Перемены и тренды
За последние десять лет понятие «конфиденциальность» сильно изменилось. Еще десять лет назад в Сбербанке произошла утечка данных лишь потому, что бумажные копии документов оказались на улице, вспомнила Мария Осташенко, партнер и руководитель практики защиты данных и кибербезопасности Сегодня на объем конфиденциальности влияет множество факторов, среди которых эксперт назвала:
- развитие технологий;
- роль государства — оно пытается получить повышенные права в информационном пространстве, но вместе с тем и оградить от угроз;
- геополитический кризис.
Конфиденциальность сегодня — роскошь, коммерческая ценность, ее надо защищать. Нужно, чтобы все участники процесса были активны: и субъекты, и государство, и бизнес.
К развитию технологий относится и совершенствование искусственного интеллекта. О рисках его использования говорила Полина Бардина, глава цифровой группы В их числе — незаконная обработка персональных данных (ПД). В частности, не совсем ясно, как именно и для чего ИИ использует личные сведения и есть ли вообще какой-то порядок их уничтожения. Другой риск возникает из-за предвзятости ИИ: программа может предполагать, что именно пользователь хочет видеть в интернете, и выдавать ему информацию на основе подобных «домыслов». Человек рискует оказаться в интеллектуальной изоляции, предупредила Бардина. А еще с помощью ИИ киберпреступникам проще проникать в информационные системы, обратила внимание эксперт.
В текущем году изменились правила трансграничной передачи данных. С 1 марта обязательно надо подавать отдельное уведомление в Роскомнадзор об этом, сказала Ирина Ахмедова, возглавляющая практику интеллектуальной собственности и персональных данных
В документе указывают информацию общего характера. Например, сведения об операторе, о намерении обрабатывать ПД. Еще в уведомлении фиксируют специальные сведения для каждой цели трансграничной передачи ПД. К ним относится и дата, когда оператор завершает оценку вопроса, соблюдают ли получатели ПД их конфиденциальность и обеспечивают ли безопасность данных при обработке. Ахмедова поделилась статистикой: по состоянию на 27 июля операторы подали всего 733 уведомления. То есть бизнес принял нововведения не слишком охотно, заключила эксперт. С ее точки зрения, одни компании боятся делиться сведениями, другие — ждут разъяснения регулятора о том, какие нюансы нужно учитывать.
Об актуальной практике, где суд в споре компании с Роскомнадзором, встал на сторону бизнеса, рассказала Марина Юфа, руководитель практики правового сопровождения данных Avito. Один из споров был связан с согласием субъекта персональных данных на их распространение. По ст. 10.1 закона «О персональных данных» согласие надо оформлять отдельно от других разрешений человека на обработку ПД. Роскомнадзор считает, что согласие — это единственное правовое основание законно распространять ПД, заметила Юфа. То есть, даже если законодательство требует раскрывать данные, все равно надо получать согласие субъекта на это. В деле № А40-139096/2022 суд отклонил довод об обязанности компании получать самостоятельное согласие субъекта на распространение ПД на официальном сайте фирмы, поделилась примером юрист. «У суда очень разумный и хороший подход к тому, что если у вас есть другие основания распространять данные по ст. 6 закона о защите персданных, то согласие на распространение по ст. 10.1 вы не должны применять», — заметила Юфа.
Cookie-аудит, согласие на рассылки и privacy-комплаенс
Неосторожное использование cookie-файлов — небольших текстовых материалов со служебной информацией, которые сайт отправляет в браузер, — тоже несет риски для бизнеса. О них говорила Елена Азаревич, юрисконсульт AliExpress. Эксперт объяснила, что cookie-файлы отслеживают поведение пользователя. Их могут использовать для аналитики и направления персонализированной рекламы. Cookie-файлы идентифицируют посетителей сайтов и потому признаются персональными данными, объяснила Азаревич. Потому, перехватывая их в сети, злоумышленники могут красть ПД.
