Право на частную жизнь: борьба за персональные данные в условиях пандемии

Разглашение персональных данных клиентов грозит бизнесу судебными тяжбами и штрафами. Как законодательство регулирует сферу информационной безопасности и можно ли застраховаться от подобных инцидентов?

Большинство компаний, которые весной расширили присутствие в онлайне, рискуют столкнуться с негативными последствиями диджитализации. В случае если они не смогут сохранить персональные данные покупателей и контрагентов, им грозят многомиллионные иски. В то время как интернет-трафик вырос на 10-30%, власти намерены ужесточить наказание и контроль над потоками личной информации. Например, Минюст разработал обновленную версию Кодекса об административных правонарушениях (КоАП), согласно которому сумма налагаемого штрафа за обнародование личных сведений для предпринимателей увеличится в 10 раз.

Повышенное внимание власти к распространяемым сведениям в сети также вызвано массовым переходом предприятий на удаленный режим работы. Экстренно осваивать технологии из-за самоизоляции в той или иной степени пришлось как подчиненным, так и руководителям фирм различных отраслей: от банковской и образовательной до горнодобывающей и энергетической.

В основном, деловые связи на расстоянии персонал поддерживает посредством мессенджеров, социальных сетей и приложений для видео-разговоров. Особым спросом у корпоративных клиентов в последние несколько месяцев пользовались такие иностранные сервисы, как Zoom и Slack.

Среди слабых мест дистанционного труда — отсутствие систем шифрования у программ, подверженность взломам протокола удаленного рабочего стола (RDP) и общая информационная безграмотность пользователей. Так, в период самоизоляции число компьютеров с операционной системой Windows в России, уязвимых для атаки протоколов удаленного рабочего стола, радикально возросло — на 230%. Теперь количество ненадежных устройств достигло 101 тысячи, подсчитали в DeviceLock.

В числе первых изменения ощутила компания Zoom Video Communications, создатель одноименной площадки для телеконференций. За первый квартал 2020 года количество посетителей выросло с 10 млн до 300 млн в день. Позже инвесторы и пользователи обвинили разработчиков в обнародовании более 4 тысяч учетных записей. С технической точки зрения, приложение к всплеску интереса у аудитории было не готово — в шифровании программы нашлась уязвимость для атак хакеров. Еще до старта судебных разбирательств, компания понесла серьезные репутационные потери. От услуг Zoom отказались SpaceX, МИД Германии, власти Тайваня и др.

Плачевный опыт взаимодействия с персональными данными есть у отечественных ритейлеров. Так в конце января базы программы лояльности сети «Красное и белое», а следом и «Ленты» попали в Интернет. В открытом доступе оказались сведения о более 17 млн держателей дисконтных карт федеральной сети алкомаркетов. В документе содержались их фамилия, имя, отчество, дата рождения и номер телефона. Постоянных покупателей гипермаркета «Лента» ждал еще более неприятный сюрприз — данные 90 тысяч клиентов стали предметом купли-продажи на черном рынке. В среднем, база из 50 тысяч различных записей на онлайн-форумах стоит около 150 тысяч рублей: столь низкая цена обусловлена большим количеством предложений. Сейчас в отношении двух крупных торговых сетей Роскомнадзор проводит проверки. Если надзорный орган заподозрит компании в причастности к преступлениям, то их могут привлечь к уголовной ответственности.

И подобные случаи не единичны: только в наше бюро поступило на 20% больше обращений из-за передачи конфиденциальных данных третьей стороне, чем до пандемии. Насколько выросло количество обращений?

Цифровая личность под охраной закона

Прежде всего, необходимо разобраться, какая именно информация относится к персональной. По закону «О персональных данных», имеется ввиду более 17 типов сведений о физических лицах, таких как имя, адрес, пол, серия и номер паспорта, номер банковской карты и т. д. Суммарно за 2019 год скомпрометировано около 14 млрд личных записей, из которых на Россию приходится 170 млн данных, подсчитали в ГК InfoWatch.

