Что значит обработка персональных данных?

Современные люди часто подписывают согласие на обработку и использование персональных данных. И часто это происходит бездумно. Мы не хотим, чтобы за нами следили, но собственноручно к этому подводим. Так кто же обрабатывает, использует и передает третьим лицам информацию о нас? Как это работает, рассказали эксперты.

Что на самом деле скрывается под словом «обработка»? Люди подразумевают под ним банальные сбор и хранение информации. Однако же:

► «Обработка» включает в себя любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.», — говорится в п.3 ч.1 ст.3 ФЗ № 152.

Это касается любых государственных и коммерческих учреждений, требующих от своих клиентов обязательное согласие на обработку и использование персональной информации, аргументируя это необходимостью бухгалтерского, кадрового или воинского учета.

«Сбор персональных данных может осуществляться как с согласия граждан, так и без согласия. Это прописано в Ст. 6 закона «О персональных данных» № 152-ФЗ. Случаи, когда согласие не требуется — это исполнение закона, заключение трудовых отношений; для исполнения правосудия, судебного акта; в рамках договора, например, кредитные обязательства», — рассказал «Макс Порталу» замначальника отдела по защите прав субъектов персональных данных Александр Никитенко, г. Краснодар.

Также без согласия могут обрабатываться общедоступные данные, например, информация из соцсетей.

Отозвать согласие на обработку персональных данных (если вы его давали) можно отправив запрос в соответствующую организацию. Это предусмотрено Ст. 14 закона № 152-ФЗ.

Практически у каждого из нас есть странички в социальных сетях. Там указана личная информация и периодически отображаются события из жизни. Это идеальный источник, например, для банков.

Фото: Moscow.zagranitsa.com

Теперь представьте: вы идете брать кредит, а решение о его выдаче сейчас, как правило, принимаются после того, как банковский служащий внимательно проанализирует страничку потенциального заемщика на Facebook, во «ВКонтакте» или в «Одноклассниках».

По сетям можно почерпнуть больше, чем в анкете. Чем сдержаннее профиль и консервативнее заемщик тем, скорее всего, он более взвешенно и аккуратно подойдет к риску при обслуживании своего же кредита. Любая страница в социальных сетях – это как твой рабочий стол, на котором либо аккуратно и порядок, либо все раскидано и беспорядок, – отмечает советник председателя правления ББР Банка Виталий Провалинский.

Другая ситуация — поиск работы. Специалисты отдела кадров обращают внимание в соц.сетях на грамотность и поведение соискателя. Если вы часто выкладываете фото с вечеринок и материтесь в комментариях, то вы попадете в те 20%, которые эйчары отметают сразу.

Работодателю важно, чтобы человек пришел и работал и не надо было думать о том, выйдет он после выходного на работу или не выйдет. Поэтому фотографии с тусовок, которые показывают отношение к употреблению спиртного, и так далее, я бы не рекомендовала выкладывать, — говорит директор Агентства кадровых решений Ольга Лазарева.

Маркетологи же работают с обезличенными данными. Им хватает только «цифрового следа», чтобы, например, настроить таргетированную рекламу под конкретного человека.

«Нарушение закона происходит там, где обычные люди и не подозревают, что оно происходит. Например, какой-нибудь банк находится в консорциуме с поисковой системой. Банк владеет информацией о нашей платежеспособности, а поисковик – о том, что мы ищем. Когда происходит совмещение этих данных, достигается максимальный результат», – сообщает эксперта по продвижению в социальных сетях Андрей Шалимов.

К слову, «цифровой след» оставить очень легко, а удалить практически невозможно. Помните простые правила: не делитесь ни с кем своими паролями и пользуйтесь только проверенными платежными системами.

Фото: Pharmvestnik.ru

Разобравшись, мы начинаем более глубоко осознавать, какое влияние имеют на нашу жизнь социальные сети. Но, видимо, оно все же еще не достаточно полное. Вспомнить, к примеру, нашумевшее мобильное приложение GetContact, когда миллионы людей «сливали» свои данные и данные своих контактов. Причем многие осознавали угрозу, но любопытство победило.

