вторник, 7 августа 2018 г.

Утверждена форма согласия на обработку персональных данных для удаленной идентификации


Распоряжением Правительства РФ от 30 июня 2018 г. № 1322-р утверждена «Форма согласия на обработку персональных данных, необходимых для регистрации гражданина Российской Федерации в единой системе идентификации и аутентификации, и иных сведений, если такие сведения предусмотрены федеральными законами в указанной системе, и биометрических персональных данных гражданина Российской Федерации в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации».

Вопрос о получении согласия гражданина на обработку его персональных данных, с моей точки зрения, является одним из самых запутанных в законодательстве о персональных данных. Постоянно возникают споры о том, нужно или не нужно в конкретных случаях получать согласие, и как правильно действовать, если гражданин свое согласие на следующий день отозвал.

Соответственно, разработчики данного документа очень постарались, чтобы максимально защитить всех участвующих в процессе удаленной идентификации операторов от возможных претензий граждан.

Согласие дается сразу на обработку данных в двух системах (п.1):
  • В федеральной государственной информационной системе «Единая система идентификации и аутентификации» (ЕСИА);

  • В Единой информационной системе персональных данных.
Согласие на обработку в ЕСИА дается на следующие персональные данные: фамилия, имя, отчество (при наличии), пол, гражданство, дата и место рождения, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе, адрес регистрации по месту жительства (пребывания), идентификационный номер налогоплательщика, страховой номер индивидуального лицевого счета, контактные данные (номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты), иные сведения, предусмотренные федеральными законами, а также необходимые для размещения данных в учетной записи ЕСИА.

Мой комментарий: В ст. 9. «Согласие субъекта персональных данных на обработку его персональных данных» федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» требуется, чтобы в согласии содержался «перечень персональных данных, на обработку которых дается согласие субъекта персональных данных». Не думаю, что фраза «иные сведения, предусмотренные федеральными законами» отвечает этому условию. Согласие дается только на конкретные ПДн, перечисленные в нём, с указание видов и целей обработки.

Согласие дается сразу трём операторам (п.2):
  • Министерству цифрового развития, связи и массовых коммуникаций РФ - оператору единой системы идентификации и аутентификации, только для ПДн размещаемых в системе ЕСИА;

  • ПАО междугородной и международной электрической связи «Ростелеком» - оператору единой биометрической системы для биометрических ПДн;

  • Лицу, уполномоченному на обработку персональных и биометрических ПДн.
Они вправе осуществлять автоматизированную обработку ПДн или их обработку без использования средств автоматизации, в том числе с передачей по каналам связи.

Гражданин также дает согласие на проверку предоставленных сведений на предмет их полноты и достоверности, в том числе с использованием государственных и муниципальных информационных систем и ресурсов, а также путем направления указанными лицами запросов в иные органы и организации (п.3).

Мой комментарий: Эта норма также у меня вызывает много вопросов. В каких случаях, например, «Ростелеком» будет иметь право заниматься изучением моих ПДн во всех информационных системах страны? И как я смогу контролировать эту его деятельность?

При этом эти три лица вправе поручить обработку ПДн другому лицу (либо на основании поручения, либо заключаемого с этим лицом (лицами) договора, в том числе государственного контракта, либо путем принятия государственным органом соответствующего акта (далее - поручение оператора).

Согласие действует со дня его подписания до дня его отзыва, но не более 50 лет (п.5).

Мой комментарий: Срок хранения биометрической информации установлен в 50 лет, так что отзывай свое согласие или не отзывай, наши ПДн останутся в системах очень долго.

Гражданина предупреждают о том, что он имеет право отозвать свое согласие (п.6) путем личного обращения или направления письменного обращения (в том числе в форме электронного документа, подписанного простой электронной подписью или усиленной квалифицированной электронной подписью), на имя операторов, которым было дано согласие. Отозвать согласие в целях прекращения обработки можно:
  • Как всех персональных данных, так и отдельно биометрических ПДн;

  • В единой системе идентификации и аутентификации ПДн;

  • В единой биометрической системе биометрических ПДн.
При этом согласие содержит предупреждение о том, что операторы вправе после получения отзыва согласия, а равно после истечения срока действия согласия, продолжать обработку ПДн при наличии оснований, предусмотренных частью 2 статьи 9 Федерального закона «О персональных данных» (п.7).

Мой комментарий: Как мне кажется, есть смысл подумать о том, стоит ли спешить давать такое согласие, которое, как мне кажется, идёт вразрез с соответствующими требованиями закона о персональных данных. Более того, изучение комплекта законодательно-нормативных документов, которыми регламентируется процедура удаленной идентификации, наводит на мысль, что у государства есть далеко идущие планы в отношении этих систем, но гражданам пока об этом не рассказывают.

Источник: Консультант Плюс
http://www.consultant.ru/document/cons_doc_LAW_301578/

Комментариев нет:

Отправить комментарий