Меню

Правовые вопросы использования персональных данных в цифровых продуктах

Иллюстрация: www.ipinco.com

Использование различного рода агрегаторов и технологий искусственного интеллекта порождает многократное использование данных вполне конкретных и живых людей.

Всем нам хочется видеть статистику об использовании нами дорог, маршрутов общественного транспорта, статистику заболеваемости, но ни у кого нет желания, чтобы эта информация касалась лично нас или кого-то из близких. Нас пугает, когда утром телефон без запроса указывает, по какой дороге, сколько времени и куда нам ехать.

Доступ продавцов товаров и услуг к личной информации о конкретных лицах дает преимущество тем компаниям, которые имеют возможность делать этим лицам более адресные предложения, а значит, такие данные являются инструментом добросовестной и не очень конкуренции.

Сегодня законодатель, органы исполнительной власти пытаются найти новый баланс в разрешениях и запретах использования персональных данных, а также возможность использования и сбора «больших» или «обезличенных» данных. Каждый год появляются новые детали, меняющие правовое регулирование вопроса использования персональных данных. Страны принимают новые нормативные документы, регулирующие процесс использования данных или возможность отказа от их предоставления, при этом в большинстве случаев интернет-продукт границ не имеет и у бизнеса возникает вопрос — можно ли собирать персональные данные пользователей так, чтобы соответствовать любым нормативным актам всего мира, ведь единый международный документ пока не принят.

Такое вполне возможно, поскольку законодательства не такие уж разные и у всех у них есть общие принципы, в соответствии с которыми необходимо:

  • получать письменное согласие у посетителя сайта,
  • запрашивать и использовать только те данные, которые нужны для конкретной цели,
  • сообщать по запросу, какие у вас есть данные, как и для чего они обрабатываются и кому вы их передавали,
  • хранить базы данных в надежном месте, защищать их от взлома и утечки,
  • научить сотрудников работать с персональными данными,
  • удалять по требованию пользователя его данные.

В России работа с персональными данными регулируется Федеральным законом от 27.07.2006 «О персональных данных» № 152-ФЗ.

Данный закон относит к персональным данным любую информацию, относящуюся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

При этом сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.

Еще один документ, регулирующий оборот данных в цифровой сфере, это Регламент Европейского Союза — GDPR. Российские компании должны выстроить свою работу в соответствии с данным регламентом, если есть вероятность использования сервиса европейскими потребителями, а такой вероятности пытается добиться практически каждый.

В 2018 г. Россия присоединилась к Модернизированной Конвенции Совета Европы, включающей следующие изменения:

1.         Требование пропорциональности, минимизации и законности сбора, обработки и хранения персональных данных. Эти принципы уже содержатся в ст. 5 Федерального закона «О персональных данных».

2.         Введение новой категории чувствительных данных — генетических данных.

3.         Определение новых прав, предоставляемых гражданам, для управления своими персональными данными при их обработке на основе математических алгоритмов, искусственного интеллекта и т.д. Также вводится обязанность операторов персональных данных уведомлять уполномоченный надзорный орган об утечках, устанавливается четкий режим трансграничных потоков данных.

С 1 марта 2021 г. вступили в силу новые поправки в Закон о персональных данных, которые стали одним из результатов такого присоединения. Согласно поправкам, пользователь может обратиться к администратору сайта (и не только) с требованием удалить его персональные данные из общего доступа по первому требованию. При этом из-за изменения терминов компаниям необходимо получить согласие пользователя на использование его персональных данных для распространения. Также разрабатывается механизм получения такого согласия с использованием системы Роскомнадзора.

Наряду со сказанным выше, важной особенностью российского закона является необходимость локализовать данные российских пользователей на серверах в России. Эту обязанность Роскомнадзор требует соблюдать неукоснительно.

Другая особенность, которую в последнее время ввел GDPR в ЕС, в связи с чем многие операторы данных (сайты) изменили работу с cookies*, — обязанность дать пользователю возможность отказаться от обработки данных о поведении пользователя на сайте.

Таким образом, работать с персональными данными можно, но персональные данные нужно уважать, не собирать и не передавать их без разрешения пользователей.

Что необходимо предпринять, чтобы работать с персональными данными?

  • Проведите анализ в компании на предмет обработки информации 
    Кто производит сбор, хранение и т.д.Изменение набора данных. Сокращение объема данных с учетом критериев отнесения данных к категории «персональных данных».
  • Просчитайте свои риски 
    Стоимость защиты информации не должна превышать стоимость самой информации.
  • Определите порядок обработки персональных данных
    Указанный порядок отразите в документах компании и на сайте.
  • Локализуйте «первичную базу данных» в России Зарубежные базы данных могут «обновляться» после российской при соблюдении правил трансграничной передачи.
    Порядок работы с персональными данными требует как подписания бумажных соглашений с клиентами и сотрудниками, так и положения о работе с данными, выложенного на сайте.

Важно не столько то, как будут выглядеть ваши регламенты по работе с персональными данными пользователей, заходящих на сайт, а то, насколько этот письменный документ отражает ваш порядок работы с данными.

В какой-то момент работу с обезличенными данными регламентируют и многим компаниям станет жить легче, но сейчас такая работа возможна лишь через собираемые согласия на обработку данных.

Анфиса Кокорина патентный поверенный РФ
 
Екатерина Шехтман патентный поверенный РФ, управляющий партнер

Цифровизация и применение искусственного интеллекта сделали данные пользователей важным активом, нам остается лишь относиться к нему уважительно и помнить, что за ним стоят люди.

тел. (383) 291-34-51

Новосибирск, ул. Добролюбова, 2а, офис 205

www.ipinco.com

e-mail: info@ipinco.com

Авторы статьи: Екатерина Шехтман и Анфиса Кокорина