Социолог Алексей Новиков отмечает, что право на приватность в Интернете никто ни у кого не отбирал. Но раньше оно обеспечивалось по умолчанию, а сейчас его нужно отстаивать.

Предусматривается административная ответственность за нарушение норм хранения и обработки личных данных. В случае нарушения законодательства, нужно подать обращение в Роскомнадзор в своем регионе как в электронном виде, так и в письменном.

На vc.ru автор Nikita Zhurlov рассказал про важный документ — согласие на обработку персональных данных.

Хотите иметь дело с проверкой Роскомнадзором своего ИТ-продукта или сайта? А потом ещё платить штраф, нести ответственность?

Думаю, что нет. Поэтому, давайте, начнём разбирать что надо делать с персональными данными в Российской Федерации и как не попасть под санкции госорганов.

Немного теории

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1) нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:

— Физическое лицо: предупреждение или штраф в размере 1 000 — 3 000 рублей;

📌 Реклама Отключить

— Должностное лицо: штраф в размере от 5 000 — 10 000 рублей;

— Юридическое лицо: штраф в размере 30 000 — 50 000 рублей;

2) Обработка персональных данных без согласия гражданина приведет:

— Физическое лицо: штраф в размере 3 000 — 5 000 рублей;

— Должностное лицо: штраф в размере от 10 000 — 20 000 рублей;

— Юридическое лицо: штраф в размере 15 000 — 75 000 рублей;

3) В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:

— Физическое лицо: штраф в размере 700 — 1 500 рублей;

📌 Реклама Отключить

— Должностное лицо: штраф в размере от 3 000 — 6 000 рублей;

— Индивидуальный предприниматель: штраф в размере от 5 000 — 10 000 рублей

— Юридическое лицо: штраф в размере 15 000 — 30 000 рублей;

Первоначально определимся с основными понятиями и поймём, что же они значат (неформальное объяснение по тексту будет обозначаться «Д», это от слова description):

Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Д: это любая совокупность информации, через которую можно определить определенного человека. К примеру, абстрактная электронная почта, допустим posledni_kaktus_naokne@bk.ru — не относится к ПД, однако электронная почта с рабочим адресом допустим, ivan.ivanov@romashka.ru с подписью в письме «Главный инженер» — относятся к персональным данным, т.к. мы можем однозначно определить, что это Иван Иванов, работающий главным инженером в организации «Ромашка».

📌 Реклама Отключить

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Д: это вы, собирающий персональные данные. Любой контакт с физическим лицом, в том числе в пространстве Интернет, позволяющий однозначно определить человека — и вот вы уже владелец персональных данных в лице оператора.

Обработка персональных данных — любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

📌 Реклама Отключить

Д: это любые действия, которые вы совершаете как оператор.

Самый большой штраф как вы видите — это за сбор ПД гражданина без согласия, поэтому в статье будем говорить в основном об этом. Определим сразу случаи, когда согласие на обработку ПД не надо собирать в соответствии с законодательством Российской Федерации:

1. Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.

Д: когда законодательством установлено, что физическое лицо должно предоставить персональные данные и иначе никак.

📌 Реклама Отключить

2. Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

Д: когда вы заключили с физическим лицом договор и в рамках этого (только этого) договора вам нужны персональные данные. Сюда подходит и оферты (публичный договор) на сайте и его акцепт, но до покупки товара или услуг, заказа с сайта (к примеру) ещё надо довести пользователя, а значит момент когда собираете ПД — наступает раньше.

3. Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Д: вы обезличиваете данные физического лица и «размываете» их в море других данных, соответственно определить кому что принадлежит — невозможно даже вам.

4. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

📌 Реклама Отключить

Д: данный пункт не относится к интернет-проектам, но для понимания ситуации, пример, когда приезжает частная медицинская бригада и оказывает помощь.

5. Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

Д: если вы организуете почтовую связь, то лицу, которому фактически оказываете услуги — нет необходимости требовать согласия на обработку ПД.

6. Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

7. Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

📌 Реклама Отключить

Д: не требуется согласие при использовании ПД, если это данные чиновников, предоставленные в соответствии с законодательством Российской Российской Федерации.

Во всех остальных случаях, при контакте и сборе ПД от физического лица — вы должны получать его согласие и иначе никак — закон есть закон!

