Основные права субъектов персональных данных
Нормативная база, регулирующая сферу приватности была сформирована в РФ более 15 лет назад, но до сих пор не реализуется на практике на 100%. Тем не менее, чтобы грамотно обращаться со своими данными, нужно знать матчасть, о которой и поговорим.
Приватность — сфера, которая достаточно подробно урегулирована нормативными актами. Эти акты устанавливают границы обработки ваших данных, ваши права, а также обязанности лиц, обрабатывающих данные, которые именуются операторами.

1
Законы, регулирующие права субъектов персональных данных

В России персональные данные регулируются специальным актом — федеральным законом «О персональных данных». Этот закон был принят в 2006 году в целях выполнения Россией своих обязательств по международному договору — Конвенции 1981 года № 108.


Закон призван установить баланс, с одной стороны, между субъектами персональных данных – обычными людьми, и операторами – лицами, которые обрабатывают эти данные для самых разных целей.


Кроме российского закона, есть и другие крайне важные акты по вопросам персональных данных. В Европе это Общий регламент по защите данных (GDPR), действующий с 2018 года. GDPR имеет крайне важное значение, поскольку может распространяться и на российские организации — например, Ozon, который позволяет покупать и доставлять товары в Европу.

Часто получается так, что компания должна обрабатывать данные пользователей из разных стран и в соответствии с разными законами. В определенных случаях вы можете защищать свои права не только по российскому закону, но и по GDPR. Но сегодня мы поговорим только про российский закон.

2
Определение персональных данных и их критерии
Чтобы понять, какие данные защищаются законом, нужно обратиться к определению персональных данных. Российский закон говорит, что персональные данные — это любая информация, прямо или косвенно относящаяся к определенному или определяемому лицу. Формулировка непонятная и широкая, мы понимаем.

На самом деле персональными данными может быть почти все. Для того чтобы понимать, персональные данные перед вами или нет, были выработаны определенные критерии. При определении того, какие сведения идентифицируют человека, приводятся три аргумента:
Таким образом, персональными данными может быть признана самая разная информация — ваши ФИО, номер телефона, адрес, почта, изображение и голос, отпечатки пальцев, результаты анализов и психологических тестов и не только.

Мы уже говорили про IP, cookies-файлы и данные GPS. Они тоже могут быть признаны персональными данными. Если у вас вдруг есть «умные» вещи, например, спортивные браслеты или колонки, то информация с их датчиков также может быть признана персональной. Еще до того, как человек проснется, браслет на его руке записывает его пульс и ритм дыхания. Пульс и ритм, а также сведения об устройстве человека, к которому такой браслет привязан, позволяют довольно просто выделить такие данные в качестве персональных.
Даже если каких-то данных самих по себе недостаточно, чтобы определить человека, например, имени Васи Пупкина, поскольку в мире есть десятки таких людей, наличие любой дополнительной информации может сделать их персональными.

Например, если мы будем знать номер паспорта Васи, то сможем сказать о нем куда больше. Или, например, истории браузера забытого компьютера уже будет достаточно для того, чтобы составить его потребительский портрет (или профайл), определить, что он любит, чем увлекается, где бывает и когда, пускай даже мы не будем знать этого человека лично.


3
Каковы основные положения Закона о персональных данных?
Во-первых, любая обработка персональных данных должна соответствовать принципам обработки (ст. 5 Закона). Обработка — это любые действия с данными: их хранение, запись, копирование, передача, уничтожение и т.д. Говоря проще, когда кто-то «касается» ваших данных, он становится оператором этих данных и должен исполнять требования закона.

Среди принципов обработки — законность, справедливость, целевой характер обработки и минимизация данных. Например, мобильное приложение для ретуши фотографий, которое запрашивает у вас доступ к телефонной книге, скорее всего будет нарушать принципы целевой обработки и минимизации данных.

Законность обработки означает, что данные должны обрабатываться на одном из законных оснований (ст. 6 Закона). Рассмотрим основные из них.
Одно из самых популярных оснований — согласие субъекта. Попытайтесь вспомнить, сколько согласий на обработку персональных данных вы подписывали за свою жизнь и сколько даете, даже не замечая этого, например, регистрируясь в ТикТоке и Яндекс.Еде.


К согласию существуют особые требования — оно должно быть информированным, конкретным и сознательным. К сожалению, многие согласия этим требованиям не соответствуют. Самый простой пример — когда на сайте напротив согласия автоматически поставлена галочка. Нельзя говорить, что согласие было сознательным, потому что вы не были свободны при его выдаче. Попробуйте для интереса понаблюдать, на каких сайтах автоматически стоят галочки, а на каких нет.
Кроме согласия популярными являются такие основания, как законный интерес оператора и договор. Законный интерес, например, состоит в том, чтобы узнать возраст лица, которое регистрируется в социальной сети, поскольку контент, размещенный там, может быть не предназначен для детей. Законный интерес — довольно размытая категория, поэтому многие операторы используют его даже тогда, когда очевидного интереса в этих данных, который бы оправдывал их сбор, нет. Многие компании получают штрафы за неправильное применение этого основания. Например, в Европе Whatsapp был оштрафован на 225 миллионов евро за то, что не смог доказать наличие законного интереса на обработку данных.

