Закон о персональных данных в текущей редакции существует уже почти десять лет, а два года назад существенно ужесточились штрафы за его нарушение. Но статистика показывает, что многие заказчики и разработчики не торопятся его соблюдать.

В этой статье разбираемся с тем, когда возникает риск нарушить закон и как этот риск минимизировать.

Больше не нужно искать и обзванивать каждое диджитал-агентство Создайте конкурс на workspace.ru – получите предложения от участников CMS Magazine по цене и срокам. Это бесплатно и займет 5 минут. В каталоге 15 617 диджитал-агентств, готовых вам помочь – выберите и сэкономьте до 30%.

Создать конкурс →

Ещё раз о нормах закона

Персональные данные (ПДн) — любая информация, которая позволяет идентифицировать конкретного человека. ФИО, паспортные данные, ИНН, СНИЛС, номер страхового полиса, номер мобильного, электронная почта, почтовый адрес, биометрические данные, информация о здоровье, национальная и религиозная принадлежность — всё это попадает под определение персональных данных.

Однако большинство этих данных могут указывать на конкретное лицо только в сочетании именем или фамилией человека. И если насчет e-mail мнения расходятся (ivanovvv@mail.com уже, например, содержит фамилию и инициалы), то номер мобильного телефона сам по себе не позволит определить конкретного человека.

В законе нет конкретного списка таких данных, поэтому мы исходим из соображений здравого смысла.

Тем не менее, как только организация или физлицо формирует список необходимых ей данных пользователей и утверждает перечень действий с ними, она автоматически становится оператором персональных данных. Напомним, речь идет о коммерческом использовании, а не о хранении номеров телефонов в записной книжке.

Когда мы рискуем?

Теоретически, владелец приложения или разработчик, уполномоченный обрабатывать данные, нарушает закон в следующих случаях:

1. Если собирает и обрабатывает персональные данные без согласия пользователя

2. Необоснованно запрашивает данные

3. Использует данные для целей, не перечисленных в соглашении (например, передает третьим лицам)

4. Не защищает должным образом приложение от взлома и утечек

5. Хранит персональные данные не на территории России

И о штрафах

• За нарушение закона о персональных данных предусмотрена дисциплинарная, гражданская, административная, и уголовная ответственность.
• Если Роскомнадзор в ходе проверки обнаружит несоответствие закону, дело передается в следственный комитет, затем начинается проверка прокуратуры и другие неприятности, вплоть до приостановки деятельности компании.
• С 2017 года повысились штрафы за нарушение 152-ФЗ.

Так, если на сайте отсутствует политика конфиденциальности, компания заплатит 30 тысяч рублей, а если данных обрабатываются без согласия клиента, Штраф для юрлица составит до 18 млн рублей. Нарушений может быть несколько, за каждое — свой штраф.

В своей практике мы используем несколько подходов, которые позволяют нам делать крутые мобильные приложения, работающие с персональными данными. При соблюдении всех норм закона.

Для тех, кто собирает, хранит и обрабатывает

Если мы разрабатываем мобильное приложение, которое будет собирать персональные данные, важно не забывать получать от пользователя согласие — на обработку, хранение, использование в определенных целях конкретного перечня данных.

В согласии должны быть указаны:

1. Оператор персональных данных, его представитель, а также тот, кому будет поручена обработка ПДн — компания или физлицо, которые будут хранить, использовать и обрабатывать собранные данные

2. Цель обработки персональных данных и её правовое основание

3. Кто предположительно будет использовать эти данные

4. Права субъекта персональных данных

5. Источник получения персональных данных

6. Перечень действий с персональными данными, на которые соглашается пользователь, и совершение которых дается согласие, общее описание способов обработки ПДн

7. Срок действия согласия и способы его отзыва

Примеры хорошо составленных соглашений можно найти в интернете, например, у крупных компаний: банков, телеком-операторов, интернет-магазинов.

Например, Сбербанк включает согласие на обработку персональных данных в Политику конфиденциальности.

Если приложение регулярно дорабатывается и обновляется, важно контролировать, затрагивают ли нововведения состав собираемых данных и операции над ними.

Например, мы добавили в приложение опрос, в котором помимо прочего узнаем, где живут наши пользователи. А ранее мы не обрабатывали данные об их адресах. Теперь у нас изменился состав данных и добавились новые действия с ними.

Если мы при этом не обновили соглашение, то нарушим закон, собирая новые данные без согласия пользователя.

Что делать: обновить текст соглашения, добавив в перечень собираемых данных адрес пользователя, а в список действий — действия с ним. После установки обновлений заново запросить у пользователя согласие на обработку ПДн, предоставив ему обновленное соглашение.

Пример: мы разрабатывали приложение для страховой компании, личный кабинет владельца полиса ДМС.

