Есть вопросы к DPO

Что сейчас обсуждают специалисты по защите персональных данных

Сфера персональных данных (ПД) все больше усложняется, в ней возникает ряд новых направлений, которые требуют осмысления и обмена опытом между участниками рынка. Как обеспечить законное распространение личной информации, является ли адрес электронной почты персданными, как наказывают за утечки сведений в разных странах и многое другое обсудили на прошедшем 19-20 октября Евразийском конгрессе по защите данных (Eurasian Data Protection Congress).

ЦЕНТР В ПОМОЩЬ

Количество пострадавших от неправомерных действий в интернете с их персональными данными стремительно растет. По словам начальника отдела мониторинга и анализа Центра правовой помощи гражданам в цифровой среде ФГУП «Главный радиочастотный центр» Дарьи Калиш, почти половина из обратившихся в Центр пострадали от мошенников.

Дарья Калиш, Центр правовой помощи:

– За текущий год к нам обратилось уже в два раза больше человек, пострадавших от неправомерных действий с их персональными данными, чем за весь 2022 год. Мы консультируем граждан, изучаем документы, помогаем договориться до суда, если это не получается, то идем в суд представлять интересы пострадавших.

В 2023 году 45% обратившихся в Центр правовой помощи пострадали от действий мошенников

Онлайн-мошенники следят за информационными поводами, умело используют повестку дня и манипулируют доверием граждан, отметила эксперт.

При изучении документов многих операторов персданных специалисты Центра сталкиваются с проблемой избыточного сбора сведений, которые не нужны им для оказания услуг. «Также сами граждане часто не вникают в содержание документов, которые касаются обработки ПД, нажимают на “галочки” и затем ощущают на себе последствия в виде нежелательной рекламы, передачи их личной информации третьим лицам», – обратила внимание представитель Центра правовой помощи.

По словам Дарьи Калиш, проблема сбора избыточных данных уже долгое время усугубляется тем, что суды рассматривали избыточность как субъективное понятие. «Если компания заявляет, что данные ей нужны для каких-то внутренних процессов – то [суды полагают, что] так и должно быть, ничего страшного. Тем не менее у нас сформировался пул успешных кейсов, когда мы доказывали, что те или иные данные не являются необходимыми», – рассказала Дарья Калиш.

Она привела пример, когда крупная страховая компания запрашивала у своих клиентов информацию о поле водителя. Такие сведения не являются обязательными и в определенных случаях могут носить даже дискриминационный характер. «Почему на стоимость страховки должен влиять пол водителя?» – посетовала эксперт.

БИТВА ДВУХ PRIVACY-ЁКОДЗУН

Зрелость сферы защиты ПД подтверждает одномоментное появление сразу двух систем сертификации специалистов по защите ПД. Российская ассоциация специалистов по защите данных (Russian Privacy Professionals Association, RPPA) 20 октября запускает независимую сертификацию специалистов по защите персональных данных (Data Protection Officer, DPO), сообщил на конгрессе международный эксперт в области приватности RPPA Николай Дмитрик.

По его словам, главным принципом новой системы сертификации станет открытость.

Николай Дмитрик, RPPA:

– Свой вклад в сертификацию сможет вносить каждый участник нашего профессионального сообщества. Например, первые 100-150 вопросов для проверки теоретических знаний подготовят те, кто начинает эту сертификацию. Дальше каждого, кто приходит для проверки теоретических знаний, мы попросим принести с собой минимум 10 вопросов. После проверки они будут добавлены в общую базу вопросов.

Для каждого прошедшего сертификацию будет создаваться запись с уникальным номером, который попадет в реестр. По мере повышения уровня знаний и навыков в номер будут вноситься изменения. По этому номеру будет видно, какие навыки подтверждены. Это своего рода аутсорсинг собеседования на работу, обратил внимание Николай Дмитрик.

«Задача сертификации – не только подтвердить компетенции согласно перечню компетенций DPO, а сформировать базу знаний, познакомиться с новыми участниками нашего профессионального сообщества лично», – отметила соучредитель RPPA Кристина Боровикова. По ее словам, перечень компетенций специалиста по защите персданных готовился год и обсуждался публично.

Система сертификация RPPA – не единственная на российском рынке. В середине октября была запущена сертификация профессионалов по персональным данным «ПРОПД». «Независимая сертификация “ПРОПД” создана с целью решения проблем рынка защиты персданных в России, на котором пока отсутствует единый профессиональный стандарт, а люди в своей работе опираются на европейский Общий регламент защиты данных (GDPR), а не на отечественный 152-ФЗ», – пояснил RSpectr сооснователь и учредительный директор компании «Б-152» Максим Лагутин.

EMAIL, САНКЦИИ И НЕМНОГО ПАРАНОЙИ

Управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников затронул проблему отнесения адреса электронной почты к персональным данным.

«В опубликованных в 2015 году разъяснениях-комментариях Роскомнадзора к закону “О персональных данных” говорится, что электронная почта является персданными, только если есть дополнительные идентификаторы, которые определяют физическое лицо. Например, email в связке с фамилией, именем и отчеством становится ПД», – напомнил он. На фоне вступления в силу в 2018 году GDPR происходили изменения в понимании этого вопроса. По словам эксперта,

при определении, является ли тот или иной адрес электронной почты персданными, необходимо исходить из здравого смысла и руководствоваться соображениями управления рисками

Михаил Емельянников, «Емельянников, Попова и партнеры»:

– Электронный адрес TatianaIvanova@bank.ru является безусловными персональными данными. Во-первых, Татьяна Иванова в этом банке, по всей видимости, единственный человек с таким именем. Иначе должен быть дополнительный идентифицирующий признак. Во-вторых, этот email говорит, что есть конкретное лицо и оно работает в конкретном российском банке.

Старший консультант компании Data Privacy Office Дарья Заграничнова рассказала о санкциях за нарушение законодательства о защите персональных данных на примере ЕС, Индии и Китая. Практика исполнения законодательства в сфере персданных в этих странах еще нарабатывается, но определенный опыт уже накоплен, отметила эксперт.

Кроме штрафов, надзорные органы ЕС, Индии и Китая могут вынести предупреждение, потребовать привести процессы компании в соответствие законодательным нормам или удовлетворить запрос субъекта ПД.

Дарья Заграничнова, Data Privacy Office:

– В Китае и ЕС в качестве наказания используется ограничение или запрещение обработки персданных. Например, в 2019 году в ЕС соцсети Facebook* было запрещено объединять данные из разных сервисов, а в Норвегии приложению для отслеживания контактов было запрещено обрабатывать данные.

Также существует практика полного запрета сервиса. Такой случай произошел в Италии, где был установлен запрет на использование нейросети ChatGPT. В китайском законодательстве имеются нормы о ликвидации компании и конфискации незаконно полученной прибыли.

Президент Консорциума «Инфорус», разработчик технологии интернет-разведки Avalanche Андрей Масалович предупредил о грядущей «золотой записи» – едином цифровом досье на каждого человека, которое будет содержать персональные данные.

«Каждое наше действие оставляет цифровой след, неважно – в финансах, транспорте, больнице и т.д. Эти цифровые следы собираются в базы, которые стекаются вместе. Данные обогащаются и образуют наше цифровое досье», – рассказал эксперт.

*Запрещена в России, принадлежит корпорации Meta, признанной в РФ экстремистской.

Тимур Халудоров