Жаркий вебинар с Bytes&Rights: все о персональных данных

10 июля мы провели вебинар c Bytes&Rights на тему персональных данных. Вместе с Дарьей Прохоровой и Татьяной Никифоровой разобрались в том, сколько согласий на обработку персональных данных нужно подписывать сотрудникам, как удобнее подавать заявление в Роскомнадзор и можно ли обучать ИИ на данных пользователей.

Делимся основными инсайтами:

Уведомление в Роскомнадзор
Вы — оператор ПДн, если:
✅ У вас есть сайт с формой обратной связи
✅ Есть чат-бот (Telegram, WhatsApp) с анкетой / вопросами
✅ Вы ведёте e-mail-рассылку
✅ Используете CRM / Airtable / Google Sheet с заявками и данными пользователей
✅ У вас есть трудовые договоры с работниками

Операторы ПДн обязаны подавать заявление в РКН по почте или онлайн. Эксперты рекомендуют подавать заявление онлайн: это быстрее и минимизирует вероятность ошибок.

Кто может не подавать заявление

• ИП без сайта и CRM, работающий только с юрлицами (B2B)
• Самозанятые, которые не хранят клиентскую базу
• Блогеры, если данные обрабатывает платформа (Запретграм, Telegram, YouTube)

Согласия на обработку персональных данных
С июля 2022 года вступили в силу изменения, усилившие требования к оформлению согласий. Теперь согласие должно быть:

• отдельным для каждой цели обработки;
• явно выраженным конкретным действием;

Так, работодатель должен обрабатывать данные сотрудников не только для заключения трудового договора, но и:

• для оформления ДМС;
• для передачи данных в банк (зарплата);
• для передачи в налоговые органы.

Под каждую цель должно быть отдельное согласие, а если цель меняется или расширяется — нужно новое согласие. В общей сложности, работник подписывает около пяти согласий.

Что делать, если произошла утечка персональных данных?
Даже если Роскомнадзор уже знает об утечке — всё равно нужно уведомить госорган. Алгоритм действий такой:

• Уведомить Роскомнадзор в течение 24 часов
• Провести внутреннее расследование в течение 72 часов
• Подготовить письменный отчёт с результатами расследования
• Устранить причины утечки и зафиксировать эти действия как можно скорее.

Краш-тест
Во время краш-теста мы обсудили кейс участницы вебинара Анастасии.У нее проект на стадии MVP - бот в Telegram, который спрашивает у пользователя возраст, фототип, индивидуальные особенности кожи, а данные сохраняются для дальнейшей работы бота. Проект не оформлен как телемедицина и позиционируется как информационный. Нужно ли подавать заявление в Роскомнадзор?
Если информация про кожу, симптомы или возраст используется в медицинском контексте, то она считается сведениями о здоровье (даже если не спрашиваются диагнозы). Такие сведения считаются чувствительными персональными данными, относящимися к категории специальных.

По закону требуется:

• Подать уведомление в Роскомнадзор;
• Применять шифровальные средства (если уровень защиты выше IV);
• Оформить согласия на обработку чувствительных данных;
• Назначить ответственного за обработку ПДн;

Из кейса вытекает вопрос: можно ли обучать модель на данных пользователей? Уже стало очевидной реальностью, что персональные данные действительно используются в ИИ. Но это непростая юридическая зона, особенно в России. Юристы подчёркивают: если можно избежать использования персональных данных — лучше избегать. Может возникнуть проблема: после обучения модели “удалить” конкретные данные невозможно, что делает согласие неустойчивым основанием для обработки персональных данных. Если все же использовать ПДн необходимо, рекомендуется анонимизировать данные. Это снизит риски и снимет часть юридических требований.

В чате вебинара было так много вопросов, что наши эксперты не успели ответить на все. Возвращаемся с ответами от Bytes&Rights!

1) Я - генеральный директор, и от имени своей организации передаю данные для полиса ДМС. Должен ли я дать своей компании разрешение и подписать его с обеих сторон одним лицом (собой)?
Если в организации есть хотя бы один сотрудник, например, учредитель – он же генеральный директор, то уведомление об обработке персональных данных нужно подавать в реестр операторов. Это может показаться парадоксальным, но и письменные согласия на обработку такого сотрудника тоже нужно оформлять. И, как часто бывает в обществах, где учредитель и генеральный директор одно лицо, документы с разных сторон подписывает один и тот же человек.

2) Какие куки НЕ считаются сбором персональных данных?
К персональными данным относятся не сами куки, а их содержимое. Не считаются персональными данными те куки, которые не содержат личной информации и не позволяют идентифицировать пользователя. Например, такие куки, которые обеспечивают функциональность сайта. Но если куки содержат пользовательские предпочтения или такие данные, как номер телефона или адрес доставки, относятся к персональным данным.

3) Как подтвердить уничтожение данных?
Как правило, оператор может подтвердить удаление персональных данных актом об уничтожении данных и выгрузкой из информационной системы, в которой данные хранились.

4) В медицине персональные данные берут из мед. карт. Могут ли эти данные использоваться для обучения ИИ? Нужно ли согласие?
По нашему опыту сопровождения медтех-проектов, если вы планируете использовать данные пациентов для обучения или функционирования ИИ, оптимальной практикой является их обезличивание в строгом соответствии с требованиями ст. 11 Федерального закона № 152‑ФЗ.

Если данные обезличены так, что невозможно прямо или косвенно идентифицировать пациента, то отдельное согласие на их обработку не требуется. Обезличенные данные уже не считаются персональными и могут использоваться в том числе для целей разработки и тестирования алгоритмов искусственного интеллекта без уведомления субъекта.

Если же данные сохраняют возможность идентификации (например, содержат уникальные идентификаторы, ссылки на карту, комбинацию признаков), необходимо получить информированное согласие пациента с четким указанием цели использования в ИИ.

5) Например, ПДн пациента идут из клиники в лабораторию, которая делает анализы, или же необходима консультация с врачом из другой клиники. Какие согласия нужно запрашивать у пациента?
В подобных ситуациях есть два пути:

Первый вариант - заранее включить в согласие пациента условие, что его персональные данные могут передаваться другим квалифицированным специалистам и врачам из сторонних учреждений исключительно в целях получения профессиональной консультации или второго мнения. Это желательно делать отдельным пунктом согласия на обработку ПД, чтобы избежать споров о пределах такого согласия.

Второй вариант - перед передачей информации максимально обезличить материалы: удалить фамилию, дату рождения, контактные данные и иные идентификаторы пациента, так чтобы информация относилась к случаю заболевания, а не к конкретному человеку. В таком случае согласие на передачу не требуется, так как данные утрачивают статус персональных.

Благодарим юристов Bytes&Rights Дарью Прохорову и Татьяну Никифорову за полезный вебинар! Мы также очень рады активности наших участников вебинара. За техническую поддержку благодарим ReCappy - AI-помощника для записи и расшифровки вебинаров.

Запись вебинара можно посмотреть на RuTube и YouTube.