Мы ещё будем активно дополнять приложение новыми возможностями, а значит, вполне вероятно, что нам понадобятся новые данные или мы будем как-то иначе их использовать. В бэкенде мы оставили возможность обновлять текст соглашения автоматически.

И, разумеется, если обновления коснутся состава или использования персональных данных, мы это соглашение обязательно у пользователя запросим.

Как не собирать персональные данные

В ряде случаев собирать, хранить и обрабатывать у себя персональные данные не обязательно.

Что делать: сделайте мобильное приложение без бэкенда. Все данные, введенные пользователем, будут храниться на его мобильном устройстве и на нем же обрабатываться. Ответственность за их хранение будет лежать только на пользователе.

Даже если приложение будет синхронизироваться с облачным сервисом, чтобы сделать бэкап данных, этот момент уже не касается ни разработчика, ни заказчика приложения.

В этот момент формально всё, что имеет отношение к обработке персональных данных, перекладывается на облачный сервис.

Пример: мы создавали приложение, в котором можно контролировать определенные параметры развития ребенка, сравнивая их с общепринятыми нормами. Большая часть используемой информации представляла собой персональные данные, в том числе данные о состоянии здоровья.

Соответствие закону в данном кейсе представлялось избыточной, длинной и сложной историей. Можно было обойтись вообще без обязательств, которые диктовал 152-ФЗ. Мы не стали делать бэкенд и собирать и обрабатывать эти данные на своих серверах.

Приложение работает только на смартфоне пользователя, там же хранит эти данные и обрабатывает их исключительно в семейных и личных нуждах. Приложение работает, закон соблюден.

Обрабатываешь — отвечай

Многие разработчики полагают, что если они хранят собранные данные в зашифрованном виде, то не являются операторами ПДн. Мы считаем, что это грубая ошибка: любое действие с данными обязывает вас подчиняться закону.

Любая операция с персональными данными, совершаемая в интересах владельца приложения, попадает под действие 152-ФЗ. Даже сбор данных — это уже обработка.

При этом, под действие закона не попадают случаи, когда пользователь обрабатывает собственные данные с помощью приложения (например, калькулятора веса), которое никуда их не передает.

Даже если приложение шифрует данные и отправляет на хранение в облако зашифрованную последовательность символов — это обработка персональных данных. И не важно при этом, где хранится ключ шифрования.

Согласно закону, обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В этом случае владелец приложения, либо тот, кому он поручает обработку данных, становится оператором ПДн, обязан получать согласие на сбор и обработку данных и обеспечивать их хранение в соответствии с законом.

Выбирайте проверенного разработчика для мобильного приложения, ведь от этого может зависеть не только конверсия приложения, но и соблюдение вами законов РФ.

Как собрать базу клиентов и не попасть на штраф — «Жиза» — бизнес-блог для предпринимателей

Законы

Если у вас интернет-магазин, блог с ми или имейл-рассылка, вы попадаете под закон о хранении персональных данных. Вам предстоит отчитаться перед Роскомнадзором о том, как вы храните данные клиентов или читателей. Если этого не сделать, придется заплатить 300 000₽.

• Максим Локтунов
• Редактор: Саша Волкова
• Иллюстратор: Ivan Might

В начале июля в силу вступила поправка к статье 13.11 КоАП. Раньше хранение персональных данных контролировала Прокуратура, и штрафы за нарушения выписывала мизерные — до 10 000₽ для организаций. Закон был, но мало кто его соблюдал; дешевле было заплатить штраф.

Поправка изменила ситуацию — соблюдение закона теперь контролирует Роскомнадзор, штрафы подняли до 300 000₽. Роскомнадзор обещает проводить проверки чаще и тщательнее.

Что называют персональными данными

• Данные — это любая информация о человеке и его деятельности:
  — фамилия, имя, отчество;
  — дата рождения;
  — телефон;
  — адрес;
  — электронная почта;
  — ссылки на социальные сети;
  — место работы;
• — должность.

Точного определения, что считать «Персональными данными», нет: ни Роскомнадзор, ни Минкомсвязи не смогли очертить рамки. Мы посмотрели статьи закона, судебную практику и поняли вот что: персональные данные — это информация «в связках». Например, имя, телефон или электронная почта по отдельности — простая информация.

А если взять имя и телефон вместе, эта информация станет персональной:
— Ульяна, 8 (100) 000-00-01;
— Иван, 10.01.1990, визажист;

1. — Главный бухгалтер, ООО «Берёзка».
2. Всё это — информация в связках, ее Роскомнадзор посчитает персональными данными.

Бывают случаи, когда персональными данными признают информацию без связок и без возможности идентифицировать человека. Поэтому, если есть сомнения, храните вы простую информацию о человеке или его персональные данные, лучше спросите у Роскомнадзора.