Потенциальную опасность для субъекта представляет процесс обработки информации. Важно отметить, что сбор, хранение и систематизация данных применяются только после получения согласия личности. Исключение составляют государственные процедуры — судебные разбирательства, статистические исследования и др. Причем любые манипуляции со сведениями за пределами правовых норм классифицируются законом как мошенничество.

Как правило, для предоставления разрешения на обработку сведений стороны подписывают письменное согласие. Так если пользователь при регистрации в одной из социальных сетей игнорирует положения договора и слепо принимает условия компании, то в перспективе оператор сможет по собственному усмотрению распоряжаться полученной информации. В таких случаях, суд с заметной регулярностью выступает на стороне бизнеса.

Крупные банки и IT-компании обладают техническими возможностями пресекать утечки — зачастую у них установлены дорогостоящие системы защиты серверов. Одним из доступных механизмов сохранения информации внутри компании может стать служебная почта.

Государственные регуляторы и частная практика

Атаки хакеров, отсутствие цифровой грамотности и сделки по купли-продажи сведений — основные пути утекания персональных сведений в общий доступ. Об обнаружении собственных данных на сторонних онлайн-ресурсах, важно сообщить в следующие федеральные органы власти:

— Роскомнадзор для составления обращения о нарушении сохранности персональных данных;

— Прокуратуру ради подачи жалобы, которая послужит поводом для заведения дела об административном правонарушении.

Денежные взыскания за нарушение порядка обработки персональных данных для юридических лиц пока находятся в диапазоне от 15 тысяч до 50 тысяч рублей. Однако в последней редакции КоАП предприниматели увидели цифры на порядок выше. Максимальная сумма штрафа для коммерческих организаций вырастет с 50 тысяч до 500 тысяч рублей, для должностных лиц с 10 до 100 тысяч рублей, а для граждан — с 2 до 20 тысяч рублей. Такой объем затрат не существенный для крупных компаний, но может быть критичен для малых и средних.

Угрозу для гражданина представляет не столько вынесение на всеобщее обозрение личной информации, сколько ее подхватывание недобросовестными предприятиями. В частности, скана паспорта из даркнета порой достаточно для оформления микрозайма на имя владельца и последующего требования с него денежных средств. Потерпевшему необходимо действовать оперативно — вместо добровольного перевода средств, написать в полиции заявление о мошенничестве, а также об аннулировании договора в суде. Затем у микрофинансовой организации следует уточнить источник сведений, чтобы потребовать прекращения использования данных.

В свою очередь, в судебном порядке добиться запрета звонков на контактный номер от коммерческой организации практически невозможно. Поэтому решение проблемы с торговцами, которые обрывают трубки предложениями товаров и услуг, видится преимущественно в личном диалоге. В силах держателя мобильного телефона — запросить остановку обработки информации от обеих компаний.

Как минимизировать последствия

Слив личных сведений в сеть приносит убытки сразу двум участникам судебного конфликта: как юридическим, так и физическим лицам. В связи с этим, особое значение приобретают превентивные меры. С точки зрения частной компании, избежать претензий и судебного иска можно с помощью новейших технических средств защиты информации, а также тщательного прописывания правил обработки личных данных в политике конфиденциальности.

Прежде всего, в договоре об обработке персональных данных необходимо учесть:

— перечень обрабатываемых персональных данных,

— цель сбора конфиденциальных сведений,

— права и обязанности сотрудников, специализирующихся на обработке исходных данных,

— порядок использования информации,

— общие требования к обработке личных данных,

— описание мер защиты записей и т. д,

— форма ответственности за нарушение пунктов локального нормативного акта и т.д.

В идеале, субъектам при передачи сведений стоит опираться на уже проверенных Роскомнадзором компании. Надежные исполнители собраны в реестре операторов персональных данных. В целом, сокращение информации о себе в социальных медиа, внимательное изучение пунктов договора, создание вариативных паролей вместе позволят личным данным не стать публичными.