Статья 9 ФЗ 152 о персональных данных
Готовятся поправки в Закон о персональных данных
Центр компетенций по нормативному регулированию цифровой экономики Фонда «Сколково» опубликовал текст законопроекта, который адаптирует работу с персональными данными (далее – ПД) к новым технологиям.
Законопроектом предусмотрено расширение прав операторов и их возможностей по предоставлению ПД третьим лицам. Из текста законопроекта и содержания пояснительной записки к нему можно сделать вывод, что поправки предлагаются в интересах владельцев так называемых «больших данных» (которые включают в себя как обезличенные, так и иные данные) и, по сути, выводят обработку обезличенных ПД из сферы регулирования.
На мой взгляд, основная причина изменений – желание операторов получить более широкие возможности по «продаже» ПД третьим лицам.
Поправки не соответствуют принципам обработки персональных данных
Предлагаемые изменения не соответствуют принципам, закрепленным в Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон), в частности принципу информированного согласия субъекта ПД и принципу обработки ПД с заранее определенными целями.
Принцип информированного согласия закреплен в ч. 1 ст. 9 Закона, где указано, что «согласие на обработку персональных данных должно быть конкретным, информированным и сознательным». Это значит, что субъект, давая согласие на обработку ПД, должен обладать информацией о том, кто будет ее осуществлять, с какими целями и в каком объеме. Планируемые поправки (например, в части изменений, исключающих цели обработки ПД из перечня предоставляемой субъекту информации) не соответствуют указанному принципу.
Принцип обработки ПД с заранее определенными целями установлен в ч. 2 ст. 5 Закона. В соответствии с данным положением «обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей». Изменения данного положения, которые предусмотрены законопроектом, предполагают возможность отказаться от соблюдения данного принципа, если оператор получил согласие субъекта ПД или имеет некие «законные основания» для осуществления такой обработки ПД. По моему мнению, с учетом того, что указанный принцип является одним из основополагающих, отказ от него недопустим.
Поправки во многом избыточны
Статью 9 Закона предлагается дополнить возможностью получения согласия субъекта ПД, «подтвержденного с помощью иного аналога собственноручной подписи, в том числе установленного соглашением сторон, позволяющего однозначно установить лицо, выразившее такое согласие». При этом использование простой электронной подписи и сейчас возможно по соглашению сторон в соответствии с условиями, установленными законодательством об электронной подписи 1 .
Кроме того, изменениями в ст. 6 и 9 Закона предусмотрено предоставление оператору права поручить другому лицу обработку ПД без согласия субъекта, если оператор разместил на своем сайте перечень лиц, которым может быть поручена обработка. С одной стороны, более гибкий механизм указания лиц, которым может быть поручена обработка ПД, может быть полезен участникам рынка.
С другой стороны, практически аналогичного эффекта можно достичь и в рамках действующего регулирования, которое не запрещает деятельность по предоставлению ПД третьим лицам, в том числе в обезличенной форме, при условии обязательного получения информированного согласия субъекта на такие действия. Этот подход представляется справедливым с точки зрения необходимости защиты прав субъекта ПД.
Наиболее известный судебный спор по данной теме за последнее время – между ООО «ВКонтакте» и ООО «ДАБЛ», между владельцем большого массива ПД и лицом, разрабатывающим средства для обработки таких данных. В данном споре ООО «ВКонтакте» удалось отстоять свое право на массив ПД пользователя, защитив его как базу данных. К сожалению, вопрос защиты прав субъектов ПД (речь шла об общедоступных данных) в этом споре не рассматривался.
Изменения, ущемляющие права субъектов персональных данных
Во-первых, предлагается предоставить Правительству РФ возможность устанавливать иные случаи обработки специальных категорий ПД без согласия субъекта (изменения в ч. 2 ст. 10 Закона).
Во-вторых, разработчики хотят увеличить сроки предоставления сведений субъекту ПД (изменения в ч. 3 ст. 14 Закона), сроки изменения и уничтожения неактуальных ПД (изменения в ч. 3 ст. 20 Закона).
В-третьих, поправки дополняют Закон основанием для обработки ПД без согласия субъекта «для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных», при этом под достижением таких целей может пониматься практически все что угодно.
Кроме того, законопроект предполагает наделение поправок обратной силой, что негативным образом скажется на субъектах ПД, которые дали согласие на обработку в рамках текущего регулирования.
В целом я оцениваю законопроект крайне негативно. Предлагаемые изменения идут вразрез с мировыми практиками в области регулирования обработки ПД (в частности, GDPR). Кроме того, в законопроекте планируется закрепить возможность свободной обработки обезличенных ПД, хотя многие эксперты, наоборот, указывают на необходимость более строгого регулирования в данной области в рамках «больших данных» 2 .