Саша ведет блог. Чтобы постоянные читатели не пропускали новые статьи, она добавила подписку: читатели вводят имя и имейл в форму и раз в неделю получают письма со статьями.

Саша хранит персональные данные читателей и должна отчитаться перед Роскомнадзором. Но этого можно избежать — достаточно убрать поле имени из формы.

Даже СОРМ не нужен: как полиция и ФСБ получают любые данные пользователей

На этой неделе в соцсетях разгорелся новый спор про персональные данные: сервис «Яндекс.Такси» по одному письму с указанием номера выдал полиции данные о поездках пользователя. Им оказался журналист Иван Голунов.

Благодаря этой информации он в итоге и был задержан по сфабрикованному уголовному делу о наркотиках. Многих удивило, как просто компания рассталась с данными о своем пользователе, но для российских интернет-сервисов и соцсетей это нормальная практика.

Рассказываем, как это работает, — на примере реальных уголовных дел.

Эта статья была написана для рассылки The Bell Tech. Подписывайтесь!

Что случилось?

В июне 2019 года московские полицейские по ложному обвинению задержали специального корреспондента «Медузы» Ивана Голунова.

Теперь из показаний бывшего заместителя начальника отдела наркоконтроля УВД ЗАО Москвы Игоря Ляховца, руководившего задержанием, выяснилось, что у полицейских были данные Голунова, полученные от сервиса «Яндекс.Такси».

Показания Ляховца, который сам стал фигурантом уголовного дела о фальсификации доказательств против журналиста, 29 февраля опубликовало издание «База».

Голунов предположил, что сервис такси выдал его данные полицейским незаконно. Он намекнул, что Ляховец направил запрос «Яндекс.Такси» с личного электронного ящика. Представитель «Яндекс.

Такси» Владимир Исаев в ответ на это заявил, что запрос Ляховца был оформлен надлежащим образом: «Бумажный запрос, оформленный по всем правилам, мы получили в отношении телефонного номера, который, как сейчас выяснилось, принадлежит Ивану. Эту бумагу юристы мне показали лично».

Этот спор спровоцировал широкое обсуждение в соцсетях: какие наши данные и на каких основаниях интернет-сервисы обязаны передавать силовикам?

Поездки на такси — это персональные данные?

Однозначного ответа на этот вопрос нет — правовой статус информации о поездках непонятен, считают юристы, опрошенные The Bell.

Решение суда требуется, например, для раскрытия банковской тайны или содержания телефонных переговоров, говорит партнер юридической фирмы «Рустам Курмаев и партнеры» Дмитрий Клеточкин. А информацию о поездках на такси вполне можно назвать общедоступной — тем более если поездка начинается и заканчивается в публичных местах, полагает партнер юридического бюро «Замоскворечье» Дмитрий Шевченко.

Но, даже если бы речь шла о персональных данных, законы «О полиции» и «Об оперативно-разыскной деятельности (ОРД)» наделяют полицейских правом наводить справки и получать такую информацию, напоминает Клеточкин. Другое дело, что им запрещено ее разглашать.

Какие данные могут получить силовики и что им для этого нужно

Куда вы ездите, что вы едите, какие фильмы смотрите в онлайн-кинотеатре, с кем общаетесь в соцсетях — полиция и спецслужбы могут получить доступ к любым вашим данным. К большей части — без решения суда, говорит аналитик правозащитной группы «Агора» Дамир Гайнутдинов.

Закон об оперативно-разыскной деятельности (ОРД) позволяет направлять запросы, и представители компаний не могут на них не отвечать — иначе их самих привлекут к ответственности, говорит ведущий Юрист «Роскомсвободы» Саркис Дарбинян.

«Хоть какая-то формальная Процедура одобрения предусмотрена для случаев, когда доступ к информации нужно получить по суду, — объясняет Дарбинян.

— Они описаны в статье 165 УПК и статье 9 закона «Об ОРД» — это все, что касается тайны переписки и вторжения в жилище».

По таким запросам ведется статистика, из нее видно, что каждый год число таких запросов растет. От 95% до 99% — удовлетворяются.

Прочие запросы могут проходить в формате наведения справок и запрашиваться в произвольном порядке, объясняет Гайнутдинов. «Никаких гарантий соблюдения прав граждан тут нет, — говорит юрист.

— Запросы могут визироваться и отправляться начальниками отделов соответствующих ведомств, и их никому не надо показывать — это формальная и абсолютно непрозрачная процедура, которую никто не может проконтролировать».

Закон «О связи» не детализирует, что относится к тайне связи и для каких данных нужно решение суда, говорит Дарбинян: «Операторы отстаивают свои права, когда речь идет о предоставлении биллинга. Но соцсети и сервисы не являются субъектом оказания услуг связи и их закон не защищает. И вопрос тут не к сервисам, а к законодателям».

