Нововведения, отмечает юрист Анастасия Цымбал, предполагают, что перечень персональных данных будет четко определен законом. Операторы смогут собирать только ту информацию, которая необходима для выполнения конкретных задач.
Согласно инициативе, будет создан институт доверенных операторов, ответственных за хранение персональных данных для других операторов, которые не способны самостоятельно обеспечить должный уровень защиты. При этом доверенные операторы будут контролироваться государством.
О том, какие ошибки администраторы сайтов допускают чаще всего, и как правильно собирать персональные данные, писала «Сфера».
Что такое персональные данные?
Персональные данные – информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Но при этом конкретного перечня такой информации в законе нет, что не позволяет до конца определить, какие данные можно считать персональными.
Старший юрист компании i-Legal Алексей Филатов отмечает, что персональные данные могут идентифицировать человека прямо или косвенно. Прямая идентификация – это информация, принадлежащая конкретному лицу (например, паспортные данные или ИНН). А косвенная – информация, которая позволяет просто сузить круг лиц.
«Например, Иванов Иван Иванович – таких тысячи, если не десятки тысяч, по всему миру, и чтобы определить конкретного, понадобится дополнительная информация. Например, номер телефона, ИНН, e-mail адрес и т.д.», – замечает эксперт.
Персональные данные бывают:
- общими (ФИО, номер телефона);
- специальными (информация о расе, национальности, религиозных или политических убеждениях);
- биометрическими (фото человека или отпечатки пальцев, использующиеся для идентификации)
Биометрия – наиболее уязвимая категория, считает Алексей Филатов. С ним не согласна Анастасия Цымбал.
«Пользователи в сети Интернет все чаще становятся жертвами мошеннических схем. Именно поэтому данные, которые можно получить с помощью информационного пространства (социальных сетей, фишинговых сайтов) являются наиболее уязвимыми», – замечает она.
Новые старые правила игры
«Обязанность собирать только необходимые персональные данные установлена уже сейчас, т.к. в статье 5 Закона «О персональных данных» указан так называемый принцип минимизации обрабатываемых персональных данных. Это означает, что обработка избыточной информации запрещена, даже при наличии согласия. Однако в настоящий момент приемлемый минимум собираемых данных устанавливают сами компании», – рассказал «Сфере» Алексей Филатов.
Евгений Альтовский уточняет, что запрет на требование от граждан предоставления персональных данных, не относящихся к правоотношениям с операторами, был введен еще два года назад, в сентябре 2022 года.
«Например, заключая договор об оказании услуг связи, гражданин обязан предоставить оператору свои паспортные данные – это установлено как общими нормами гражданского права, так и специальными нормами законодательства о связи. Но требовать от гражданина указать, скажем, место работы или сообщить, состоит ли он в браке, оператор связи права не имеет», – отмечает эксперт.
Сфера регулируется двумя законами – «О персональных данных» и «О защите прав потребителей». За соблюдением законодательства, объясняет Евгений Альтовский, должны следить сразу два ведомства – Роскомнадзор и Роспотребнадзор.
«И оба они, как показала наша практика, увиливают от исполнения надзорных функций. Вместо того, чтобы «плодить» новые нормы права, ведомству следует заняться исполнением своих прямых обязанностей – надзором за соблюдением уже существующих правил», – подчеркивает специалист.
С ним не согласен руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин. По его словам, любая стандартизация в сфере обработки данных ведет к созданию понятных правил игры.
А как же бизнес?
Помогут ли новые правила уберечь граждан от утечек и не навредить бизнесу? Здесь эксперты расходятся во мнении.
«Если данных будет собираться меньше, и потерь будет меньше. Но я продолжаю считать, что главный способ защиты персональных данных – это ответственность операторов, их нежелание платить гигантские штрафы и жертвовать репутацией. В России более 5 миллионов операторов персональных данных и далеко не все смогут обеспечить их надежное хранение, поэтому с точки зрения пользователей, инициатива безусловно может повысить безопасность собираемых данных», – отмечает Сергей Полунин.
Алексей Филатов наоборот считает, что инициатива не окажет того положительного эффекта для россиян, который можно ожидать. Государство в лице его органов, как и компании, не могут до конца быть уверенным в том, что утечки не произойдут.
Что же касается операторов, продолжает Сергей Полунин, то им может не понравиться идея сбора только необходимых сведений. С одной стороны, каждый пункт придётся согласовывать с регулятором, и обосновывать его необходимость, с другой – данные о пользователях часто собирают «на всякий случай», а потом бизнес делится ими с партнерами.
«Я считаю, такая инициатива не отвечает интересам бизнеса, так как никакие государственные перечни не могут учитывать специфику каждого из сервисов. Также РКН предлагает, чтобы компании получали данные у государства, а не у самого человека, а это лишь увеличит бюрократическую нагрузку на госслужащих и компании, которые будут вынуждены полностью менять свои бизнес-процессы, подстраиваясь под государственную машину», – объяснил Алексей Филатов.
Уже известны случаи, когда даже самые крупные игроки рынка умудрялись упускать из виду личные данные клиентов. Подробнее об этом - в статье «Сферы».
Анастасия Цымбал считает, что такая возможность обработки данных поможет снизить чрезмерную зависимость от согласия пользователей. Но любые изменения для бизнеса – это время и финансы. Необходимо будет адаптироваться к новым правилам, а издержки, которые хочется минимизировать, могут возрасти.
«Набора данных, который в перспективе будет определен законодателем, может быть недостаточно для эффективной работы того или иного сервиса, что может ограничить деятельность предпринимателей», – говорит Анастасия Цымбал.
Если рассматривать инициативу в целом, то она вполне соответствует глобальной тенденции на усиление защиты персональных данных. Однако, отмечают специалисты, еще рано давать однозначную оценку этой идее – эффективность мер познается на практике.