Что делать

Теперь разберём как собирать ПД и получать согласие.

Шаг 1.

Вам требуется подготовить текст политики обработки и защиты персональных данных, а также согласие на обработку персональных данных. Если у вас юридическое лицо или вы — индивидуальный предприниматель — вы должны утвердить политику обработки персональных данных приказом, где также определите ответственное лицо за обработку персональных данных в предприятии. Хочу обратить внимание, что данная политика как в Российской Федерации, так и в зарубежных странах — относится не только к работе с потребителями, но и с работниками.

📌 Реклама Отключить

Шаг 2.

Опубликуйте в общий доступ на сайте (и в мобильном приложении) политику обработки и защиты персональных данных.

Шаг 3.

Самое главное по теме. Если у вас есть какие-либо формы, где пользователи оставляют свои данные (или в приложении автоматически собираются, используются cookie и иные способы сбора данных), то под каждую форму (или при первом входе в приложение) нужно поставить что-то типа «Даю согласие на обработку своих персональных данных» и чекбокс. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним.

При этом крайне важно, чтоб донести до пользователя возможность прочитать данные документы и поэтому необходимо сделать гиперссылку или хотя бы текст кликабельным и ведущим на текст самого документа!

📌 Реклама Отключить

Немного юридического обоснования чекбоксов, а как называет Роскомнадзор — «галочек»:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» устанавливает обязательство собирать персональные данные:

«4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью…».

Но это как-то всё слишком сложно и в хозяйственной деятельности оперативно нельзя реализовать, поэтому наш доблестный Роскомнадзор пошёл навстречу людям и дал разъяснения:

📌 Реклама Отключить

«Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме».

Вариативно, ещё шаг 4.

Подать уведомление об обработке ПДн в Роскомнадзор.

В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных», оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

📌 Реклама Отключить

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Итого, чтобы минимально привести в порядок работу с персональными данными вам потребуется:

— политика обработки персональных данных;

— приказ об утверждении вышеуказанной политики;

— согласие на обработку персональных данных;

— чекбокс с гиперссылкой на вышеуказанное согласие.

Всё это требуется опубликовать на сайте и / или в приложении.

Продолжение в источнике vc.ru

Сегодня практически не осталось организаций, которые так или иначе не занимались бы сбором информации о существующих или потенциальных клиентах. Компании, банки, социальные сети и поисковики активно собирают информацию о своих пользователях — чтобы с ее помощью расширять аудиторию и лучше продавать свои услуги.

Анализ big data становится одним из наиболее востребованных инструментов для поиска и изучения аудитории, а также повышения ее лояльности. По оценке международной исследовательской компании IDC, к концу этого года на работу с большими пользовательскими данными компании по всему миру потратят около $189 млрд.

Пользователям, которые оказываются объектами чужих бизнес-интересов, все сложнее сохранить информацию о себе в секрете. Пользуясь интернетом, приложениями или услугами мобильных операторов, они оставляют множество «цифровых следов». Bloomchain разбирался в том, кто, как и зачем их собирает.

Социальные сети и поисковики

В десятку самых популярных сайтов в мире по версии Alexa входят три поисковые системы и две социальные сети: Google, Baidu, Yahoo, Facebook и Youtube. В российском рейтинге соотношение сохраняется — в лидерах все тот же Google, а также отечественные «Яндекс», Mail.Ru, «ВКонтакте» и «Одноклассники».

Поисковики и соцсети в основном зарабатывают на рекламе. Google и «Яндекс» владеют одними из крупнейших контекстно-медийных сетей — Google Display Network и «Яндекс Директ» соответственно. Эти сети объединяют сотни тысяч сайтов и генерируют огромный рекламный трафик: только Google Display Network ежемесячно делает до 2 млрд показов рекламы, в том числе на самых популярных сайтах и платформах в мире вроде Youtube или почтового сервиса Gmail. Аналогичные механизмы используют и социальные сети, каждая из которых имеет свою мощную рекламную сеть (например, Facebook Ads или рекламная сеть «Вконтакте»).

«Чтобы демонстрировать пользователю релевантные товары и услуги, необходимо собирать и анализировать пользовательские данные», — рассказал Bloomchain руководитель департамента системных решений Group-IB Анатолий Фишман.

Чтобы эффективно управлять рекламным трафиком, компании сегментируют аудиторию по максимально возможному количеству показателей: от возраста и места жительства до привычек, интересов и образа жизни пользователей.

Для этого компании и собирают персональные данные; какие именно и для каких целей — пользователь узнает при первом контакте с любым из сервисов поисковой системы или соцсетью. При регистрации в подобных сервисах необходимо прочитать и одобрить их политику конфиденциальности.

Согласие с политикой конфиденциальности — обязательное условие взаимодействия сайта и пользователя. Принятие правил может упростить работу в сети, однако при этом стоит забыть об анонимности: современные системы сбора информации способны за несколько секунд составить «цифровой портрет» пользователя.

Более того, поисковики оставляют за собой право собирать информацию даже о тех пользователях, которые не хотят заводить аккаунт в их системе. Эти данные извлекаются при помощи инструментов, встроенных в браузеры — например, при помощи файлов cookie. Они также позволяют с большой долей точности сегментировать аудиторию и в дальнейшем идентифицировать пользователей. Таким же образом поисковики собирают данные, синхронизируясь с мобильными устройствами.

Однако стоит отметить, что не только поисковики и социальные сети пристально следят за своими посетителями.

Информацию о пользователях собирает подавляющее большинство сайтов в интернете. В зависимости от специфики сайтов характер собираемой информации может отличаться. Например, серьезными базами данных о пользовательских предпочтениях располагают порносайты: многие слышали об исследованиях аудитории, которые проводит Pornhub. Может показаться смешным, но эти данные имеют серьезную ценность для маркетологов: по данным Carnegie Mellon University, 93% порносайтов передают информацию о своих пользователях третьим лицам.

Случаи из жизни. В нарушении правил конфиденциальности часто обвиняют самую крупную поисковую систему в мире — Google. В последнее время компанию все чаще штрафуют за непрозрачность системы сбора персональных данных, однако происходит это в основном в европейских странах. Дело в том, что в 2017 году в Европе был принят GDPR — жесткий регламент по работе с пользовательской информацией, которому иногда противоречат действия Google.

«В политике конфиденциальности Google указано, что компания имеет право собирать пользовательские данные для улучшения и поддержки существующих сервисов. Поэтому если вы смотрите на каком-то сайте газонокосилки, то при заходе на другой сайт, вы с большой долей вероятности увидите рекламу газонокосилок», — комментирует Анатолий Фишман.

В январе этого года Национальная комиссия по делам информационных технологий и правам человека (CNIL) Франции оштрафовала Google на €50 млн за то, что компания некорректно предоставляет информацию о сборе персональных данных, из-за чего согласие пользователей на их использование не может считаться бесспорным.

Похожие проблемы испытывает и Facebook, который не раз попадал в неприятные истории, связанные с охраной персональных данных. Самый известный случай произошел весной прошлого года, когда соцсеть сообщила об утечке данных 87 млн пользователей. Информация попала к компании Cambridge Analytica, которая использовала ее для политической рекламы. Спустя год Facebook оштрафовали на $5 млрд.

Свои правила действуют и в России: с 2014 года все зарубежные онлайн-сервисы обязаны хранить персональные данные россиян на серверах внутри страны. Новые требования устроили не всех: из-за отказа выполнять закон в России заблокировали социальную сеть для поиска деловых контактов LinkedIn. Но штрафы и санкции в России пока накладывают не за реальные нарушения прав пользователей, а за невыполнение требований властей.

Что делать. Чтобы избежать «слежки» крупных поисковиков и соцсетей, придется отказаться не только от использования их сервисов, но и и от большинства самых распространенных в сети продуктов — например, от популярных браузеров. При этом нужно будет внимательно читать пользовательские соглашения на всех посещаемых сайтах и используемых приложениях. Как правило, они позволяют использовать собранные данные третьим сторонам, которыми могут оказаться все те же поисковики и соцсети.

У тех, кому этого недостаточно, есть две альтернативы. Первая — использовать прокси-поисковики, не сохраняющие данные о пользователях. Вторая — уходить в глубинный интернет, который существует по своим законам, основанным на праве пользователя сохранять полную анонимность.

Мобильные приложения

Когда пользователь устанавливает приложение на смартфон, его часто просят предоставить программе права доступа к данным на устройстве: например, к информации о контактах, геонавигации или мультимедийным файлам. Чаще всего это связано с функциональностью самого приложения. Например, приложению для заказа такси онлайн это может быть нужно для быстрой связи с таксистом или службой поддержки, либо для сканирования привязанной к аккаунту пользователя банковской карты.

Мобильные сервисы, как и поисковые системы, могут использовать полученную информацию для составления более точного портрета своей целевой аудитории.

Перечень данных, которые собирают приложения, также содержится в пользовательских соглашениях. В общем виде он повторяет те же пункты, которые содержатся в правилах конфиденциальности большинства сайтов в интернете: личные и контактные данные, тип устройства, история браузера.

Важное отличие заключается именно в мобильности устройства — большинство смартфонов находятся рядом с пользователем в момент его передвижений, поэтому приложения активно собирают информацию о посещенных человеком местах. Эта информация помогает владельцам приложений зарабатывать деньги на рекламе: достаточно вспомнить, как часто, например, сервис «Google Карты» просит поставить оценку месту, рядом с которым находился хозяин смартфона. По умолчанию этот сервис сохраняет геопозицию пользователя даже при выключенном GPS.

По словам Анатолия Фишмана, не только сайты и сервисы собирают данные и анализируют их — это также делают мобильные телефоны и другие устройства.

«если вы пользователь Google Android, и дали согласие на сбор информации, то ваш девайс будет лежать у вас в кармане и записывать то, что вы говорите, — чтобы потом сделать устройство максимально персонифицированным под вас», — отмечает специалист Group-IB.

Истории из жизни. Собранная через мобильные устройства информация позволяет составлять точные портреты пользователей, и иногда это оказывается не в пользу последних. В 2017 году в Москве активно обсуждали историю о том, что сервис «Яндекс Такси» завышал стоимость поездки для клиентов с более дорогими моделями телефонов. Впрочем, заговорили об этом на фоне серьезной маркетинговой активности конкурентов из Gett, а в самом «Яндексе» возможность подобного манипулирования отрицают.

Другая проблема — безопасность и законность использования данных, собранных приложениями. Здесь можно вспомнить российское приложение FaceApp, которое сейчас переживает новую волну популярности. Приложение, способное «состаривать» лица пользователей, скачали более ста миллионов человек. Все они приняли пользовательское соглашение, которое позволяет FaceApp полностью распоряжаться полученными данными — в том числе базой из сотни миллионов лиц.

Что делать. У пользователя не слишком большой выбор при установке приложения, даже если оно прошло проверку Google Play или App Store. Можно или принять правила и установить программу, или не согласиться с ними и отказаться от установки. Впрочем, существует вариант с ограничением функциональности приложения — для этого нужно изучить его настройки и отказаться от разрешений, которые могут показаться лишними.

При установке приложений стоит читать пользовательское соглашение — этот документ содержит информацию о том, чем программа будет заниматься. Гарантировать законопослушность и чистоплотность разработчиков вряд ли возможно, но дополнительно можно почитать отзывы пользователей, уже установивших приложение.

Мобильные операторы

Телеком-индустрия традиционно работает с огромным количеством «больших пользовательских данных».

«Мобильный оператор анализирует ваш профиль, сколько вы минут в день разговариваете, и потом предлагает вам оптимальный тариф. Это нельзя назвать таргетированной рекламой, но это определенная оптимизация вашего пользовательского опыта», — говорит Анатолий Фишман.

Собирая информацию о своих клиентах, мобильные операторы не только корректируют старые или запускают новые тарифы, но и ведут борьбу со спамом и мошенничеством, оптимизируют работу собственных колл-центров, делают прогнозы по динамике абонентской базы и финансовым показателям.

Задачу по сбору информации о своих пользователях мобильным операторам упрощает законодательство: находясь в России, невозможно купить sim-карту без предоставления паспортных данных. После начала ее использования абонент постоянно переключается между мобильными вышками, которые фиксируют его расположение в режиме 24/7.