Запрос, оформленный по правилам, должен быть подписан руководителем подразделения и направлен по почте, он должен содержать все реквизиты и точную информацию о том, в отношении какого субъекта данные запрашиваются, говорит Дарбинян. «Запрос по имейлу в теле письма им не является», — говорит юрист.

Как это работает на практике

Запросы «по форме» отправляются далеко не всегда, говорят юристы. Кроме того, компании и органы часто договариваются обмениваться запросами и ответами на них по электронной почте. Официальные бумаги оформляются постфактум.

Пользователи о том, что их данные передали силовикам, могут узнать только случайно. Так и произошло в случае с Иваном Голуновым. Вот еще несколько похожих кейсов:

• Дело против «ВКонтакте». Сотрудники ЦПЭ МВД по Башкортостану, ссылаясь на закон «О полиции», запросили у «ВКонтакте» данные администраторов групп поддержки политика Алексея Навального. Письмо пришло с рабочей почты полицейского. Сотрудник «ВКонтакте» попросил продублировать его бумажным письмом на официальном бланке. Правозащитники узнали об этом кейсе случайно: в материалы дела об административном нарушении на одного из активистов полицейские положили запрос и ответ соцсети. «Если бы они этого не сделали — мы бы ничего не узнали», — рассказывает Гайнутдинов.
• Другой кейс — дело во Владимирской области, в материалы которого попала переписка полиции и суда. Из нее стало ясно, что суд запрашивал у полицейских документы с печатями, на основании которых они получили данные пользователя. В полиции на это ответили, что направляют слишком много запросов, чтобы делать это обычной почтой.
• Дело из Набережных Челнов. Местный блогер снял видео с просроченными продуктами в магазине Fresh Market и выложил его на Pikabu. Владельцы хотели подать на него в суд, но не знали адрес. Тогда они обратились в полицию. Дело в итоге заводить не стали, но полицейские направили запрос провайдеру «в целях в борьбы с преступлениями в сфере высоких технологий» и попросили предоставить перечень абонентов, которые в определенный момент заходили на Pikabu, со всеми их «персональными, установочными, контактными данными».

Кто контролирует самих силовиков

Кто присматривает за злоупотреблениями и осуществляется ли вообще этот надзор — неизвестно. По косвенным признакам можно сказать, что надзора или нет, или он работает недостаточно эффективно.

Например, было громкое дело о прослушке Романа Захарова в ЕСПЧ: петербургский журналист судился с крупнейшими операторами связи, требуя прекратить прослушку и выступая против всей архитектуры системы СОРМ.

В итоге ЕСПЧ признал, что в России отсутствует система гарантий неприкосновенности частной жизни, и российские власти должны были отчитываться перед судом о мерах, которые они приняли, чтобы эту проблему решить.

Отчитывались они по УК об уголовной ответственности за незаконный сбор и распространение информации о частной жизни — и в качестве примеров приводили дела сотрудников операторов, которые продавали данные об абонентах, говорит Гайнутдинов. «Но ни одного случая привлечения сотрудника органов там не было — хотя в этой ситуации продемонстрировать их было бы власти выгодно, это свидетельствовало бы, что система контроля работает».

Проблема еще и в том, что обычно, кроме конкретного сотрудника, никто, включая оператора связи, не знает, какая информация запрашивалась и что с ней потом происходило, продолжает юрист.

СОРМ — это черные ящики с выделенными каналами, которые идут напрямую в региональные управления ФСБ, таким же способом будет выстроена система доступа к данным клиентов компаний, которые попали в реестр организаторов распространения информации (ОРИ).

«Когда мы судились с ФСБ, наши адвокаты говорили, что существует масса возможностей для злоупотреблений.

На что представитель службы с широко открытыми глазами отвечал: “Вы что, нам не верите? Мы будем использовать эти возможности, чтобы бороться с терроризмом”, — пересказывает Гайнутдинов.

— Нам предлагается поверить на слово, что сотрудники будут иметь возможность получить доступ к к любой информации о человеке, но не будут ею злоупотреблять. Без каких бы то ни было гарантий».

Это общая проблема российского законодательства: в России организована совершенно непрозрачная система слежки и нет никакого независимого надзорного органа, кто может ее проверить, говорит Дарбинян из «Роскомсвободы».

Есть прокуратура, которая действует в основном по жалобам заявителей.

Есть Роскомнадзор, который на самом деле не может зайти ни в один орган и проверить, как они выполняют законодательство, так же как и не может заводить уголовные дела против сотрудников силовых ведомств. Но этого для надзора недостаточно.

