Экспертная позиция участников Ассоциации профессионалов в области приватности (RPPA.ru) – Алексей Мунтян, Николай Дмитрик, Владимир Петров, Олег Блинов – в отношении целесообразности внесения изменений в регулирование персональных данных, относящихся при этом к общедоступной информации, в рамках мероприятия «Общедоступные данные» Считаем целесообразным в рамках мероприятия «Общедоступные данные» внести изменения в регулирование персональных данных, относящихся при этом к общедоступной информации. Сами изменения должны быть направлены на достижение разумного баланса между интересами операторов и субъектов персональных данных как обладателей данной информации. Правовой режим осуществления сбора и дальнейшей обработки общедоступных персональных данных можно “смягчить” (по сравнению с существующими в РФ ограничениями в правовом регулировании и правоприменительной/судебной практике) с точки зрения дозволения осуществлять указанные действия с персональными данными, но при следующих условиях: 1. Предварительное осуществление операторами оценки воздействия на приватность (Privacy Impact Assessment) субъектов данных в рамках оценки возможности полагаться на законный интерес (ст. 6 (1)(7) 152ФЗ) исходя из цели, содержания и особенностей планируемой обработки персональных данных. В PIA необходимо учитывать: a. опубликованные пользовательские соглашения, и иные юридически значимые документы источников общедоступных данных (в том числе существующие исключительно в машиночитаемом виде); b. в отсутствие источников, указанных в подпункте (а), разумные ожидания субъектов данных (исходя из контекста первоначальной публикации - те же поисковые системы уже давно хорошо умеют понимать контекст публикаций посредством (вероятностного) латентно-семантического анализа) в отношении возможной обработки их ранее опубликованных данных; Для целей унификации подходов возможна также подготовка типовых решений балансировки интересов оператора и рисков для субъектов. В частности, использование данных для целей разработки систем машинного обучения представляет собой (как правило) низкий риск для приватности субъектов, и потому при соблюдении определенных ограничений может осуществляться на основании заранее подготовленной оценки воздействия на приватность по примеру типовых уставов обществ, разработанных ФНС. 2. Если Владелец источника общедоступных данных препятствует обработке иными операторами, в том числе скрывает условия пользовательских соглашений или условия пользовательских соглашений ограничивают конкуренцию на рынке, защита прав заинтересованных лиц должна осуществляться уполномоченным государственным органом по защите конкуренции. Не следует включать в законодательство об информации и персональных данных положения направленные на защиту конкуренции, поскольку это приведёт к концентрации слишком большого числа полномочий и компетенций в одном надзорном органе. 3. В условиях сложности связи с каждым субъектом, принцип прозрачности обработки может реализовываться через публикацию операторами сведений о проведенном PIA, что позволит операторам продемонстрировать свою добросовестность и повысить уровень информированности субъектов в отношении действий операторов. Такая публикация может осуществляться либо на собственном сайте оператора и/или порталах раскрытия информации по аналогии с раскрытием финансовой и иной корпоративной информации https://www.e-disclosure.ru/. Обязательность публикации PIA может варьироваться в зависимости от масштаба, содержания и специфики планируемой обработки персональных данных, но, в любом случае, без ущерба для выполнения операторами своих обязанностей согласно ст.18(3) 152-ФЗ; 4. Публикация источниками общедоступных данных в составе общедоступных персональных, преимущественно, в машиночитаемом виде, сведений (отметок, тегов), позволяющих определять цели (контекст) и особенности обработки персональных данных, с целью недопущения последующей обработки данных в несовместимых целях; 5. Предоставление субъектам безусловного права на возражение в отношении сбора и дальнейшей обработки их ранее опубликованных персональных данных (пусть и в ситуации, когда такой сбор изначально не ущемлял прав и интересов субъектов, а также не нарушал положений законодательства) , право субъектов может быть сбалансировано следующими мерами: