ИТ / Статьи
люди персональные данные
3.3.2023

Хватит им сведений

Как защититься от незаконного сбора персональной информации

Многие россияне соглашаются на обработку персональных данных (ПД), считая, что у них нет иного выбора. Ситуации, когда сбор сведений обязателен, действительно встречаются, однако в большинстве случаев от него можно уйти. Эксперты по защите персданных рассказали RSpectr, как обманывают людей для «вытягивания» нужных сведений, как не попасться на уловки недобросовестных организаций и что делать, если это все же произошло.

НЕСИТЕ ВАШИ ДАННЫЕ

Платформа для автоматизации маркетинга Mindbox провела опрос и выяснила, что 41% россиян не хотели бы передавать свои персональные данные компаниям, но считают, что у них нет выбора. Еще 26% респондентов к передаче данных настроены отрицательно и стараются не делиться ими с брендами. Только 11% опрошенных убеждены, что сбор личной информации о пользователях помогает компаниям делать сервис лучше, и положительно относятся к такой функции.

По словам директора Центра правовой помощи гражданам в цифровой среде ФГУП «ГРЧЦ» Людмилы Куровской, сбор операторами избыточных ПД и передача их непоименованному, то есть неопределенному кругу партнеров сейчас очень распространены. «Это создает возможность раскрытия ПД неопределенному кругу лиц, в том числе в маркетинговых целях», – отметила она.

Нередко в пользовательском соглашении сайтов уже заложено условие о том, что полученные при регистрации учетные данные могут быть переданы партнерам организации

Людмила Куровская, Центр правовой помощи:

– Гражданин, нажимая галочки регистрации, открывает ящик Пандоры и доступ к своей личной информации в той мере, которая по своей правовой сути равнозначна разрешению на распространение ПД.

Управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников сказал RSpectr, что доступные персональные данные активно собирают интернет-провайдеры, операторы сотовой связи и владельцы онлайн-сервисов. Причем зачастую они делают это, грубо нарушая тайну связи, анализируя разговоры и переписку абонентов.

Михаил Емельянников, «Емельянников, Попова и партнеры»:

– Еще один способ, связанный скорее с незаконным использованием ПД – включение в согласие на обработку неограниченных прав оператора использовать полученные данные, в том числе передавать их неизвестному субъекту и не указываемому в тексте согласия кругу третьих лиц и так далее.

Незаконный сбор ПД можно встретить где угодно, и пользователь даже не будет подозревать об этом, подтвердила RSpectr независимый эксперт в сфере защиты персональных данных Татьяна Плотникова. Например, когда человек покупает автомобиль в салоне, ему мгновенно приходит множество предложений его застраховать. По окончании страховки неведомым образом начинают звонить другие страховщики с предложением наиболее выгодного тарифа. Также это может быть SMS от банка с предложением кредита. Незаконным сбором ПД могут заниматься и event-агентства, которые выступают организатором по поручению других операторов либо привлекают субконтракторов для регистрации участников мероприятия.

По словам эксперта, чаще всего рассылку по «своей базе» предлагают операторы связи. В этом случае она может быть законной, так как в последних версиях оферты такая рассылка предусматривается при отдельном согласии абонента. Однако есть пользователи, которые заключили договор давно и никаких согласий не подписывали, тем не менее они тоже присутствуют в базе, утверждает Татьяна Плотникова.

БЕРЕГИТЕ ЛИЧНОЕ

Эксперт по защите ПД компании «Б-152» Максим Лагутин говорит, что пользователи часто осознают незаконность сбора данных незаконен, однако соглашаются на него для получения выгоды. Например, если при сборе ПД предлагается скидка на товар. По словам эксперта,

люди не до конца понимают стоимость и важность своих личных данных

Консультант по вопросам персональных данных Александр Партин рассказал RSpectr, что сбор избыточных данных может происходить при рекламных звонках или наоборот, когда человек сам обращается в страховую компанию, сервисные центры и другие организации. Там его просят представиться, назвать марку автомобиля, его идентификационный номер, госномер и другую информацию. Зачастую эти сведения интересны компаниям в сугубо рекламных целях. Также распространен сбор ПД при запросе цен, прайс-листов и иных документов, отметил эксперт.

Сбор данных зачастую может быть законным, а вот дальнейшее их использование – нет, отметил в беседе с RSpectr управляющий партнер Comply Артем Дмитриев. Некоторые компании коммерциализируют накопленные клиентские сведения, например, помогают «обогатить» другим бизнесам клиентские профили для лучшего понимания аудитории.

Артем Дмитриев отметил, что

в большинстве случаев нарушения и утечки ПД происходят не по злому умыслу компаний, а от плохого понимания процессов

В качестве примера «вытягивания» ПД из пользователей он назвал ситуацию, когда согласие на рекламу нужно оформить, чтобы получить доступ в какой-то раздел сайта или присоединиться к программе лояльности. В основном такие манипуляции сводятся к принуждению человека, что нарушает требования свободы согласия, или отсутствию информирования об обработке его данных, подчеркнул эксперт. По его словам, существуют и другие практики сбора ПД:

  • «Дай согласие на обработку данных, чтобы мы могли развивать наш продукт и показывать персонализированную рекламу, и пользуйся нашим сервисом бесплатно».
  • Многочисленные запросы согласий, эмоциональный язык, подталкивающий пользователей поделиться данными или отказаться от отзыва согласий («не покидайте нас», «мы будем скучать»).
  • Неконкретная, расплывчатая информация об обработке данных (для каких целей, какие данные обрабатываются): «Мы используем данные для улучшения вашего пользовательского опыта».