Почему компании скрывают информацию о запросах спецслужб

Не отвечать на запросы властей интернет-сервисы не могут. Они могут лишь требовать их оформления на официальных бланках, говорят юристы.

«Даже в существующей системе компания с помощью внутренних протоколов может защитить права пользователей, при этом не препятствуя расследованиям преступлений и борьбе с терроризмом, — говорит Гайнутдинов.

— В условиях дырявого законодательства ответственность компаний перед пользователями — это их единственная гарантия защиты».

Практика отчетов о прозрачности — Transparency report — в которых IT-компании отчитываются о запросах, касающихся персональных данных пользователей, уже стала нормой в США, но совершенно не в ходу в России.

Закон запрещает разглашать сведения о конкретных фактах взаимодействия и об используемых технологиях для их получения. Это описано в статье 10.

2 закона «Об информации» и в законе «О связи», но это никак не препятствует компаниям сообщать, сколько было запросов и по каким критериям оценивалась их правомерность, считает Гайнутдинов.

«Сейчас они этого не делают и часто даже утверждают, что не имеют права, но это не так, — заключает юрист. — Думаю, дело скорее в том, что, если эти отчеты будут публиковаться, для общества это будет большой шок».

Утечки персональных данных: чем они опасны для пользователей и как от них защититься | Rusbase

Привычные нам сервисы не защищены на 100% от утечки данных.

Павел Пармон, сотрудник аналитического отдела компании Falcongaze, которая специализируется на кибербезопасности, написал колонку о том, зачем и как злоумышленники воруют информацию, и как усложнить процесс кражи.

Утечки персональных данных: чем они опасны для пользователей и как от них защититься Алена Шаповалова

Причины краж персональных данных бывают абсолютно разные:

• Эти данные можно продать другим злоумышленникам;
• Персональные данные человека могут помочь «подогнать» фишинговое письмо под конкретную жертву, что увеличит вероятность выполнения ей желаемых действий (введение учетных/платежных данных на фишинговой странице, скачивание файла с вредоносным содержимым и т.д.);
• С помощью персональных данных пользователя можно получить доступ к его аккаунтам и устройствам и пользоваться ими в своих целях;
• Также с помощью персональных данных и аккаунтов пользователей можно больше узнать о других пользователях. Злоумышленники могут более точно подобрать механизмы атаки на цель и даже найти ее персональные данные у других пользователей. Например, в переписке в социальной сети.

Как злоумышленники получают доступ к чужим персональным данным

Способов добраться до персональных данных много, но основными являются:

• Взлом баз данных компаний. Ненадежная, устаревшая защита от угроз или просто еще не исправленный баг в системе, о котором никто и не знал до инцидента — все это может привести к утечке данных;
• Фишинговые рассылки. Если ваш друг клюнул на фишинговое письмо и его аккаунт украли, то с него могут организовать фишинговую рассылку по его кругу общения. Как правило, такой метод будет более эффективным, потому что последующим жертвам пишут уже от лица знакомого человека;
• Инсайдерские утечки. Бывают случаи, когда злоумышленники подкупают сотрудника организации и он дает доступ к данным клиентов;
• Простой поиск. Иногда из-за неправильной настройки сервер дает поисковым системам индексировать данные, которые на нем хранятся. Такие базы данных можно найти с помощью специальных запросов в поисковике, и они нередко содержат персональные данные пользователей. А еще пользователи сами оставляют очень много информации о себе. Например, ссылки на свои аккаунты в других сервисах, которые содержат еще больше информации… потратив пару часов на анализ социальных сетей и форумов, на которых сидит жертва, можно узнать о ней очень многое: от мнения о новом сериале до режима сна и аллергии на, скажем, клубнику.

Как себя обезопасить

К сожалению, от утечек данных пользователь себя обезопасить сам не сможет. Ведь большое количество данных утекает как раз в результате взломов баз данных сервисов или инсайдерских утечек.

Но мы подготовили несколько советов, как сделать утечку ваших данных, если она произойдет, менее болезненной, а жизнь злоумышленников сложнее:

