04.09.2023
В Госдуме работают над проектом по очистке цифрового следа. Вице-спикер Госдумы Борис Чернышов пообещал, что законопроект об удалении персональных данных из баз данных по запросу пользователя внесут на рассмотрение уже осенью. Сейчас право на отзыв согласия на обработку таких данных предусмотрено профильным законом «О персональных данных», но для этого нужно писать каждому оператору вручную. По задумке разработчиков закона, функцию посредника в этом процессе можно поручить государству в лице, например, Минцифры. «Принцип одного окна: обращаешься с заявлением – информация о тебе удаляется сразу у всех операторов персональных данных. Не нужно писать каждой компании отдельно, тем более – доказывать законность своих требований», – пояснил депутат. Таким образом закон даст гражданам возможность удалять свои персональные данные из баз данных без дополнительных манипуляций. Необходимость разработки законопроекта Чернышов обосновал растущим с каждым годом количеством утечек персональных данных россиян из баз данных коммерческих компаний. Также он уточнил, что при этом у граждан практически нет работающих инструментов для того, чтобы отозвать своё согласие на обработку и хранение личной информации и, тем самым, защитить свою конфиденциальность в случае «слива». С одной стороны, право на отзыв согласия установлено Федеральным законом «О персональных данных». С другой, процедура настолько непрозрачна и сложна, что человек не может удалить персональные данные сразу у всех компаний, которые ими владеют. Заявление нужно направлять каждому конкретному оператору, а в случае отказа – защищать свои права в суде. Право требовать уничтожения данных закреплено в действующем законе. Оно подразумевает совершение оператором действий, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Данное право может быть реализовано в отношении персональных данных, которые имеют дефект в процессе сбора или обработки, то есть были незаконно получены или не являются необходимыми для заявленной цели обработки. При этом не имеет значения, обрабатываются ли такие данные в офлайн- или онлайн-среде. Оператор обязан уничтожить соответствующие данные в срок, не превышающий семи рабочих дней с момента получения обоснованного запроса от субъекта. Кроме того, оператор обязан уведомить субъекта персональных данных о предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы (ч. 3 ст. 20 Закона о персональных данных). Предполагается, что после введения нового закона в силу воспользоваться этим правом в отношении всех операторов станет значительно проще.