В таком стандарте кроме стандартных наборов ПД могли бы быть предусмотрены следующие параметры обработок:
- перечень типовых целей / процессов обработки ПД;
- правовые основания по каждой типовой обработке;
- ориентиры по срокам хранения / уничтожения ПД;
- типовые категории третьих лиц, которым может передаваться обработка, и условия такой передачи.
Всем хочется как лучше, и вот чтобы так и получилось, крайне важно сразу установить рекомендательный характер такого стандарта, что его примеры и условия не являются исчерпывающими и всеохватывающими. Рекомендательный характер более предпочтителен с учетом того, что стандарт a priori не может покрыть любые процессы обработки ПД, которые могут отличаться у операторов и зависеть от многих переменных. Эта логика основывается, в том числе, на основе зарубежного опыта. Например, европейские надзорные органы издавали и издают такие стандарты в качестве не обязательных, а рекомендательных руководств, а также отдельные штаты Америки определяют в своих законах круг допустимых целей / наборов ПД для действия презумпции минимизации данных.