• Указывайте лишь необходимый минимум данных. Если для работы с сервисом хватит только почты и пароля, так и оставьте. Как минимум не будет названивать «служба безопасности банка» или коллекторы, которым ваш номер дали как контактный.
• Подпишитесь на рассылку от havibeenpwned.com. Этот сервис собирает информацию об известных утечках почтовых адресов и оповестит вас, если ваша почта была замечена в утечке. Но на каждую почту нужно оформлять оповещения отдельно.
• Используйте разные пароли для разных сервисов. Даже если утечка случится, злоумышленники не смогут раскинуть сети на все ваши аккаунты, привязанные к полученной почте. И им сложнее дальше работать, и вам проще восстановить один аккаунт вместо десятка.
• Регулярно обновляйте пароли от своих аккаунтов. Утечки данных происходят постоянно и далеко не всегда попадают в новостные сводки. Можно и не заметить, что ваш аккаунт взломали и используют в своих целях киберпреступники;
• Настройте двухфакторную аутентификацию. Она помешает злоумышленникам получить доступ к вашим аккаунтам даже в случае, когда у них есть данные для входа;
• При верификации на сервисе с помощью документов (паспорт, водительские права) хорошей превентивной мерой будут водяные знаки на фото или подпись на бумаге, когда и для какого сервиса было сделано фото. Есть все шансы, что техподдержка отклонит эти фото, если злоумышленники попытаются использовать их для верификации аккаунта на других сервисах;
• Если же утечка произошла и в ней были замечены ваши персональные данные, хорошей идеей будет обратиться в компетентные органы. Даже если расследование застопорится, у вас будет подтверждение того, что кто-то мог использовать ваши данные. Это поможет оспорить ответственность за действия злоумышленников, которые они производили от вашего лица. Это, например, помогло Рафаэлю Халилову в феврале прошлого года аннулировать Кредит в банке, который на него взяли мошенники;
• Ну а если вы разбираетесь в безопасности, то можете участвовать в программах bug bounty и просто находить уязвимости и оповещать о них компании. Так вы сделаете их сервисы безопаснее, а свои персональные данные защищеннее.

Главная опасность утечек данных состоит в том, что для пользователя она может пройти незаметно. Не всегда компании освещают подобные инциденты хоть где-то, а даже если и освещают, то не всегда информация о них доходит до пользователей. Поэтому очень важно заранее позаботиться о своих персональных данных.

GaudiLab/shutterstock

Как регулируются законодательством персональные данные и Big Data

Регулирование персональных данных в России осуществляется с применением ряда нормативно-правовых актов:

и множества других, а если происходит обработка данных жителей Европейского Союза, то ещё и GDPR, который имеет экстерриториальное действие. Но подробно мы разберем его ниже.

Впрочем, для юристов не так страшны федеральные законы, конвенции и кодексы, как приказы ФСБ, ФСТЭК и Роскомнадзора. Вот только некоторые из них:

И такие приказы выходят с завидной регулярностью, что для крупных операторов данных (телеком, банки, интернет-гиганты) является серьезной юридической нагрузкой.

Что такое большие данные и как они связаны с персональными

Российское законодательство не даёт большим данным чёткого определения. По сути это массив структурированных и неструктурированных данных (не только персональных), которые динамически меняются, обрабатываются и анализируются программными инструментами с целью выявления новых связей для принятия различных решений.

Буква закона №152-ФЗ «О персональных данных» определяет персональные данные в качестве любой информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Это значит, что фактически любая информация, которая достоверно может определить физическое лицо, к которому эта информация относится, является персональными данными.

В 2018 году группа депутатов внесла на рассмотрение в Госдуму поправки в №149-ФЗ, где вводились такие определения, как «большие пользовательские данные», «оператор больших пользовательских данных», «обработка больших пользовательских данных» и другие. Летом 2019-го журнал Forbes писал об основных проблемах в поправках к федеральному закону об информации. 

В итоге никаких поправок так внесено и не было, а законопроект всё ещё находится на рассмотрении.

Большие данные состоят из персональных данных?

Персональные данные — это важная составляющая больших данных, но далеко не единственная. Большие данные могут добывать и из других источников: с помощью геолокационных систем и промышленного оборудования. Например, компания Monsanto (сейчас она принадлежит Bayer) долгое время специализировалась на сборе и обработке больших сельскохозяйственных данных.

Корпорация собирала показатели уровня влажности, температуры, урожайности и десятков тысяч других фактов, чтобы предсказывать заинтересованным фермерам урожайность их земель в очередном году и давать рекомендации по её повышению.

Даже для самого строгого государственного чиновника очевидно, что данные о количестве колосьев пшеницы, собранных в Техасе в 1986 году, нельзя отнести к персональным.

Операторы больших данных обезличивают персональные данные, обрабатывают их в агрегированном виде и получают статистические или демографические данные.

Они являются производными из персональных данных, но юридически не классифицируются как таковые, потому что прямо или косвенно не раскрывают личность субъекта, к которому эти данные относятся.

Однако при объединении или связи агрегированных данных с персональными данными появляется возможность идентифицировать физическое лицо. Поэтому такие комбинированные данные будут обрабатываться как персональные.

При этом агрегирование — это лишь один из способов обезличивания персональных данных.

Согласно определения, данного в  №152-ФЗ, обезличивание — способ обработки персональных данных, в результате которого в обработанных персональных данных нельзя идентифицировать физическое лицо, которому эти данные принадлежат.

