Надо ли сохранять институт согласия на обработку персональных данных, как сделать процесс отзыва нативным и простым, чтобы гражданин не тратил много сил и энергии, а также о процессе создания комфортной правовой среды в сфере защиты больших и малых данных, рассказал в Открытой студии РАПСИ председатель комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России, управляющий партнер юридической компании «ЭБР» и сооснователь Moscow Digital School Александр Журавлев.

 - Добрый день. Говоря о цифровизации, мы сталкиваемся с персональными данными людей, которые используют интернет-сервисы и оставляют паспортные данные, информацию о номерах телефонов и месте жительства в сети, забывая об этом. Как вы считаете, это урегулированная область или она требует дальнейшей проработки?

- Я думаю, что ответ на ваш вопрос не так прост, потому что есть субъект персональных данных — это сам гражданин. Есть оператор персональных данных, есть соответственно регулятор. И поведение, и конкретная ситуация зависит от всех этих сторон. То есть гражданин, например, если он дает согласие на обработку своих данных для определенных целей, должен понимать, что он это согласие дал, и после того, как он получил некий результат в виде услуги, работы или товара, он может его отозвать.

Но есть, например, субъекты, операторы персональных данных, к которым ты направляешь такой отзыв, а они потом молчат в течение года, полугода. И вот здесь уже начинается «веселье», когда ты хочешь прекратить использование своих данных в определенных местах, а оно не прекращается.

Здесь ты должен уже обращаться к регулятору для того, чтобы тот помог тебе отозвать эти данные. Но сама система сейчас выстроена таким образом, что гражданин должен иметь проактивную позицию. А гражданин, если посмотреть с точки зрения этих отношений, он — слабая сторона, а система должна слабую сторону защищать.

И в каких-то случаях действительно есть легкие способы. Например, у Роскомнадзора на сайте уже есть формы жалоб, с которыми можно обратиться к регулятору, чтобы он предпринял действия. Но в каких-то случаях, мне кажется, как согласия, так и обращения к регулятору должны быть нативными и простыми, чтобы гражданин не тратил много силы и энергии. Потому что вопрос в том, что он слабая сторона, а значит, для слабой стороны нужно создать комфортную правовую среду.

- Многие люди спрашивают, а зачем это вообще нужно? Зачем я должен добиваться, например, удаления своих персональных данных? В чем вы видите риски?

- По закону операторы не должны собирать избыточное количество данных, но на практике происходит так, что они его собирают. Получая много данных о личности, могут быть разные последствия, начиная от каких-то назойливых звонков со спамом и писем, и заканчивая уже более серьезными вещами, когда вы обнаруживаете, что на вас висят кредиты или займы.

Так вот, чтобы избежать маленьких и больших последствий, нужно быть бдительным в настоящее время и стараться ограничивать предоставление своих данных в зависимости от вида услуги, работы или товара. И если такие данные предоставлены, то стараться следить за ними и пытаться отозвать.

Ну, например, вы поехали в отпуск на Камчатку. На Камчатку вы не летаете каждый год, скорее всего, и это единичный случай. После того как вы слетали туда, желательно отозвать свое согласие, сказать: все, спасибо, я слетал, отдохнул, мои данные использовали, уничтожьте их. И в этом плане необходимо потребителю проявлять должную степень заботливости и осмотрительности, я так скажу.

Ну и то же самое нужно делать оператору, но на практике мало операторов, которые делают это, и как следствие, чтобы избежать негативных последствий, такой институт нужен. 

- А что сможет изменить эту практику, сложившуюся сейчас?

- Знаете, нет единого рецепта для того, чтобы ситуация поменялась. Это много мер и работы над этим. Во-первых, институт согласия, он как таковой стал рудиментом, то есть он уже устарел, он не нужен, никто не читает это согласие, никто не понимает эти данные, как они передаются и прочее, поэтому кажется, что нужно сделать его нативным и нужно понимать, что либо часть, либо полностью каких-то данных в какой-то момент можно было бы легко, автоматизировано, через ту же галочку, отозвать.

Второе, это — просвещение. Немногие люди понимают, зачем это нужно, для чего это нужно и прочее. Третье, это практика применения норм, потому что по закону есть много способов защиты своих прав, есть даже большие штрафы, но на практике эти штрафы ничтожны. Соответственно, правоприменители должны в этом плане создать тенденцию, которой уже суды, правоохранительные органы и регуляторы будут следовать при возникновении каких-либо проблем.

И, наверное, четвертый аспект, он больше связан с технологиями. Это возможность использования обезличенных данных. И обезличивание таких данных, и разделение между ними границы: персональные данные и обезличенные данные.

Потому что это способствует развитию технологии искусственного интеллекта. В обезличенных данных нет фамилии, имени, отчества. Есть, например (запись - прим.ред.): «человек, мужчина, 27 лет, который часто покупает шаурму возле станции метро». То есть та информация, которая является потребительской и по сути нужна компаниям для того, чтобы осуществлять некий маркетинг и улучшать качество товара или услуги.

- А мы доросли, как общество, для того, чтобы разбираться и отвечать на вопросы, связанные с персональными данными? Или нам еще предстоит проделать какой-то рост в себе?

- Я бы чуть по-другому поставил вопрос, потому что элемент роста, он, в том числе возможен, когда дается вариативность и даются разные пути.

Соответственно, если мы такой путь, такую возможность получаем, то в этом случае сознательные люди будут ей пользоваться.

Несознательные люди... Смотрим пункт №1 — «просвещение».

- Спасибо вам огромное за увлекательную беседу.