Следует отметить, что в законопроекте есть ряд положительных моментов. Например, предлагается уточнить право оператора обрабатывать ПД без согласия субъекта в ходе переговоров. Но право обрабатывать ПД при направлении оферты создает угрозу злоупотребления со стороны операторов, поскольку позволяет им направлять предложения о заключении договора без согласия субъекта.
В то же время, если законопроект будет принят, то поправки крайне отрицательно отразятся на субъектах ПД, которые утратят контроль за обработкой их данных. При этом операторы получат гораздо большие возможности для анализа и монетизации больших данных.
1 Статья 9 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
2 См., например, Савельев А. И. Направления регулирования больших данных и защита неприкосновенности частной жизни в новых экономических реалиях // Журнал «Закон» № 5, 2018.
Согласие на обработку персональных данных
В соответствии со ст. 9 закона «О персональных. » от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).
Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.
Сторона, получающая личные сведения, обязана:
- заручиться согласием их владельца на обработку и использование;
- обеспечивать конфиденциальность;
- хранить документ, подтверждающий, что владелец разрешил работать с ними.
ВАЖНО! Работник в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных). В подобной ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии оснований, перечисленных в п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.
Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.
Чек-лист для разработки политики обработки персональных данных (ПД) на сайте
Что нужно проверить:
- любые формы отправки сообщений по типу «задать вопрос» и поля, обязательные для заполнения. Их нужно будет указать в политике обработки ПД в разделе «Объём ПД»;
- регистрация пользователя / личный кабинет / авторизация через соцсети. Проверить поля, обязательные для заполнения. Указать их в политике обработки ПД в разделе «Объём ПД»;
- форма заказа обратного звонка — какие поля в ней обязательны для заполнения. Эти данные нужно будет указывать в политике обработки ПД в разделах «Объем ПД» и «Цели ПД»;
- рассылка. Если есть форма подписки на рассылку, то необходимо размещать согласие на обработку ПД и согласие на получение рассылки (всё можно делать в одном документе). На рассылку нужно также сослаться в разделе «Цели ПД»;
- отзывы посетителей / клиентов / партнёров с ПД (благодарственные письма и т.д). Если пользователь пишет отзыв сам, то нужно размещать согласие на обработку ПД. Если выкладываются сканы благодарственных писем, то нужно предварительно обсудить с партнёром возможность получения такого согласия;
- возможность отправки резюме. В этом случае необходимо согласие на обработку ПД в целях трудоустройства.
База данных сайта с персональными данными пользователей должна находится на территории России.
Если политика обработки ПД (документ может называться «политика конфиденциальности» или аналогично) уже есть на сайте, проверьте по чек-листу цели сбора и объёмы ПД. Лишней информации там быть не должно быть. Принцип «лучше укажем больше данных, вдруг пригодится» неприемлем. Важно помнить, что объём собираемых данных должен соответствовать цели обработки. Универсальных критериев такого соответствия не существует, поэтому нужно руководствоваться принципами разумности и достаточности.
- для заказа авиабилетов нужны паспортные данные, для доставки пиццы — нет;
- для доставки заказа курьером интернет-магазина нужен адрес доставки, для самовывоза — нет;
- для бронирования билета в кино — вообще ничего не нужно, если не оплачивается онлайн.
Если на сайте нет никаких форм обратной связи, нет возможности заказать обратный звонок и т.п. — персональные данные не обрабатываются, следовательно, политику обработки ПД размещать не нужно.
Что такое распространение персональных данных
Под распространением персональных данных понимается совершение любых действий, нарушающих конфиденциальность согласно закону о персонализации данных в действующей редакции с последними изменениями.
Сюда можно отнести:
- передача информации третьим лицам без согласия гражданина;
- размещение личной информации о человеке в открытом доступе;
- продажа персональных данных и др.
Запрет на данные действия предполагает и наступление ответственности.
Скидка 20% на первый заказ
- -25% в будни!
- Настоящая римская пицца!
- -20% на самовывоз
- -20% на доставку
- Вход / регистрация
Нажимая кнопку «Получить код», вы принимаете условия Пользовательского соглашения
Спасибо! Письмо с подтверждением подписки придет к вам через 5-15 минут (не забудьте проверить «СПАМ» или специальную папку, куда приходят рекламные рассылки). А сразу после подтверждения – ждите промокод на подарочный ролл!
Спасибо, но вы уже подписаны на нашу подписку.
Извините, мы пока не можем обработать ваш запрос.
Доставка суши — онлайн сервис заказа суши и других блюд в Москве.