По сути происходит скрытие, изменение или удаление персональных идентификаторов из набора данных. Конкретные способы и порядок обезличивания устанавливается приказом Роскомнадзора от 5 сентября 2013 г. №996.

На данный момент закон в явной форме не описывает последствия обезличивания данных. Единственное право, которое даёт закон оператору в отношении обработки персональных данных, содержится в п. 9 ч. 1 ст. 6 №152-ФЗ.

Оно разрешает использовать обезличенные данные в научных и исследовательских целях.

Коммерческое использование данных невозможно без их передачи другим компаниям, что в силу текущих формулировок закона достаточно рискованно. 

Также возникают проблемы и в социально-значимых проектах, где не подразумевается коммерческое использование данных. Так, МегаФон совместно с «Лиза Алерт» в марте 2019 года запустил специальную платформу «МегаФон.

Поиск» для поиска пропавших детей и взрослых с использованием технологии анализа больших данных, в ходе тестирования которой с помощью платформы удалось найти более 60 человек.

Одна из причин использования платформы на базе больших данных, а не просто передача геолокационных данных пропавшего, — ограничения №152-ФЗ «О персональных данных».

Мы написали отдельный материал про то, как большие данные помогают искать пропавших.

Идентификаторы и регуляторы 

Перечень данных, который можно отнести к персональным, не является закрытым — это вытекает из определения персональных данных, которое дается в №152-ФЗ.

Поэтому любой набор информации, позволяющий определить или идентифицировать вас среди множества других людей, относится к персональным.

Даже если информация не позволяет точно идентифицировать физическое лицо, но помогает значительно ограничить круг тех людей, к которым данные могут относится, она является «персональной».

Таких идентифицирующих данных огромное количество, и к ним можно отнести фамилию, имя, отчество, дату рождения, место рождения, возраст, фотографию, ссылку на профиль в социальных сетях и другие.

Например, если вы кому-то сказали вашу фамилию, имя, отчество и дату рождения, то вас с высокой точностью можно будет определить, как конкретную личность. Однако, если мы уберем из набора такие вводные данные, как фамилию или дату рождения, то понять, о каком именно человеке идет речь, будет невозможно.

Верно и обратное: безобидные данные, такие как показания электрического счётчика, при их обогащении данными, относящимися к физическим лицам, становятся персональными.

Если говорить о номере мобильного телефона и электронной почте, то представители государственных органов считают, что их использование в качестве персональных данных возможно в отдельных случаях. Например, если имеются дополнительные данные, которые позволяют однозначно соотнести абонентский номер или адрес электронной почты к физическому лицу.

Абонентский номер и адрес электронной почты точно не относятся к персональным данным, если Договор с оператором был заключен на юридическое лицо. Также почта может являться рабочей или вовсе не содержать никакой идентифицирующей информации.

Как не нарушить закон о персональных данных если вы владелец сайта или веб-сервиса

Cегодня практически каждый сайт или веб сервис, оказывающий какие-либо Услуги в Рунете, будь то новостной сервис или социальная сеть, имеет дело с персональными данными (или ПДн) своих пользователей, посетителей, подписчиков. C 1 июля 2017 года ответственность за нарушение законов в области персональных данных существенно увеличилась. Обновленная статья 13.

11 КоАП расширилась и теперь в ней семь видов правонарушений, самый высокий штраф для юридических лиц – 75 000 рублей, который в совокупности нарушений может достигать 295 000 рублей.

В России помимо административной ответственности несоблюдение законов о защите данных может повлечь также гражданскую (возмещение морального вреда) и уголовную ответственность (например, тюремное заключение).

Роскомнадзор вправе возбуждать административные дела в области персональных данных, ранее подобные дела инициировали только прокуроры. Кроме того, есть риск блокировки ресурса Роскомнадзором в случае неустранения нарушений закона о персональных данных, но только по решению суда.

Отчет Роскомнадзора показывает, что с момента начала реализации закона о локализации персональных данных (242-ФЗ) было проведено 2256 плановых проверок, 192 внеплановые проверки (по жалобе субъекта персональных данных) и более 3000 мероприятий систематического наблюдения, по итогам которых выявлено 56 нарушений требований, связанных с локализацией персональных данных, что составляет около 1 % от общего числа выявленных нарушений. План проверок управления Роскомнадзора публикуют на своих сайтах.

Другие надзорные органы: Федеральная служба по техническому и экспортному контролю России (регулирует вопросы технической защиты информации в нашей стране) и ФСБ России (регулирует вопросы криптографии (шифрования).

Стоит здесь отметить громкое дело о требовании ФСБ расшифровать переписку мессенджера Телеграм (Telegram), где пересекаются, с одной стороны, интересы частных лиц и их право на неприкосновенность частной жизни, и, с другой стороны, интересы общества, госбезопасности.

