“Data anonim” atau apa yang direncanakan di 152-FZ

Kutipan singkat dari RUU yang mengubah UU Federal 27 Juli 2006 N 152- "Tentang Data Pribadi" (152-). Dengan suntingan ini 152- “memungkinkan untuk berdagang” Big Data, memperkuat hak-hak operator data pribadi. Mungkin pembaca akan tertarik untuk memperhatikan poin-poin penting. Untuk analisis terperinci, tentu saja, disarankan untuk membaca sumbernya .

Seperti yang ditunjukkan dalam catatan penjelasan:

Rancangan undang-undang dikembangkan sesuai dengan paragraf 01.01.003.002.001 dari rencana aksi ke arah "Peraturan normatif" dari program "Ekonomi Digital", yang disetujui oleh Komisi Pemerintah tentang penggunaan teknologi informasi untuk meningkatkan kualitas hidup dan kondisi melakukan bisnis pada 18 Desember 2017, protokol No. 2.

Apa yang tampak paling menarik?

(Di bawah ini dalam teks di referensi di mana-mana artinya 152-)

1. Kami bertemu "Data anonim."
   
   "Data anonim" tidak sama dengan "data pribadi anonim". “Data anonim” identik dengan data pribadi anonim yang diuraikan, misalnya, di sini dalam konteks GDPR.
2. Izin lain lahir: untuk pemrosesan data pribadi yang tidak sesuai dengan tujuan pengumpulan data pribadi (dilengkapi dengan bagian 2 pasal 5).
3. Pemrosesan data pribadi sekarang akan diizinkan untuk mencegah kerusakan properti, mencegah dan mencegah tindakan ilegal (perubahan dalam klausul 7, bagian 1, pasal 6) dan untuk mencapai tujuan yang signifikan secara sosial (ditambah dengan klausul 7.1. Bagian 1 dari pasal 6).
4. Dalam paragraf 9, bagian 1 artikel 6 "atau penelitian lain" berubah menjadi "penelitian dan (atau) analitik" (poin penting, kami akan kembali di bawah).
5. Dasar pemrosesan yang baru di bagian 1 artikel 6 “12) pemrosesan data pribadi yang diterima oleh operator berdasarkan hukum dilakukan untuk memperoleh data anonim”. Di sini, legalisasi depersonalisasi data tanpa partisipasi subjek data pribadi dilegalkan.
6. Seni 8.1., Yang memungkinkan sirkulasi sipil - legal dari data pribadi yang dianonimkan. Yaitu data dapat digunakan untuk tujuan komersial, dijual kepada pihak ketiga. Untuk tujuan statistik, penelitian, dan (atau) analitis, persetujuan subjek tidak diperlukan.
7. Jika selama pemrosesan data pribadi anonim "anonimitas" hilang, Anda mungkin tidak meminta izin di masa mendatang (tetapi Anda harus mencari dasar hukum). Ini ditunjukkan oleh tambahan "(atau)" dalam frasa "... dilakukan dengan persetujuan subjek data pribadi dan (atau) jika ada alasan yang ditentukan dalam paragraf 2-11 dari bagian 1 pasal 6 ...".
8. Data yang dianonimkan dapat digunakan secara bebas tanpa persetujuan subjek (perubahan dalam Bagian 4 Pasal 8.1).
9. Persyaratan dan metode depersonalisasi dirujuk ke tingkat Pemerintah Federasi Rusia.
10. Bentuk-bentuk memperoleh data pribadi di bawah Bagian 1 Seni. 9, bentuk elektronik untuk memperoleh persetujuan secara resmi dilegalisasi: SMS, formulir di situs, dan metode lainnya.
11. Subjek data pribadi akan dapat mengubah ruang lingkup tujuan pemrosesan data pribadi yang dinyatakan dalam persetujuan (tunggal). Di sini prinsipnya dihapuskan: "Satu tujuan - satu persetujuan." Perubahan yang sesuai dalam menggabungkan tujuan diperkenalkan di bagian 4 Seni. 9. Dalam hal penolakan dari operator data pribadi untuk mengubah persetujuan, penolakan yang dibenarkan dapat diajukan banding ke Roskomnadzor.
12. Menurut Bagian 4 of Art. 9, lebih mudah untuk menandatangani persetujuan dalam bentuk elektronik, sekarang alih-alih "dalam bentuk dokumen elektronik yang ditandatangani sesuai dengan hukum federal dengan tanda tangan elektronik" direncanakan sebagai berikut: "ditandatangani sesuai dengan hukum federal dengan tanda tangan elektronik atau dikonfirmasi dengan cara apa pun yang dapat diandalkan mengidentifikasi subjek data pribadi dan membangun keinginannya ”.
13. Bahkan, praktik penerbitan yang ada secara informal di situs web daftar pihak ketiga yang memproses data pribadi dilegalkan.

Menurut saluran Telegram, Pakar Privasi ( @privacyexperts ):

RUU itu memuat konsep yang ditafsirkan secara luas. Misalnya, "pencegahan dan pencegahan tindakan ilegal" atau "tujuan signifikan secara sosial".

Pada saat yang sama, rancangan undang-undang tersebut tidak memuat keputusan jika, sebagai akibat dari pemrosesan totalitas data, dimungkinkan untuk menetapkan data pribadi individu ke subjek tertentu.

Dapat dilihat bahwa posisi subjek data pribadi semakin memburuk, pada saat yang sama, risiko bagi operator data pribadi yang terkait dengan mendokumentasikan pemrosesan data pribadi untuk jenis pemrosesan baru tidak dikecualikan.

Tidak jelas dalam data pesanan apa yang harus dihapus ketika mengubah tujuan pemrosesan di "Persetujuan Terpadu".

Catatan penjelasan diakhiri dengan indikasi bahwa RUU tersebut mematuhi ketentuan Perjanjian tentang Uni Ekonomi Eurasia pada 29 Mei 2014, serta ketentuan perjanjian internasional lain dari Federasi Rusia, dan tidak akan mempengaruhi indikator program negara dari Federasi Rusia dan hasilnya.