Обработка данных лица по договору происходит когда вы, например, делаете заказ в сервисе по доставке еды и указываете свой адрес и номер телефона, поскольку эти данные необходимы для того, чтобы ваша еда была доставлена по адресу. Получать согласие на обработку данных тогда, когда задействуется другое законное основание не нужно.
В каких-то случаях согласие нужно получать в особой форме – письменной. Это относится к ситуациям, когда обрабатываются специальные или биометрические данные.
Специальные данные — это данные, которые касаются политической, национальной, религиозной принадлежности, состояния здоровья, сексуальной жизни или философских взглядов. Данные с фитнес-браслета, о которых мы уже говорили, или информация о лекарствах из корзины в Сбер.Аптеке, будут считаться специальными.


Особенность этих данных — их «чувствительный» характер, поскольку их разглашение может вести за собой дискриминацию и нарушение прав человека. Например, кого-то могут уволить с работы за поддержку политического движения. По этой причине законных оснований для обработки специальных данных меньше, а согласие должно предоставляться в письменной форме и с особыми требованиями. О биометрических данных мы отдельно говорили в одной из наших лекций.
Письменная форма согласия также нужна в том случае, если обработка данных осуществляется для предложения товаров или услуг путем прямых контактов. Что это значит? Все рекламные SMS- и пуш-уведомления, спам на почте, назойливые звонки включаются в это понятие. То есть без согласия все эти практики незаконны, и вы вправе требовать, чтобы вас удалили из клиентских баз.

Единственное, что важно помнить — письменное согласие не обязательно означает согласие на бумаге. Вы подписываете письменное согласие, когда, например, используете код из SMS или подтверждение с электронной почты для того, чтобы воспользоваться каким-то сервисом. Это называется простой электронной подписью, которая заменяет собой обычную.
Интересная ситуация возникает в связи с распространением искусственного интеллекта и других технологий, которые самостоятельно принимают решения в отношении людей. Например, во многих компаниях все резюме сначала проходят автоматическую проверку компьютером по заданным критериям. Поскольку любая машина обучается человеком, конечно, многие предубеждения могут просто передаться ей.

Известный скандал случился с Facebook, когда пользователям после просмотра видео с черными мужчинами алгоритм предложил посмотреть ролики про приматов. Компания быстро принесла свои извинения и пообещала исправить ошибку алгоритме рекомендации видеороликов.

Поскольку многие современные системы, в том числе, основанные на искусственном интеллекте, могут принимать важные решения относительно людей – брать или не брать на работу, давать или не давать кредит, каждый человек имеет право знать то, как эта система работает и возражать против принятых ею решений. Эта возможность также закреплена в законе о персональных данных.
4
Какие права есть у вас?

Во-первых, вы можете отозвать свое согласие на обработку персональных данных в любой момент. После этого оператор не имеет права обрабатывать ваши данные при отсутствии других законных оснований и должен удалить их.


Во-вторых, вы имеете право на доступ и уточнение своих данных, а также их блокировку или уничтожение, если данные являются устаревшими, неточными или незаконно собранными. Для чего может потребоваться доступ к своим данным? Например, для того, чтобы осуществить резервное копирование (т.е. создание запасной копии) своих файлов в определенной системе. Уточнение своих данных важно тогда, когда от них зависят важные для вас решения — например, возможность получения стипендии или принятия в университет.


Правом на блокировку или уничтожение данных можно воспользоваться если вы хотите, чтобы оператор не мог больше обрабатывать ваши данные — например, после того как вы удалили свою страницу в VK, но она все еще выдается в поиске. Это право близко так называемому праву на «забвение», которое позволяет удалять устаревшие или неточные ссылки на веб-страницы через запрос поисковой системе, например, Google.


Вы также обладаете правом на информацию об обработке ваших данных, которую оператор обязан предоставить вам перед началом обработки данных — кто обрабатывает ваши данные, какие данные обрабатываются, для каких целей, как защищаются ваши данные, кому передаются и т.д. Обычно такая информация доносится через политики конфиденциальности, которые можно найти в «подвалах» сайтов или, что лучше, через уведомления о приватности, которые появляются при входе на ресурс.

Все запросы можно отправлять по адресу оператору, который должен быть указан в политике конфиденциальности на сайте или приложении.


Свои права можно также защитить, если есть сомнения в законности действий оператора, путем обращения в Роскомнадзор или суд. Подать обращение в Роскомнадзор можно по следующей ссылке. По результатам обращений Роскомнадзор может устроить проверку в компании и заставить ее принять необходимые меры.

Как видите, сфера приватности очень широкая и глубокая, а ведь мы только затронули самые верхи!

В следующих лонгридах речь пойдет о реальных ситуациях и защите ваших персональных данных — о сливах, средствах защиты и о том, как «умно» вести себя в Интернете.