Анализируя эту информацию, мобильный оператор может составить детальное досье на каждого из своих пользователей: где он работает, сколько денег тратит на развлечения, где ужинает, в каких магазинах покупает еду и одежду, как часто отдыхает за границей.

Эта информация может иметь большую ценность для сторонних компаний: еще в 2015 году операторы большой российской тройки запустили скоринговые сервисы, позволяющие оценивать платежеспособность клиента, который обращается за кредитом в банк.

История из жизни. В марте «Ведомости» опубликовали материал о том, что в период с 2015 по 2018 годы столичный Департамент информационных технологий (ДИТ) потратил почти 520 млн рублей на покупку геоаналитики у российских мобильных операторов.

Закупая данные у игроков телеком-индустрии, столичные чиновники определяют, где живут, работают и ночуют жители Москвы, как они передвигаются по городу и как часто выезжают за его пределы. Это возможно благодаря анализу передвижений активных sim-карт по городу с точностью до нескольких минут и сотен метров. Заявленная цель — оптимизация транспортной инфраструктуры российской столицы.

Повышенный интерес к данным геоаналитики, которую могут предоставить мобильные операторы, есть также у транспортных компаний и ритейла. Они получают возможность определять оптимальное расписание перевозок и более выгодное расположение торговых точек.

Что делать. В случае с мобильными операторами приходится рассчитывать прежде всего на их чистоплотность. Российский телеком-сектор — это высококонкурентная среда. Репутационные издержки от возможных случаев незаконного использования личных данных пользователей — например, их передаче коллекторским агентствам — могут повлиять на операционные показатели компаний.

Банки

В последние несколько лет крупнейшие мировые и российские банки начали превращаться из обычных кредитно-финансовых организаций в крупные и постоянно растущие экосистемы. Bloomchain подробно разбирал этот процесс, в ходе которого банки активно скупают непрофильные активы из самых разных областей: от лайфстайла и недвижимости до медицины и облачных технологий.

Читать также: сколько стоит построить экосистему в банке

Цель такой стратегии — аккумулирование на своих технологических платформах клиентских баз различных компаний, которые могут охватить весь жизненный цикл пользователя. Использование разных площадок позволяет банкам создавать еще более подробные портреты пользователей и максимально персонализировать свои предложения.

Сбор персональных данных позволяет банкам оптимизировать затраты и систему управления, управлять рисками и персоналом, заниматься оценкой кредитоспособности клиентов и решать множество других задач. Банки собирают информацию о клиентах всеми возможными способами: при помощи оффлайн-отделений, онлайн-рекламы, дочерних проектов и маркетинговых партнеров, социальных сетей, мобильных приложений.

индивидуальный подход: как персонализация стала драйвером развития для банков

Однако в банковской сфере очень остро стоит вопрос безопасности данных. Мошенникам зачастую не приходится взламывать системы безопасности или атаковать инфраструктуру банков. По данным Group-IB, более 80% хищений денежных средств со счетов физических лиц производится с использованием методов социальной инженерии.

Для таких атак необходима информация о пользователях, рассказывает Анатолий Фишман. «Очень простой и распространенный пример: вы получаете звонок от якобы сотрудника службы безопасности банка, который предупреждает вас о подозрительной активности, связанной с вашим счетом. Он обращается к вам по имени и может назвать информацию о последних операциях, тем самым снимая подозрения. Далее вас просят сообщить смс-код, кодовое слово или данные карты и через некоторое время у вас списывают какую-то сумму денег. Откуда у злоумышленников ваши данные? Все очень просто: данные пользователей банков активно продаются и покупаются в даркнете. Злоумышленникам не составляет никакого труда их приобрести и использовать в мошеннических схемах для шантажа и компрометации пользовательских аккаунтов», — говорит эксперт.

Читайте также: как не стать жертвой мошенников

По словам Фишмана, в таких случаях пользователь не может обезопасить себя от утечки своих персональных данных. Ответственность ложится на операторов данных — банки и финансовые организации, которым нужно внимательно относится к вопросу обеспечения кибербезопасности. Например, использовать системы для предотвращения кибератак на ранней стадии.

