В Москве 28 января прошёл День открытых дверей Роскомнадзора. Представители ведомства рассказали о нововведениях в законодательстве 2021 года, а также подвели первые итоги работы Центра помощи гражданам в цифровой среде, открытого в сентябре.
Начальник Управления по защите прав субъектов персональных данных Роскомнадзора Юрий Контемиров прокомментировал вопросы, наиболее часто задаваемые гражданами.
Контемиров уточнил, что в России нет разделения на операторов и обработчиков персональных данных, в отличие от стран Европы. Поэтому любое лицо, привлекаемое на основании договора поручений, является идентификатором персональных данных.
При этом под персональными данными понимается любая информация, прямо или косвенно относящаяся к определённому лицу или лицу, определяемому такой идентификацией.
По словам Контемирова, в России меняется характер и форма правоотношений, и операторы становятся заинтересованы в том, чтобы их деятельность соответствовала законодательству.
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Пользователь должен понимать цели сбора персональных данных, сроки действия согласия, куда направляются персональные данные, кто будет иметь к ним доступ и т.д. По словам представителя ведомства, наиболее конкретизированное согласие может обезопасить оператора при возникновении спорных ситуаций.
При этом Контемиров напомнил, что целесообразно устанавливать адекватные сроки действия соглашения о персональных данных. Как правило, срок действия соглашения должен не превышать или не сильно превышать срок договорных отношений.
Отдельно Юрий Евгеньевич обсудил вопрос об использовании персональных данных несовершеннолетних. Он напомнил, что зачастую несовершеннолетних граждан приравнивают к недееспособным. Однако это не так – подростки уже с 14 лет могут заключать мелкие сделки. Что касается самостоятельной передачи ими собственных персональных данных, то она допустима и регламентируется законодательством.
Обсуждая процесс размещения информационных систем и баз данных на облачные структуры, спикер напомнил, что необходимо заключить с провайдером договор на обработку персональных данных. Важно получить исчерпывающую информацию о том, где хранятся их центры обработки данных, об условиях хранения информации и т. д. Если провайдер облачных вычислений избегает подписания подобного договора, ответственность ложится на заказчика.
Комментируя вопрос обезличенных данных, Контемиров подчеркнул, что в российском законодательстве нет понятия «обезличенные данные».
«Исходя из существующей законодательной практики, есть персональные данные, полученные в результате обезличивания. На них распространяются те требования, которые предъявляются к остальным видам данных», – пояснил эксперт.
При этом он отметил, что хэширование не является методом обезличивания персональных данных.
Юрий Контемиров подчеркнул, что необходимо учитывать разницу между анонимизироваными и обезличенными данными.
«Анонимизированные данные – тот набор информации, которая при проведении дополнительных мероприятий, в том числе при обогащении информации, не позволяет деанонимизировать её. Обезличенные данные можно деобезличить. Методологии анонимизации информации не существует. Но есть экспериментально-правовые режимы, при которых проводится ряд инициатив по апробации последних достижений информационных технологий в целях выработки подходов, позволяющих преобразовывать персональные данные способом, не допускающим обратного деобезличивания и установления её принадлежности к конкретному лицу, даже при наличии дополнительной информации», – уточнил спикер и добавил, что для реализации этих инициатив нужно время.
Для Роспотребнадзора сайт – это средство массовой информации, а не источник персональных данных. Спикер упомянул о праве на забвении, в рамках которого можно обратиться на сайт с обращением перестать выдавать те или иные результаты в поисковых системах. Также сохраняется право гражданина обратиться к ресурсу с требованием, чтобы его данные были удалены.
Обсуждая вопрос биометрических персональных данных, Юрий Контемиров сообщил, что Роскомнадзором будут разработаны новые разъяснения касающиеся использования биометрических персональных данных.
Напомним, что традиционно Роскомнадзор проводит День открытых дверей 28 января – в Международный день защиты персональных данных.
