На факультете права прошла конференция «Защита персональных данных в 2026 году»

Наталья Жирнова, к.ю.н., заместитель руководителя департамента права цифровых технологий и биоправа факультета права НИУ ВШЭ, научный сотрудник, доцент, открыла работу первой секции конференции, обозначив ориентир в формировании стройной теории цифрового права в части регулирования персональных данных. Ее доклад был посвящен «вебинарному праву» Роскомнадзора как проявлению административного усмотрения. Это механизм, при котором разъяснение регулятора, которое транслируется в ходе публичных онлайн мероприятий, по сути, приобретает фактически обязательный характер. Чтобы минимизировать административный риск в части, оператор вынужден ориентироваться на не только на нормативные акты, но и на неформальные позиции, которые озвучиваются как раз в ходе вебинаров. Спикер подчеркнула, что необходима письменная фиксации позиции, как в классическом административном усмотрении, когда мнение регуляторного органа должно быть мотивировано и обосновано. Каждое лицо должно быть уверено, предвидеть, последствия толкования законодательства. Но на вебинарах акты толкования и их результаты меняются, не все операторы присутствуют на них. Наталья Александровна указала, что пределы усмотрения (дискреционные полномочия) включают в себя запрет на необоснованное различие в правом статусе. Сегодня же наблюдается инфраструктурная асимметрия, когда крупные компании с целым юридическими отделами отслеживают каждый эффект, а малый бизнес и госучреждения в регионах нет. Спикер предложила закрепить нормативный статус разъяснений Роскомнадзора. 

Андрей Воробьев, директор Координационного центра доменов .RU/.РФ, поблагодарил организаторов и участников мероприятия за научность и практикоориентированность конференции. Спикер отметил, что в рамках отдельных процессов – судебных запросов? Прокурорских запросов – предоставление данных регламентировано законодательством четко, а в рамках, например, адвокатских запросов в гражданских спорах – нет. Возникает правовая неопределенность, при которой часть регистраторов берут на себя ответственность и выдают персональные данные, а часть регистраторов стоит строго на защите интересов своих клиентов, не предоставляя информацию. Также спикер обозначил, что есть проблема подтверждения паспортных данных (идентификации) при регистрации доменов в национальных доменных зонах. Часть владельцев доменов являются нерезидентами – для них процесс идентификации через государственные сервисы затруднителен. Предпринимаются попытки разработать международный аналог «трасти сервиса», чтобы наши нерезиденты не лишили своих доменов, а могли получить возможность воспользоваться этим «трасти сервисом», когда свои данные будет предоставлять именно регистратор в интересах клиента.

Михаил Журавлев, к.ю.н., доцент департамента права цифровых технологий и биоправа факультета права НИУ ВШЭ, старший научный сотрудник института права Цифровой среды, академический руководитель образовательной программы «Юриспруденция. Цифровой юрист» выступил с докладом по теме «Обладатель информации vs. «интересанты»: кто главный в экономике данных?». Тема фундаментальная и имеет большое прикладное значение, в том числе непосредственно связанное с персональными данными. Кто такой обладатель информации в теории права и в правовой практике не до конца понятно. 

В определении обладателя информации смешиваются 2 критерия: критерий создания информации, критерий получения информации. Например, банк осуществляет скоринг клиентов – кто обладатель информации (персональных данных)? Банк или субъект персональных данных? А что, если лицо получило неправомерный доступ к информации, и по сути, фактически ею обладает. Это лицо не создало информацию, не получило ее на основании договора или в силу законодательства, тогда каков статус этого лица? Спикер вспомнил, как к 2017 году Конституционный Суд РФ рассматривал дело Сушкова, в котором оспаривалась квалификация передачи работниками данных, коммерческой информации с рабочей почты? Суд квалифицировал правоотношения так, что, если информация передана третьему лицу, это не значит, что оно однозначно получило доступ к нему и что оно стало обладателем. Спикер предложил сделать фокус на обладателе как на лице, которое имеет фактический доступ, возможность ограничения доступа к информации, а это лицо может быть первичным, вторичным в отношениях с операторами.

У одной и той же информации может быть несколько обладателей, но также должно выделяться «заинтересованное лицо» или «интересант». Последним может быть любое лицо, в т.ч. субъект персональных данных, государство, коммерческая структура. То есть тот, кто имеет какие-либо законные интересы в получении доступа к этой информации, ограничении доступа в использовании этой информации.

Мария Шурукина, старший юрист практики защиты данных Авито, рассказала о принципе пррозрачности обработки данных. Спикер рассказала, что компания придерживается клиентцентричного подхода, считая, что субъект обладает любой информацией, которая к нему относится так или иначе, и здесь возникает проблема информируемости этого субъекта о том, что компания-оператор внутри какие-то данные о нем создала в процессе пользования им конкретной платформой. Для поддержания этого подхода компания улучшает инструменты для улучшения способности восприятия информации об обработке персональных данных о цифровых сервисах. В Авито фокус смещен с непосредственно раскрытия и вот акцента на объеме той информации, которую мы даем пользователю, на восприятие, то есть насколько человеку понятно, что происходит с его данными, понял ли он вообще.

