GDPR и 152-ФЗ
Первая часть про сходства здесь. А теперь перейдём к различиям концепций законного интереса в российском и европейском законодательстве.
Первое. В GDPR чётко обозначено что обрабатывать данные на этом основании нельзя если интересы или фундаментальным права и свободы субъекта данных, которые требуют защиты персональных данных, "перевешивают" законные интересы контролёра. В частности, когда субъект данных - ребенок или когда субъекты данных не ожидают такой обработки их данных.
Схожее положение имеется и в 152-ФЗ, но оно сформулировано иначе. Так, обработка персональных данных допускается на этом основании при условии, что при этом не нарушаются права и свободы субъекта персональных данных. То есть российское законодательство, в отличие от GDPR, явно не требует оценивать баланс интересов контролёра и интересов, прав и свобод субъекта данных (проводить "balancing test"), а требует только воздержаться от их нарушения. В целом, этот принцип в 152-ФЗ допускает большое количество интерпретаций, включая наиболее широкие.
Далее, как в GDPR, так и в 152-ФЗ имеется термин "третьи лица", чей законный интерес также может быть основанием для обработки персональных данных. Однако, в отличие от GDPR, понятие третьих лиц в российском законе не раскрывается и может трактоваться шире, чем в GDPR.
Также, GDPR обязывает контролера предоставить субъекту данных информацию о содержании законных интересов, которые преследуются контролёром или третьими лицами, на момент получения персональных данных как от субъекта данных, так и без его участия. При этом, 152-ФЗ не содержит прямых требований предоставлять информацию именно о законном интересе оператора, а только информацию о целях обработки персональных данных и её основании.
Ну и наконец следует отметить совершенно противоположный подход в GDPR и 152-ФЗ к прямому маркетингу (под которым подразумевается, например, рекламная email рассылка) как законному интересу для обработки персональных данных. В GDPR явно указано, что обработка персональных данных для целей прямого маркетинга может осуществляться на основании законного интереса контролёра. В то же время в 152-ФЗ обработка персональных данных с целью продвижения товаров, работ, услуг на рынке с привлечением потенциального потребителя с помощью средств коммуникации допускается только с предварительного согласия субъекта персональных данных. Поэтому обработку персональных данных для целей прямого маркетинга нельзя рассматривать как осуществляемую в законных интересах оператора согласно положениям российского законодательства.
В заключении можно упомянуть, что штрафы за нарушение GDPR и 152-ФЗ несопоставимы и именно они в большей степени влияют на культуру и приоритеты в области защиты персональных данных.
тг-канал: IT-юрист в эмиграции