Основные проблемы вокруг персональных данных: мнение экспертов
✔ Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных, Клифф: «Мы так и не получили ответа на вопрос, можно ли считать соотношение меры и степени вреда признанием правонарушения. Это привело к тому, что вся процедура стала формальностью — компании просто указывают везде низкие риски».
✔ Ксения Смирнова, генеральный директор, Privacy Tech: «Если речь идет о нарушении правила локализации, то ключевое значение имеет рассмотрение этого дела в первой инстанции. Как юрист отработает на этом этапе, таким и будет результат».
✔ Наталия Спицына, cтарший юрист, Seven Hills Legal: «Есть случаи, когда очень большой круг лиц не признавался неопределенным, например зарегистрированные на сайте пользователи. Причина в том, что у оператора есть контроль доступа и при желании он мог бы составить перечень лиц с таким доступом».
✔ Артем Евсеев, руководитель практики IP, IT и защиты информации, Savina Legal: «Административные штрафы в сфере персданных кратно увеличились. При этом законопроект о повторном увеличении штрафов уже находится в Госдуме».
✔ Рената Любимова, начальник Службы правового сопровождения проектов развития, ГУП «Московский метрополитен»: «Биометрия — это не угроза конфиденциальности, а технологический прорыв. Плюсов от ее использования больше, чем минусов».
✔ Екатерина Ефимова, руководитель направления персональных данных, ФГУП ГРЧЦ (Роскомнадзор): «Я не соглашусь с тезисом о том, что законодательство о персональных данных сильно изменилось. Принципиальных изменений, напротив, нет. Многие положения сохранились еще с доцифровой эпохи».
✔ Роман Власов, юрист, Melling, Voitishkin& partners: «На рынке крупные операторы персданных стараются обосновывать обработку именно законным интересом. Может быть, однажды тенденция распространится и на более мелких операторов».
✔ Валерия Эйстрах, юрист, Melling, Voitishkin& partners: «Роскомнадзор все позитивнее относится к альтернативным правовым основаниям. Надеюсь, скоро мы придем к европейскому подходу, когда согласие на обработку будет использоваться лишь в крайнем случае».
✔ Мария Осташенко, партнер и руководитель практики «Защита данных и кибербезопасность», АЛРУД: «Острый и больной вопрос в области персданных — это обезличивание, в котором нуждается бизнес. Пока мы видим тренд на государственные информсистемы. Получается, к обезличенным данным доступ сейчас ограниченный».
✔ Сергей Тимофеев, менеджер по защите персональных данных, AstraZeneca: «Нужно исходить из того, что бизнес зачастую собирает данные, не понимая, что однажды их нужно будет отдать. Потому нужно объяснить бизнесу, в течение какого срока можно обрабатывать персданные».
✔ Софья Сидоренко, юрист команды правового сопровождения сервисов по вопросам персональных данных, «Яндекс»: «DPO можно называть должностным лицом, если у него есть и иные обязанности, например, он еще руководит отделом. Некорректно приравнивать функции DPO к организационно-распорядительным».
✔ Елизавета Дмитриева, руководитель функции DPO, «Самокат»: «Большая проблема для DPO — непонимание того, как должна выглядеть налаженная система контроля. Требования закона не воплощаются сами, не накладываются на конкретную организацию и не учитывают ее особенности».
✔ Александр Партин, соучредитель, «РППА. Офис»: «Я бы рекомендовал сначала архивировать и только потом уничтожать персональные данные».
✔ Максим Лагутин, основатель, исполнительный директор, Б-152: «Если уже подали уведомление об утечке данных, то новое по расширенным данным подавать не следует — иначе придется платить второй штраф за одну и ту же утечку».
✔ Артем Дмитриев, управляющий партнер, Сomply: «После утечки персданных стоит добровольно уведомить о случившемся Роскомнадзор. В 99% случаев после этого внеплановую проверку вам устраивать не будут».