Мария Самарцева, к.ю.н., глава Практики интеллектуальной собственности и технологий, советник «Дякин, Горцунян и Партнеры» выступила с докладом «Использование СКУД в организации или распознавание лиц в 2026 году». Спикер рассказала о том, как происходит распознавание лиц в организации для целей обеспечения пропускного режима (предотвращения несанкционированного доступа в рабочие помещения), в т.ч. по биометрическим персональным данным с привлечением ГИС «ЕБС». Компания, использующая СКУД для цели распознавания лиц, должна собирать согласия на обработку персональных данных, и обеспечивать защиту персональных данных в соответствии в соответствии с требованиями ФСБ, ФСТЭК, Минцифры и РКН.

Аэлита Зайнуллина, руководитель направления правовой защиты персональных данных АО «ТБанк», рассказала об особенностях трансграничной передачи персональных данных в 2026 году. Оператор обязан уведомлять Роскомнадзор о намерении осуществлять трансграничную передачу персональных данных. Если страна не обеспечивает адекватную защиту персональных данных, то оператор должен подождать 10 рабочих дней и при отсутствии возражения со стороны Роскомнадзора осуществлять передачу этих персональных данных. При этом Роскомнадзор может запретить такую передачу, если примет решение о том, что заявленные цели, объем передаваемых данных, не соответствуют в целом деятельности оператора. Сейчас рассматривается законопроект, который говорит о том, что у нас страна будет обеспечивать адекватную защиту только в случае, если она включена Роскомнадзором в специальный перечень. Законопроект был принят в 1-м чтении, и включен в примерную программу на апрель.

С докладом о современных реалиях использования поручения на обработку персональных данных выступила Елизавета Чепурина, руководитель по работе с персональными данными направления «Technology, Logistics, Transport» в Privacy Advocates. Спикер указала на необходимость выделения признаков субобработчиков, чтобы главный оператор не нес ответственность за большую череду обработчиков, с которыми у них нет прямых отношений.

О работе с персональными данными при проверках контрагентов и заключении договоров выступил Денис Лукаш, управляющий партнер юридической компании Lukash&Partners, dataprivacy и ТМТ юрист, внешний DPO. Спикер подчеркнул значимость поручения как небольшого юридического конструктора, который нужен только в некоторых случаях, и единственная цель такого «конструктора» — это поставить рамки, границы обработки персональных данных. 

Также в конференции приняли участие Александр Рыбин, аспирант Департамента теории права и сравнительного правоведения, юрист в области персональных данных, Михаил Лях, студент НИУ ВШЭ, Артём Минаев, студент МФТИ, студенты Казанского федерального университета.

Материалы по второй секции конференции опубликованы по ссылке: https://ilr.hse.ru/news/1152488039.html.

Модераторами дискуссии выступили доцент департамента права цифровых технологий и биоправа факультета права НИУ ВШЭ, соруководитель образовательной программы магистратуры «Фармправо и здравоохранение» Виолетта Трубина и генеральный директор Национального РДКМ Анна Андрюшкина.

В ходе круглого стола старший преподаватель Приволжского исследовательского медицинского университета Минздрава РФ Лариса Татаренко представила общий анализ нормативно-правового регулирования в области защиты персональных данных, в том числе специальных категорий. Юрисконсульт Национального РДКМ Мария Астапова рассказала о правовом режиме информационной системы Федерального регистра.

В обсуждении участвовал реальный донор Национального регистра, юрист Дмитрий Чиркин, который поделился своим опытом донации костного мозга. Он уточнил, что столкнулся с необходимостью подписания многочисленных согласий на обработку персональных данных в адрес различных субъектов, что, по его мнению, значительно усложняет документальное оформление процедуры донорства и является избыточным.

Эксперт по защите персональных данных и информационной безопасности, генеральный директор компании Privacy Advocates, участник центра компетенций Роскомнадзора и научно-технического совета ГРЧЦ Алексей Мунтян выступил с детальным анализом проблемных аспектов комплаенса персональных данных в области донорства.

Практическим опытом работы с персональными данными доноров поделились в своих выступлениях медицинский директор Национального РДКМ Ольга Герова, врач-трансфузиолог больницы № 52 департамента здравоохранения города Москвы, студентка образовательной программы факультета права «Фармправо и здравоохранение» НИУ ВШЭ Людмила Таран, руководитель Карельского регистра неродственных доноров гемопоэтических стволовых клеток Юрий Йоффе и учредитель Южного центра развития донорства Роман Поликарпов.