Практика
25 сентября 2024, 20:57

Основные проблемы вокруг персональных данных: мнение экспертов

Регулирование персональных данных активно развивается: к операторам появляется все больше требований, а размер штрафов за их невыполнение продолжает расти. Чтобы избегать проблем, бизнесу нужно не только знать нормы закона, но и уметь правильно их применять. Это включает в себя массу действий: налаживание системы контроля, своевременное уведомление Роскомнадзора и прочее. О том, как освоиться в сфере персданных и где в регулировании до сих пор есть пробелы, эксперты рассказали на конференции Право.ru. В материале — цитаты, на которые стоит обратить внимание.
1
О правонарушениях и рисках

✔ Ирина Ахмедова, руководитель практики интеллектуальной собственности и персональных данных, Клифф: «Мы так и не получили ответа на вопрос, можно ли считать соотношение меры и степени вреда признанием правонарушения. Это привело к тому, что вся процедура стала формальностью — компании просто указывают везде низкие риски».

✔ Ксения Смирнова, генеральный директор, Privacy Tech: «Если речь идет о нарушении правила локализации, то ключевое значение имеет рассмотрение этого дела в первой инстанции. Как юрист отработает на этом этапе, таким и будет результат».

✔ Наталия Спицына, cтарший юрист, Seven Hills Legal: «Есть случаи, когда очень большой круг лиц не признавался неопределенным, например зарегистрированные на сайте пользователи. Причина в том, что у оператора есть контроль доступа и при желании он мог бы составить перечень лиц с таким доступом».

✔ Артем Евсеев, руководитель практики IP, IT и защиты информации, Savina Legal: «Административные штрафы в сфере персданных кратно увеличились. При этом законопроект о повторном увеличении штрафов уже находится в Госдуме».

✔ Рената Любимова, начальник Службы правового сопровождения проектов развития, ГУП «Московский метрополитен»: «Биометрия — это не угроза конфиденциальности, а технологический прорыв. Плюсов от ее использования больше, чем минусов».

2
О поведении бизнеса в новых реалиях

✔ Екатерина Ефимова, руководитель направления персональных данных, ФГУП ГРЧЦ (Роскомнадзор): «Я не соглашусь с тезисом о том, что законодательство о персональных данных сильно изменилось. Принципиальных изменений, напротив, нет. Многие положения сохранились еще с доцифровой эпохи».

✔ Роман Власов, юрист, Melling, Voitishkin& partners: «На рынке крупные операторы персданных стараются обосновывать обработку именно законным интересом. Может быть, однажды тенденция распространится и на более мелких операторов».

✔ Валерия Эйстрах, юрист, Melling, Voitishkin& partners: «Роскомнадзор все позитивнее относится к альтернативным правовым основаниям. Надеюсь, скоро мы придем к европейскому подходу, когда согласие на обработку будет использоваться лишь в крайнем случае».

✔ Мария Осташенко, партнер и руководитель практики «Защита данных и кибербезопасность», АЛРУД: «Острый и больной вопрос в области персданных — это обезличивание, в котором нуждается бизнес. Пока мы видим тренд на государственные информсистемы. Получается, к обезличенным данным доступ сейчас ограниченный».

✔ Сергей Тимофеев, менеджер по защите персональных данных, AstraZeneca: «Нужно исходить из того, что бизнес зачастую собирает данные, не понимая, что однажды их нужно будет отдать. Потому нужно объяснить бизнесу, в течение какого срока можно обрабатывать персданные».

3
Внутренние стратегии и советы топ-менеджерам

✔ Софья Сидоренко, юрист команды правового сопровождения сервисов по вопросам персональных данных, «Яндекс»: «DPO можно называть должностным лицом, если у него есть и иные обязанности, например, он еще руководит отделом. Некорректно приравнивать функции DPO к организационно-распорядительным».

✔ Елизавета Дмитриева, руководитель функции DPO, «Самокат»: «Большая проблема для DPO — непонимание того, как должна выглядеть налаженная система контроля. Требования закона не воплощаются сами, не накладываются на конкретную организацию и не учитывают ее особенности».

✔ Александр Партин, соучредитель, «РППА. Офис»: «Я бы рекомендовал сначала архивировать и только потом уничтожать персональные данные».

✔ Максим Лагутин, основатель, исполнительный директор, Б-152: «Если уже подали уведомление об утечке данных, то новое по расширенным данным подавать не следует — иначе придется платить второй штраф за одну и ту же утечку».

✔ Артем Дмитриев, управляющий партнер, Сomply: «После утечки персданных стоит добровольно уведомить о случившемся Роскомнадзор. В 99% случаев после этого внеплановую проверку вам устраивать не будут».