По словам эксперта, такие манипуляции тоже могут нарушать закон в части принципов справедливости и прозрачности обработки данных и конкретности согласий. Но они гораздо реже оспариваются в судах и регуляторами, и поэтому многие компании используют подобные техники, не опасаясь немедленных санкций.

Огромное количество ПД пользователей собирается через мобильные приложения, сказал RSpectr соучредитель Russian Privacy Professionals Association (RPPA) Алексей Мунтян. По его словам,

тот факт, что сборщиков ПД в первую очередь интересуют паспортные данные, уровень дохода или состояние здоровья, – миф

В 90% случаев им нужна только контактная информация, сведения об интересах и поведении в Сети, отметил эксперт. После получения этих данных их таргетируют. В наиболее жестких случаях с помощью ПД могут пытаться манипулировать потребительским поведением человека.

СМОТРИТЕ, НА ЧТО СОГЛАШАЕТЕСЬ

Люди должны задаваться вопросом, насколько запрашиваемые данные нужны для достижения соответствующей цели, говорит Александр Партин. Если данные, по мнению пользователя, не нужны, стоит задать такой же вопрос сервису или человеку, который их запрашивает. В зависимости от ответа можно оценить, насколько прозрачно компания рассказывает, как она обрабатывает ПД и стоит ли ей доверять, советует эксперт.

Также нужно читать политику компании, которая размещается на интернет-сайте, изучить текст договора, заключаемого человеком с компанией и/или текст согласия на обработку ПД, говорит Александр Партин.

Артем Дмитриев отмечает, что, если личную информацию все-таки требуется указать, всегда можно предоставить несуществующий номер телефона или адрес. Эксперт подчеркнул, что

на российском рынке есть и много компаний, которых действительно заботятся о защите персональных данных своих пользователей

По его словам, этот тренд растет из года в год и стимулируется ужесточением законов.

В целом большинство компаний заинтересовано в сохранении монополии на полученные данные и не раскрывают их своим конкурентам, говорит Артем Дмитриев. Накопленную информацию активно используют для построения собственных сервисов, которые затем будут предлагать на рынке.

Как объясняет Артем Дмитриев, передача ПД будет обязательной в том случае, если без нее нельзя достичь цели обработки данных – например, исполнить договор или выполнить обязанности по закону.

Так, если человек оформляет доставку в онлайн-магазине, передача данных курьерской службе будет законна и необходима для исполнения договора купли-продажи. Кроме того, обязательный сбор нужен для подачи отчетности по работникам в налоговую службу или Социальный фонд России.

Эксперт уверен, что в стране постепенно формируется правоприменительная практика,

россияне чаще подают жалобы в Роскомнадзор, ФАС и даже прокуратуру по поводу обработки их данных на сайтах, отсутствия политики конфиденциальности или получения спама

Регуляторы все чаще обращают на это внимание, заставляя операторов менять свои практики, отметил Артем Дмитриев.

Михаил Емельянников рассказал, что жители РФ порой обращаются в суд. Например, уральский юрист добился привлечения к ответственности компании Google, которая при предоставлении сервиса электронной почты читала его переписку и таргетировала ему рекламу по тем направлениям, о которых он переписывался (в данному случае – отелей в стране предполагаемой поездки).

В 2022 году клиентка, пытавшаяся узнать стоимость полиса «ОСАГО», добилась в апелляционной инстанции признания незаконной деятельности страховой компании, которая пыталась обменять обязательные для предоставления данные на персональные (сведения о паспорте и водительском удостоверении), рассказал эксперт. По его словам, в целом, сказать, что у людей есть понимание ситуации и ее последствий широким круглом граждан, нельзя, большинству людей это пока безразлично.

Александр Партин полагает, что большинство людей просто отказываются от пользования сервисами, если считают сбор ПД незаконным или навязанным.

По словам Алексея Мунтяна,

в последние годы активно действует Центр правовой помощи гражданам в цифровой среде, который оказывает большую помощь людям, сталкивающимся с незаконным сбором ПД

Например, в прошлом году страховая компания для расчета стоимости страхового полиса захотела получать у своих клиентов большой объем личных сведений. Одна из пользователей обратилась в Центр, где ей помогли составить исковое заявление. В результате суд встал на ее сторону, а незаконная практика компании была прекращена, рассказал эксперт.

Екатерина Шокурова

Изображение: Adobe Stock, Freepik, Comply

Еще по теме

Почему будущих специалистов по информбезопасности разбирают еще со школы

Новые схемы интернет-мошенников и как им противостоять

Почему буксует импортозамещение электронных компонентов

Почему рынок коммерческих дата-центров нуждается в регулировании

Что ждет начинающего тестировщика в 2024 году

Как найти перспективные зарубежные рынки для российских решений

Какие угрозы несет интернет тел человечеству

Успеют ли банки заменить импортный софт и оборудование до 2025 года

Зачем компании вкладывают деньги в ИТ-состязания?

Импортозамещение и внутренняя разработка ПО в страховании

Почему рынок информационных технологий РФ возвращается к классической дистрибуции

Что сделано и не сделано в цифровизации России за 2023 год

Как заботу о вычислениях переложить на вендоров и почему не все к этому готовы

Когда российский бизнес начнет замещать импортное ИТ-оборудование

Чего добились за два года активного импортозамещения ПО