Настоящая статья поможет разобраться, как сайту или веб сервису соответствовать законодательству о персональных данных и избежать штрафов.

Какие законы?

Основные действующие в России законы, касающиеся персональных данных:

• Страсбургская «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» 1985 года, была ратифицирована в России в 2005 году.
• Конституция РФ. Статьи 23 и 24.
• Федеральный закон «О персональных данных

Как защитить персональные данные своего ребенка и почему это важно

О персональных данных ребенка, их защите и работе с ними — в материале “Ъ”.

Что такое персональные данные

Согласно федеральному закону от 27 июля 2006 года 152-ФЗ «О персональных данных» это любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Персональные данные включают такую информацию, как ФИО, пол, дата и место рождения, место жительства, образование.

Возрастающая роль информационной сферы и внедрение автоматизированных технологий по обработке и передаче данных во все социальные сферы повышают уязвимость частной жизни ребенка и создают угрозы незаконного оборота персональных данных несовершеннолетних.

Заслуженный юрист России, доктор юридических наук Иван Соловьев:

«Формула «информация = деньги» была актуальна всегда, а в условиях сегодняшней нашей жизни особенно. Персональные данные человека относятся к такому виду информации, который всегда имеет цену и совершенно понятную капитализацию… Персональные данные детей здесь не исключение.

Пол, возраст, имя, место жительства и обучения — вся эта информация является бесценной для тех структур, которые занимаются маркетинговыми исследованиями, изучают спрос, продвигают определенные группы товаров и услуг, ищут потребителей и формируют спрос.

И это, пожалуй, наиболее безобидная группа интересантов.

Кроме них есть отдельные лица и структуры, которые накапливают персональные данные, преследуя противоправные и корыстные цели. Это может быть совершение мошеннических действий, вербовка в религиозные и экстремистские организации, а также различные структуры, ставящие своей целью нанесение вреда жизни и здоровью наших детей (группы смерти, геймеры, стримеры и др.)».

О работе с персональными данными ребенка

Ст. 9 закона «О персональных данных» предполагает согласие гражданина на обработку его персональных данных. Дети — несовершеннолетние граждане, поэтому согласно ч. 1 ст.

 64 Семейного кодекса их права защищают родители и законные представители. Давая согласие, родитель подтверждает, что такая обработка является законной и не нарушает права ребенка.

Также в любой момент можно отозвать ранее данное согласие на обработку, после отзыва согласия данные должны быть удалены.

Заслуженный юрист России, доктор юридических наук Иван Соловьев:

«Как правило, персональные данные наших детей запрашивают образовательные учреждения и организации здравоохранения. Как законные представители детей родители должны давать согласие на обработку этих данных.

В связи с этим родитель имеет полное право запросить информацию о том, каков точный объем собираемых данных и будут ли они передаваться в другие организации. И если будут, то с какой целью.

Кроме того, не стоит буднично и поверхностно относиться к процессу передачи персональных данных своего ребенка».

• При даче согласия на обработку персональных данных ребенка Эксперт советует обратить внимание на следующие детали:
• — перечень персональных данных и сроки их хранения;
• — цель и способы обработки персональных данных ребенка;
• — способ уведомления родителя о факте обработки персональных данных;
• — источник получения персональных данных ребенка;
• — сведения о должностных лицах, которые получат право, а следовательно, доступ к персональным данным;
• — сроки обработки персональных данных;
• — способы защиты персональных данных.
• Свое согласие на работу с личной информацией несовершеннолетнего ребенка родители должны выразить в письменном виде с обязательной собственноручной подписью.

Изображение ребенка в интернете

Изображение человека также относится к его персональным данным, поэтому использование фотографий всех граждан (в том числе детей) регулируется законом.

Если фотография ребенка была опубликована в интернете без согласия родителей, они вправе обратиться с жалобой в прокуратуру, а если публикация фотографий причинила ребенку (или его представителям) нравственные страдания, родители могут обратиться в суд с иском о возмещении морального вреда.

Заслуженный юрист России, доктор юридических наук Иван Соловьев:

«В случае нарушения положений закона о персональных данных родитель может потребовать немедленного устранения нарушения, допущенного хранителем этих данных, а если это не принесет результата, то подготовить аргументированное заявление в органы прокуратуры. Они будут обязаны провести проверки и вынести меры прокурорского реагирования».

За публикацию фотографий детей в интернете без согласия родителей предусмотрена ответственность ст. 137 Уголовного кодекса РФ.

В случае если суд признает вину, лицо, опубликовавшее фотографию, будет наказано штрафом в размере до 200 тыс. руб.

или в размере зарплаты или другого дохода за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев.

Андрей Егупец; группа «Прямая речь»