ООО «ВОЙСТЕЛ» ОГРН 1177746857551
Прием заказов: c 10:00 до 4:45
Телефон: +7 495 234-24-24;
Что означает КТ1, КТ2, КТ3, КТ4 при вирусной пневмонии COVID-19?
Чтобы врачи могли объективно оценивать объем поражения легких, взвешивать риски и реагировать на вызовы, был принят единый стандарт классификации вирусных пневмоний по степени тяжести, где:
КТ-0 — отсутствие признаков вирусной пневмонии;
КТ-1 — легкая форма пневмонии с участками «матового стекла», выраженность патологических изменений менее 25%;
КТ-2 — умеренная пневмония, поражено 25-50% легких;
КТ-3 — среднетяжелая пневмония, поражено 50-75% легких;
КТ-4 — тяжелая форма пневмонии, поражено >75% легких.
Процент деструкции легочной ткани определяется по томограммам. Врач-рентгенолог оценивает по пятибалльной шкале каждую из пяти долей легких.* Если признаки пневмонии не выявлены, то значение соответствует 0; 1 балл свидетельствует о поражении легких 5%, и так далее.
* Согласно «Временным методическим рекомендациям» Министерства Здравоохранения РФ от октября 2020 г., принятая и описанная выше балльная система оценки легочных сегментов и долей упразднена. Объективность оценки поддерживается программным обеспечением и медицинской экспертизой.
Иными словами, сокращение КТ1, КТ2, КТ3 или КТ4, которое врач-рентгенолог пишет в заключении, указывает на объемы нефункциональной легочной ткани в совокупности с другими признаками, характерными для той или иной стадии. Это эмпирическая визуальная шкала, принятая рентгенологами.
Данную шкалу визуальной оценки легких по результатам компьютерной томографии (или МСКТ) разработали только во время пандемии новой коронавирусной инфекции. Ее ввели специалисты из Центра диагностики и телемедицины США, изучив КТ-исследования 13 003 человек, которые составили основную выборку.
Примечательно, что скорость перехода пневмонии к следующей, более осложненной степени зависит не только от возраста пациента (чем старше, тем быстрее), но и от текущей стадии заболевания. А именно, если вирусная пневмония SARS-CoV-2 у пациента была выявлена еще на первой стадии (КТ1), то предотвратить переход к следующей (КТ2) будет легче как минимум потому, что сравнительно малому числу вирионов требуется больше времени, чтобы распространиться по легким и спровоцировать более обширный воспалительный процесс. В то время как переход от КТ3 к КТ4 происходит очень быстро, и тогда жизнь пациента находится под угрозой. Анализируя уже упомянутую группу пациентов, ученые из США пришли к выводу, что при переходе в следующую группу, риск летального исхода при коронавирусе увеличивался примерно на 38%.
Процент вовлечения паренхимы (собственно поражения) легких в заключениях обычно указан приблизительно, поэтому диапазон значений может быть довольно широким, однако это не главный показатель. При определении степени тяжести воспаления легких учитываются и другие признаки воспаления легких:
1) Наличие «матовых стекол» на сканах КТ, их локализация, консолидация. «Матовые стекла» — это светлые участки легких на томограммах, которые свидетельствуют об очагах инфильтрации. Плотная ткань не пропускает рентгеновские лучи. «Матовые стекла» — основной признак поражения легких на КТ. Их распространенность и консолидация соответствует тяжелым стадиям пневмонии КТ3 и КТ4.
2) Утолщение междолькового пространства легких или «симптом булыжной мостовой» — ткань легких на сканах КТ имеет внешнее визуальное сходство с брусчаткой. Соответствует тяжелой стадии пневмонии КТ4.
3) Симптом «обратного гало» или «ободка́» — на томограммах выглядит как светлые кольца. Это участки уплотнения вокруг очага инфекции. Считается признаком организующейся пневмонии.
4) Ретикулярные изменения — тонкие линии патологически измененного легочного интерстиция, формирующие сеть.
Если в заключении указана «полисегментарная пневмония», это значит, что признаки воспалительного процесса обнаружены в обоих легких, в нескольких сегментах.
Новый европейский регламент GDPR
Правила, устанавливаемые относительно персональных данных на уровне закона, не только российская тенденция. Так, 25 мая 2018 года вступил в силу новый европейский регламент GDPR (General Data Protection Regulation) — большой, сложный и подробный закон. И, в частности, 30 пункт преамбулы к закону обращает внимание на то, что
В соответствии с новым европейским регламентом (как и с трактовкой российского регулятора) онлайн-идентификаторы позволяют идентифицировать конкретного интернет-пользователя. В целом же стоит признать, что однозначно определить персональные данные в полном объеме мы не можем, поскольку многие аспекты зависят от соответствующего контекста и контента.