История из жизни. В прошлом году одной из самых обсуждаемых тем в банковской среде стал запуск Единой биометрической системы (ЕБС). Эту инициативу развивает Центральный банк России, который стремится присоединить к программе как можно больше кредитных организаций.

ЕБС предполагает обслуживание клиентов в банках с помощью биометрии — «слепков» голоса и лица. По мнению ЦБ, это должно упростить работу с пользователями и снизить вероятность мошенничества. Банки-участники системы предлагают своим клиентам сдать фотографии и образцы голоса, которые помогут подтвердить личность при дистанционном обслуживании.

ЕБС создавалась для того, чтобы облегчить жизнь клиентам банков. Однако уже в момент ее запуска допускалось, что доступ к ней могут получить МВД и ФСБ — причем без уведомления клиентов. С учетом того, что закон определяет сдачу биометрии как полностью добровольный процесс, несложно объяснить, почему россияне не спешат делиться своими данными с ЕБС.

Точных сведений о количестве банковских клиентов, поделившихся своей биометрией с банками через ЕБС, нет. Однако известно, что к концу прошлого года их было всего три тысячи, а к началу нынешнего лета показатель вырос всего в несколько раз. Особняком в этой истории, как всегда, стоит Сбербанк, который отказался подключаться к общей системе. Крупнейший банк России создает собственную биометрическую базу, в которой к концу прошлого года насчитывалось «несколько миллионов» образцов.

Что делать. Нужно помнить, что правила безопасности при работе в интернете едины для всех. Сайты и приложения банков не отличаются от многих других сервисов — как и правила безопасности при работе с ними.

Если речь идет о принципиально новых опциях, как в случае со сбором биометрии, то следует внимательно изучать законы, в которых подробно описаны права банков при работе с персональными данными.

Как сохранить персональные данные в безопасности?

«Фактически мы говорим сегодня о глобальной проблеме — отсутствии так называемого цифрового иммунитета у людей. Преступность уходит в интернет и современный человек с большей долей вероятности станет жертвой киберпреступления, чем разбоя или грабежа», — считает Анатолий Фишман.

Защитить персональные данные чаще всего помогают самые элементарные правила цифровой гигиены, обращает внимание эксперт.

Прежде всего, отмечает он, стоит отключать все возможные сервисы отслеживания местоположения и отправки данных третьим лицам. «Устанавливайте только те приложения, которые вам нужны и ограничивайте их доступ к контактам, диктофону или камере. Давайте разрешение на доступ к тем данным, которые действительно необходимы для работы конкретного приложения», — подчеркивает эксперт.

Кроме этого, следует внимательно читать пользовательские соглашения. По словам Фишмана, именно в них содержится информация о том, на сбор каких данных пользователь дает разрешение. «Также стоит помнить о законе о персональных данных. Вы, как пользователь, имеете право требовать удаления своих данных из системы и запретить обработку этих данных или передачу их третьим лицам”, — добавляет Фишман.

Эксперт отмечает, что обезопасить себя от утечки данных или их неправомерной передачи третьих лицам со стороны оператора невозможно. Это доказывает та же история с Cambridge Analytics. В этой ситуации, отмечает специалист Group-IB, следует очень внимательно следить за тем, какую информацию в сети оставляет пользователь.

«Если вы пользуетесь благами цифровой цивилизации, то приходится жить по новым правилам. И с четким пониманием того, что все, что вы скажете, напишете или опубликуете в интернете, может быть использовано против вас», — заключает Фишман.

Закон об обработке персональных данных принят давно, однако, даже после введения дополнительных штрафов в 2017 году, не все компании правильно подходят к обработке персональных данных клиентов.