Если компания не приняла необходимые меры для защиты куки-файлов, это чревато для нее утечкой персданных. Далее может последовать штраф, включение в реестр нарушителей прав субъектов ПД, удаление приложений из магазинов и репутационные риски, отметила юрист. Чтобы провести такой аудит, нужно определить тип информации, собираемой с помощью cookie, выделить цели их сбора, убедиться, что с помощью cookie не хранятся такие данные, как логины, пароли, банковские реквизиты. Юристу важно иметь в виду, что на сайте компании должен быть cookie-баннер: пользователям надо сообщать о сборе куки. В политике обработки персданных стоит подробно описать, какие вообще cookie-файлы есть у бизнеса, для чего он их использует, какие сторонние cookie привлекаются, рекомендовала Азаревич.
О том, как применять ПД в маркетинговых целях, пояснила Юлия Гуриева, управляющий партнер Чтобы использовать персданные для рекламы, требуется согласие субъекта. А для этого нужна аутентификация. То есть надо подтвердить, что согласие дает именно адресат будущих рекламных рассылок, отметила эксперт.
Исходя из практики, бизнесу нужна двухфакторная аутентификация пользователя перед получением согласия на обработку персданных или же подписание бумажного согласия с проверкой паспорта подписанта.
Чтобы минимизировать риски, лучшее, что можно сделать, — отправлять пользователям проверочное СМС с кодом, который они вводят в специальное поле, считает Гуриева. Это поможет подтвердить, что не третье лицо, а конкретный пользователь согласился на рассылку.
Поскольку сейчас действует мораторий на проверки бизнеса, единственный контроль со стороны Роскомнадзора — дистанционное наблюдение, подчеркнул Артем Дмитриев, управляющий партнер Инспектор регулятора, сидя в кабинете, проверяет сайт той или иной компании. Но для такого мониторинга нужен триггер: это может быть информация в СМИ, жалобы от конкурентов или пользователей, объяснил эксперт. По результатам проверки Роскомнадзор может вынести протокол об административном правонарушении, и бизнес могут оштрафовать по ст. 13.11 КоАП («Нарушение законодательства РФ в области персональных данных»). За прошлый год регулятор провел более 3000 подобных мероприятий, отметил Дмитриев. Роскомнадзор обращает внимание на такие уязвимые моменты, как, например, избыточность персданных для заявленной цели, сбор ПД через зарубежные сервисы, отсутствие согласия на обработку спорных сведений. Чтобы минимизировать риски, важно проводить privacy-комплаенс сайта компании, объяснил эксперт.
Утечки данных: громкие кейсы и законодательные тренды
За 2022-й произошло несколько громких утечек данных. Это случилось с информацией таких известных компаний, как СДЭК, «Яндекс Еда», «Вкусвилл». В тонкости перечисленных ситуаций посвятила присутствующих Мария Самарцева, глава практики интеллектуальной собственности, советник Эксперт отметила, что только за последние два с половиной месяца произошло много сливов персданных. Например, у детского лагеря «Артек» утекло около 1,5 млн строк с данными, а у сети медицинских лабораторий KDL — более 85 000 строк.
В прошлом году одна из громких утечек случилась в «Яндекс Еде». Слитыми оказались более 50 млн строк с информацией о пользователях и более 700 000 строк со сведениями о курьерах компании, отметила Самарцева. Сначала организация объяснила это недобросовестными действиями сотрудников, потом заявили о версии хакерской атаки на внешнюю инфраструктуру и сторонний хостинг. Самарцева обратила внимание на реакцию «Яндекс Еды» на утечку. Компания заявила, что отказывается от ручной обработки информации, связанной с заказами, а еще втрое сокращает число сотрудников с доступом к персданным. В итоге «Яндекс Еду» оштрафовали на 120 000 руб., заключила Самарцева.
Серьезные сложности вызывают вопросы доказывания вины компании. Часто преступники перепродают базы данных или их компиляции, выдавая за новые, принадлежащие конкретной компании.
Тему утечки данных продолжила Александра Николаева, руководитель правового управления интеллектуальной собственностью X5 Group. На прошлой неделе кабмин поддержал введение штрафов за утечки данных. Новелла предлагает изменить ст. 13.11 КоАП в части увеличения финансовой санкции, если произошла утечка данных свыше 1000 субъектов персональных данных. Штраф для юрлиц составит от 3 до 15 млн руб., раньше за утечки грозило от 60 000 до 100 000 руб. Так, одна из тенденций привлечения бизнеса к ответственности за слив информации — ужесточение наказания, отметила эксперт. Из-за утечки в первую очередь страдает субъект ПД, обратила внимание Николаева. При этом вводимые штрафы сильно больше, чем компенсация, на которую может рассчитывать пользователь, говорит юрист.
Николаева поделилась опытом подготовки Х5 к усилению ответственности за утечки. В их компании проверили обработчиков персданных по поручению. О том, как их выбрать, рассказала Татьяна Стрижова, партнер Оператор не всегда сам обрабатывает ПД — это могут делать другие лица по его поручению. Стрижова отметила, что при этом оператор — единственное лицо, которое определяет объем и цели обработки персданных. Обработчик же только выполняет указания. Оператор может, но не обязан проверять обработчика ПД, обратила внимание эксперт. Чтобы выбрать хорошего обработчика, можно проверить:
- знает ли он, как устроено хранение ПД;
- предусмотрен ли у него прозрачный порядок уничтожения ПД;
- принимает ли он технические меры защиты и может ли это документально обосновать.
Оператор — основное лицо, которое отвечает за соблюдение условий обработки ПД, подчеркнула Стрижова. Для обработчика при этом тоже есть ответственность, но скорее в виде обязанности, объяснила эксперт. Например, он тоже должен соблюдать принципы обработки персданных и не может раскрывать их посторонним.
Как защитить данные
Слив информации можно предупредить. Чтобы обеспечить безопасность персональных данных, важно не только принять технические меры, но и научить сотрудников правильно обращаться с такой информацией. О стратегиях обучения работников рассказала Алена Чернышова, старший юрист практики защиты персональных данных Ozon. Бизнесу надо понимать, какие знания есть у сотрудников, каких результатов хочется достичь и какие инструменты для этого нужны. Важную роль для компании играет место хранения обучающих курсов и результатов обучения. Так как это чувствительная информация, нужно заранее продумать, где ее размещать, объяснила Чернышова. А чтобы обучение не было бесполезным, по его итогам следует проводить тестирование сотрудников. Это поможет оценить эффективность курсов, заметила эксперт.
Опытом защиты бизнеса от киберпреступников поделилась Ирина Пескова, заместитель гендиректора по правовому и корпоративному обеспечению «Мосэнергосбыта». Эксперт пояснила, что в их компании создан центр противодействия кибератакам, мониторящий киберугрозы, он оперативно реагирует на инциденты. Организация постепенно переходит на российское программное обеспечение. Такие перемены нужно внедрять планомерно, акцентировала внимание Пескова. Иностранные операционные системы уязвимы, из-за чего есть угроза шпионажа и кибератак. Еще докладчик сказала, что их компания привлекает «белых хакеров»: они имитируют кибератаки и помогают выявить уязвимости. Также для защиты от преступников в сети стоит информировать персонал фирмы о новых видах мошенничества в киберпространстве.
Обеспечить безопасность персональных данных поможет реестр процессов обработки ПД. О его создании в компании говорил Анатолий Амброс, ведущий юрист «Вкусвилла». Сначала следует провести инвентаризацию данных и понять, какие процессы обработки есть в компании. Еще надо сформировать список принятых в фирме документов, которые применяют для каждой категории субъектов ПД. При проектировании реестра процессы лучше разделять на организационные, технические и контрольные. Важно понять, в каком виде их стоит записать в реестр, подчеркнул Амброс.
Только когда мы в курсе, сколько денег мы получаем и тратим или сколько калорий мы потребляем и сжигаем, можно что-то делать. То же самое с персональными данными. Если мы не знаем, что, где и зачем у нас есть, мы не можем этим управлять.
Лагутин объяснил, что реестр обработки ПД поможет:
- видеть «скелеты в шкафу», касающиеся обработки ПД в компании;
- легко выявлять риски обработки ПД;
- хранить эталонные и актуальные данные в одном месте;
- обеспечивать быстрый доступ к нужной информации — это помогает оперативно реагировать при утечках данных;
- подготавливать уведомления в Роскомнадзор.