В рамках данного блока рассматриваются основные общие вопросы по работе с персональными данными, массивом больших данных.

• Понятие персональных данных. Что относят к персональным данным на практике.
• Данные веб-аналитики и cookie -файлы: к чему относить и как собирать данные;
• Телематические данные, собираемые устройствами: относить ли их к персональным данным, можно ли соединять с персональными данными;
• Обезличенные данные;
• Сбор данных: основные правила;
• Обработка персональных и иных данных. Общие правила работы с данными.

Гражданско-правовые аспекты оборота Больших данных

• Информация как объект гражданских прав.
• Правовая природа «сырых» данных: база данных; объект договора об оказании информационных услуг.
• Договорные конструкции, опосредующие оборот данных, правовое регулирование баз данных как информационных массивов.

- Парсинг – самостоятельный поиск и извлечение данных или через привлечение посредника. Какие риски, что прописать в договоре с посредником.
- Мы свели в базу данные от разных источников – от клиентов, от третьих лиц, открытые данные. Кому принадлежит сводная база данных и как ее передавать (с учетом того, что ряд данных мы получили не от клиента и без его согласия). Надо ли ее как-то оформлять.
- Кому принадлежат данные с телематических устройств на автомобиле (производитель телематики и лицо, которое первично получает данные / заказчик телематики (производитель автомобиля) / плательщик за телематический траффик (дистрибьютор) / клиент – владелец автомобиля). И по каким договорам их получать/ передавать.

• Обзор существующей судебной практики.
• Обзор обсуждаемых в рамках программы «Цифровая экономика» предложений по совершенствованию законодательства в области оборота данных

Большие данные и законодательство о персональных данных

• Соотношение понятий «Большие пользовательские данные» и ПДн.
• Анализ существующих подходов Роскомнадзора и судебной практики в области квалификации персональных данных.
• Требования законодательства о персональных данных, которые необходимо выполнить для обработки Больших пользовательских данных:

- Документация в области обработки персональных и иных данных;
- Организационные мероприятия по обеспечению безопасности данных;
- Уведомление РКН: о работе с какими данными нужно уведомлять;
- требования к обработке общедоступных данных в сети Интернет (ФЗ-519).

• Согласия на обработку:

- Ключевые проблемы, связанные с получением согласия на обработку персональных данных и использованием иных оснований для обработки больших пользовательских данных без согласия субъекта.
- Форма согласия на обработку (актуальные требования, судебная практика, позиции регуляторов)
- Нужно ли согласие на push-уведомления НЕ рекламного характера: уведомления, основанные на данных от третьих лиц - пора продлить ОСАГО; уведомления, основанные на телематических данных о необходимости пройти ТО или заменить аккумулятор; уведомления, основанные на геолокации – в этом месте вы получаете штрафы.
- Как правильно отражать перечень третьих лиц, которым передаем данные (точный перечень в согласии, обновляемый список лиц по ссылке, широким словом «партнеры по договорам»). Если список лиц по ссылке обновляется, нужно ли обновлять согласие. Может ли клиент заранее согласиться с тем, что список лиц будет меняться.
- Стоит ли прописать про Большие данные в Пользовательском соглашении (как уведомление, что мы это делаем или как согласие клиента общими словами).
- Какие нюансы учесть, если согласие на ПДн «зашили» в Пользовательское соглашение на сайте или в приложении, с которым клиент соглашается галочкой (с точки зрения срока согласия, обновления редакции ПС и т.д.)

• Правовые аспекты работы с особыми данными (как собирать, хранить, передавать, какие документы нужны):

- геолокация (по телефону или автомобилю) - «является ли она вообще ПДн»?
- личные данные из соц. сетей,
- данные об устройстве или генерируемые устройством: об автомобиле (телематические), о телефоне, компьютере - «являются ли они вообще ПДн»?
- данные банковских карт, которые клиент завел, оплачивая товар в приложении.

• Правовые аспекты работы с данными, полученными от клиента через телеграм-бот
• Передача данных внутри одного юридического лица и внутри группы компаний. Передача данных на обработку третьим лицам, контроль за действиями/бездействиями третьих лиц. Правовые аспекты трансграничной передачи персональных данных.

Наши обязанности, если мы передаем третьим лицам, что учесть в договоре.
Как отразить перечень третьих лиц и как его обновлять.
Можно ли передавать Большие данные третьим лицам (не персонифицированные) без согласия клиента, понимая, что получатель может установить личность по иным источникам и соединить данные.

• Получение данных от третьих лиц (например, от дилеров). Наши обязанности. Должны ли мы проверять наличие согласия клиента (объем, срок) или достаточно общей оговорки в договоре, что передающее лицо подтверждает наличие согласия. Проблема, что не знаем точный срок действия согласия, перечень данных.
• Вопросы обезличивания (или деперсонализации, вымарывания) данных для работы с Большими данными. Обезличивание данных по банковским картам/счетам. Если клиент отозвал согласие по ПДн, можно ли продолжать обрабатывать Большие данные. Вправе ли клиент требовать от нас прекращения обработки Больших данных.
• «Персонализация» обезличенных данных: сводятся несколько баз с обезличенными данными – удается персонализировать данные.

Например, клиент дал согласие на ФИО, телефон и VIN, а мы добавили в базу без его письменного согласия - данные о детях из соцсетей, о геолокации с автомобиля, о страховке с сайта РСА. Итого получилась большая база данных, среди которых есть данные с согласием и есть данные без согласия.
Какие риски, какие документы нужны, как себя обезопасить от претензий.

• Данные веб-аналитики и cookie -файлы: к чему относить и как собирать данные.