Политика обработки персональных данных

Согласно положениям статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

1. Нарушение порядка сбора, хранения, использования или распространения информации о гражданах, обработка данных в не установленном законом порядке и использование этих данных не по назначению караются следующими штрафами:
— Физическое лицо: предупреждение или штраф в размере 1 000 — 3 000 рублей;
— Должностное лицо: штраф в размере от 5 000 — 10 000 рублей;
— Юридическое лицо: штраф в размере 30 000 — 50 000 рублей;

2. Обработка персональных данных без согласия гражданина приведет:
— Физическое лицо: штраф в размере 3 000 — 5 000 рублей;
— Должностное лицо: штраф в размере от 10 000 — 20 000 рублей;
— Юридическое лицо: штраф в размере 15 000 — 75 000 рублей;

3. В случае, если оператор персональных данных не опубликовал информацию и не обеспечил доступ к документу, в котором прописаны все условия использования персональных данных или сведения о реализуемых требованиях, ему будет вынесено предупреждение или выписан административный штраф:
— Физическое лицо: штраф в размере 700 — 1 500 рублей;
— Должностное лицо: штраф в размере от 3 000 — 6 000 рублей;
— Индивидуальный предприниматель: штраф в размере от 5 000 — 10 000 рублей
— Юридическое лицо: штраф в размере 15 000 — 30 000 рублей;

Отдельно необходимо отметить три пункта:

1. Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом почта katya334566@bk.ru не является персональными данными, а почта petr.ivanov@livetex.ru , с указанием должности в подписи, является, так как можно определить, что эта почта принадлежит Петру Иванову, работающему в LiveTex.

2. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

3. Обработка персональных данных – любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Несколько ситуаций, когда персональные данные можно обрабатывать без согласия

Эти случаи опираются на законодательство РФ:

  • Сбор осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии.
  • Осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
  • Осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.
  • Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
  • Необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.
  • Осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
  • Осуществляется в отношении данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
    Во всех ситуациях, которые не подходят под эти пункты, необходимо согласие на обработку.

Что сделать для того, чтобы правильно работать с персональными данными?

Необходимо подготовить текст политики обработки и защиты персональных данных. Также необходимо утвердить данный текст приказом. После, обязательно, надо разместить данную политику в общем доступе. Если на вашем сайте есть какие-либо формы обратной связи – вам необходимо под каждой такой формой написать что-то вроде «я согласен на обработку персональных данных» и оставить чекбокс.

Так же необходимо сделать при первом входе в ваше мобильное приложение, если данное приложение имеет доступ к персональным данным. Если у вас есть ещё и пользовательское соглашение, то следует сделать чекбокс и с ним. Так же необходимо, чтобы пользователь мог ознакомиться с политикой обработки и с пользовательским соглашением, соответственно надо оставить ссылку на них.

Юридическое обоснование чекбоксов звучит так:

Часть 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных” устанавливает обязательство собирать персональные данные:

«В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью…”.

Понятное дело, что сделать это сложно и долго. Поэтому Роскомнадзор пошёл навстречу людям и дал разъяснения:

«Получение согласия на обработку персональных данных может быть получено посредством проставления «галочки» пользователем в соответствующей веб-форме. Однако в случае обработки биометрических и специальных категорий персональных данных, а также при передаче на территорию государства, не обеспечивающего адекватную защиту персональных данных, согласие должно быть оформлено в письменной форме”.

Последним шагом является уведомление Роскомнадзора о том, что вы обрабатываете персональные данные. В соответствии с частью 1 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных”, оператор должен это сделать до начала обработки ПД. За задержку с уведомлением вас не оштрафуют, санкции последуют только в том случае, если вами заинтересуется Роскомнадзор. Но даже если вы высылаете уведомление с опозданием, указывайте дату государственной регистрации как дату начала обработки ПД.

Выполнение данного шага напрямую зависит от целей сбора персональных данных. Федеральный закон от 27 июля 2006 г. N 152-ФЗ в статье 22 предусматривает ряд исключений, когда подавать уведомление не требуется (обработка ПД в рамках трудового законодательства, заключенного договора и т.д.).

Зачем нужна политика обработки персональных данных?

Зачем вообще необходимо задумываться о политике обработки персональных данных? Первой причиной, конечно же, назову штрафы и возможная блокировка вашего сайта. Это административная ответственность. Да и в целом это все может привести к большим проблемам с вашим бизнесом.

Для пользователей LiveTex есть отличная новость – «пользовательское соглашение» уже загружено в ваши виджеты. Вам только необходимо загрузить юридические данные о вашей компании и посетители перед началом чата смогут прочитать «пользовательское соглашение».

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *