Когда я первый раз открыл GDPR, то испытал лёгкое дежавю. Многие принципы и термины были мне знакомы по родному закону “О персональных данных” или 152-ФЗ. Затем возникла необходимость сравнить концепции “законного интереса” как основания для обработки персональных данных в обоих нормативных актах. Внешне они похожи, но это впечатление обманчиво. Собственно, хочу с вами поделиться тем, что я обнаружил.
Начнём с текстов. В 152-ФЗ (статья 6) концепция законного интереса звучит следующим образом: обработка персональных данных допускается в если она необходима для осуществления прав и законных интересов оператора или третьих лиц… либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
Открываем статью 6 GDPR (даже номер статьи тот же!): обработка считается законной когда она необходима для целей, вытекающих из законных интересов, преследуемых контролёром или третьим лицом, за исключением случаев, когда преимущество над такими интересами имеют интересы или фундаментальные права и свободы субъекта данных, требующие защиты персональных данных, в частности, когда субъектом данных является ребенок.
Понятие законного интереса в 152-ФЗ не раскрывается. И оно довольно широкое. Поэтому только толкование этого понятия судами может определять его границы. К сожалению, судебной практики по данной теме не то чтобы много. Можно выделить только несколько дел когда суды решили, что конкретные случаи обработки данных подпадают под концепцию законного интереса. Например, суд признал право банка получать и обрабатывать персональные данные лиц, зарегистрированных в жилом доме, принадлежащем этому банку. Причиной этому был законный интерес банка, связанный с необходимостью внесудебного урегулирования споров, связанных с выселением этих лиц.
На основе анализа норм и судебной практики можно выделить следующие сходства между понятиями "законный интерес" в GDPR и в 152-ФЗ.
Во-первых, и там и там статья 6 :)
Во-вторых, как и в GDPR, в 152-ФЗ законный интерес является самостоятельным основанием для обработки персональных данных.
В-третьих, в обоих актах обработка персональных данных возможна на основе законного интереса не только контролёра (оператора), но и третьих лиц.
В-четвёртых, и в 152-ФЗ и в GDPR при обработке данных на этом основании требуется учитывать как это будет влиять на права и свободы субъекта данных.
И, наконец, в обоих актах законный интерес не может быть основанием для обработки особых категорий персональных данных.
Получается слишком объёмно, поэтому о различиях напишу в следующем посте.
Источник: https://t.me/ImlawIT