Отказ от согласий на обработку персональных данных в пользу отраслевых стандартов

Недавно Роскомнадзор выступил с инициативой отказа от согласий на обработку и внедрение отраслевых стандартов обработки персональных данных. Планируется, что соответствующие поправки будут подготовлены в рамках законодательной работы над пакетом «Антифрод-2». Ниже мы комментируем данную инициативу и рассказываем о том, чего ждать бизнесу.

Надо сказать, что в рамках подготовки пакета поправок по борьбе с мошенничеством («Антифрод-2») уже была попытка более жестко регулировать составы данных, которые могут собираться и обрабатываться операторами, но в итоге положения о том, что государственными органами могут разрабатываться нормативно-правовые акты, определяющие состав данных, допускаемых к обработке, и операции с ними, были исключены. Возможно, следует ожидать дополнительных правок к этому пакету именно в части отраслевых стандартов.

Пока сложно сказать, что собой будут представлять отраслевые стандарты обработки персональных данных, но, вероятно, они будут представлять собой некоторые рекомендации или «лучшие практики», унифицирующие процессы обработки данных в различных сферах бизнеса. Также ожидается, что первые стандарты появятся в отраслях с массовой обработкой данных — в образовании, ЖКХ, здравоохранении и туризме.

В Роскомнадзоре обещают, что подобные стандарты установят, в том числе, перечень необходимых данных, сроки хранения, порядок уничтожения информации и правовые основания обработки. В них будут интегрированы принципы закона «О персональных данных», включая принцип минимизации собираемых данных. Работа над содержанием отраслевых стандартов уже начата на площадке Центра компетенций в сфере персональных данных.

Ниже мы рассматриваем, какое значение данная инициатива может иметь для бизнеса, и как он может адаптироваться под данные изменения законодательства.

1. Несмотря на критику такого основания для обработки, как согласие субъекта персональных данных, оно все еще остается значимым правовым основанием. Особенно это касается случаев, когда у компании существуют специфические бизнес-процессы, которые выходят за рамки стандартно предоставляемых услуг. Здесь таким правовым основанием, как договор с клиентом, уже не обойтись, поскольку сбор персональных данных выходит за пределы исполнения договора — в этом случае требуется получение согласия. Как показывает международная практика, это достаточно эффективный правовой инструмент, и вопрос состоит лишь в его правильном использовании. Как видится, сейчас основной проблемой применения согласий является отсутствие системного «мягкого права» в виде рекомендаций и разъяснений государственных органов, отсутствие понимания у операторов, как именно его применять, отсутствие достаточного уровня сознательности субъектов персональных данных для управления собственными согласиями и исторически сложившаяся традиция в любой ситуации спрашивать согласие на обработку «на всякий случай».
2. В принципе, цель, которую преследуют отраслевые стандарты (сокращение количества согласий), вполне достижима и сейчас за счет более осмысленного применения такого основания обработки персональных данных, как законный интерес. Это основание широко применяется в международной практике при одновременном добросовестном соблюдении принципа минимизации данных. Однако сейчас не хватает официальных разъяснений о его использовании, в частности, рекомендованной методологии проведения оценки обоснованности применения данного основания (аналога «балансирующего» теста и оценки вреда для субъектов персональных данных, которые используются в зарубежной практике при оценке обоснованности использования законного интереса в соответствии с GDPR. Данная методология служит для того, чтобы документировать обоснованность выбора данного правового основания и при необходимости представить ее регулятору в случае возникновения вопросов или претензий относительно использования законного интереса в конкретном случае).
3. Сами по себе стандарты представляют собой достаточно новый механизм и не получили широкого распространения в международной практикеПохожим инструментом можно признать Codes of Conduct (Кодексы поведения), введенные статьей 40 GDPR, которые принимаются с учетом отдельных особенностей различных отраслей обработки персональных данных и специфических потребностей микро, малых и средних предприятий.. На данном этапе у бизнеса может возникать множество вопросов: как определить отрасль, что делать, если оператор хочет расширить свою деятельность на смежную отрасль или сменить ее, как быть стартапам или экосистемам, которые зачастую работают на стыке отраслей. Кроме того, стандарты предполагают унификацию процессов у организаций из одной индустрии, что вряд ли возможно, поскольку особенностью комплаенса обработки персональных данных является индивидуальный подход к фактическим процессам обработки и специфическим бизнес-целям. Кроме того, основной массив данных нередко собирается операторами для целей маркетинга, являющегося межотраслевой сферой, характерной для большинства секторов экономики. При этом перечень маркетинговых инструментов, равно как и объёмы собираемых данных, постоянно расширяется. Таким образом, если целью введения стандартов является минимизация данных, то необходимо обеспечить, чтобы этот принцип применялся каждым оператором самостоятельно или с учетом индивидуальности процессов и инструментов в каждом конкретном случае.
4. Учитывая текущий тренд на отказ от согласий, в долгосрочной перспективе операторам следует действительно задуматься о более активном применении законного интереса в качестве обоснования осуществляемой ими обработки данных или придерживаться принципов и технологий снижения количества собираемых и обрабатываемых персональных данных. Однако следует отметить, что бремя доказывания правомерности применения законного интереса фактически лежит на операторе, поэтому необходимо подробно документировать данный процесс и проводить тщательную оценку обоснованности его использования.