Актуальные проблемы персональных данных
Безопасность Безопасность

Актуальные проблемы персональных данных

Илья Дурницин - юрист компании Проспектаси.

Идентификация субъекта персональных данных при удаленном сборе

Тут важно понимать и различать идентификацию и аутентификацию, а также понимать, что такое авторизация.

Идентификация - процесс распознавания профиля ресурсом, сервером и тп. Через определенные идентификаторы - маячки. Чаще всего роли маячков выполняют логин, адрес электронной почты, личный номер и так далее. Но могут быть и паспортные данные, ФИО, адрес, семейное положение и ТД .

Аутентификация - это проверка того, что данное лицо является подлинным, тем, за кого себя выдает ( письмо на электронную почту, смс на номер телефона, кодовое слово, биометрика и ТП).

Авторизация - это предоставление прав по завершению проверки ресурсом аутентификации и идентификации.

Грубо говоря идентификация это предоставление паспорта сотруднику таможни, а аутентификация - взгляд сотрудника на этот самый паспорт и на лицо его предоставившего, а авторизация это выражение "спасибо, проходите". На практике основные проблемы вытекают из корреляции перечисленных элементов обработки персональных данных:

  • Утечка персональных данных. Главная и самая распространенная проблема на данный момент. Намеренно или случайно персональные данные попадают в руки третьим лицам которые недобросовестно из используют как правило в корыстных целях, а также в целях таргетной рекламы . Судебная практика пестрит делами, по которым на лица оформляются кредиты, подделываются подписи, используются паспортные данные для оформления посылок и так далее. И суды выносят смешанные решения в таких ситуациях.

Однозначного решения этой проблемы нет ни у юристов ни у технических специалистов, ведь эксцессы могут случиться даже в крупных компаниях (Фейсбук не даст соврать).

  • Возможность перехвата данных ведёт к следующей проблеме - ужесточение мер идентификации и аутентификации.

Для исключения возможности доступа к ключевым ресурсам, например к порталу госуслуги вводятся различные механизмы недопущения сторонних лиц к порталу. Это ведёт к увеличению объема персональных данных, имеющихся в сети Интернет, а значит и к объему данных, которыми могут воспользоваться недобросовестные лица.

Тем не менее, варианты решений поставленных проблем имеются.


Закрепление процедуры обезличивания персональных данных на законодательном уровне

Например, с 2013 года идут попытки по закреплению на законодательном уровне процедуры обезличивания. Начиная с методических рекомендаций от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных», заканчивая уже не первой попыткой редактирование N 152-ФЗ «О персональных данных». Такой долгий процесс вызван определёнными трудностями. Например, будет предложено Роскомнадзору самому решать порядок обезличивания персональных данных. То есть не только в каких случаях, но и саму процедуру будет принимать Роскомнадзор, что, на наш взгляд, спорное решение, так как этот вопрос затрагивает сущность обработки персональных данных напрямую и требует прямого и твердого закрепление в самом ФЗ « О персональных данных».


Проблема определения правового статуса провайдера облачного хранилища

Что касается облачного хранения, так сказать: «Склад данных под замок». Облачное хранилище обладает рядом преимуществ как для рядовых граждан, так и для предпринимателей. Это, своего рода склад для разного рода информации, в том числе и персональных данных. Вопрос безопасности – в выборе провайдера такого вот хранилища. Естественно, если Вы имеет свой бизнес ни в коем случае не используете масштабные облачные хранилища и заключайте прямой договор с надежным провайдером, благо сейчас такие имеются. Стоит понимать и проблематику этого вопроса. Провайдер облачного хранилища является оператором персональных данных и отвечает в рамках законодательства, но он так же имеет пользовательское соглашение на использование облачного хранилища и может не иметь вообще никакого шифрования. В 2018-м более 70 случаев потери информации произошло именно в облаках. Утечки были терабайтами данных. Поэтому важно заключать персональный договор обслуживания с провайдером и прописать в договоре все ситуации в том числе – утечку персональных данных из облака.


Проблема соблюдения требований о локализации

Требование локализации персональных данных действует уже почти год на территории России и пока привела к росту IT сферы, в частности, стали появляется сервисы-провайдеры со своим штатом программистов, работающих на территории РФ. А также это привело к росту проблем ведения бизнеса для многих, кто уже использовал иностранные хранилища персональных данных, по большей части у зарубежных компаний. С точки зрения права критичных проблем в данном вопросе нет. Практику локализации данных уже успешно используют ряд стран, таких как Сингапур, Китай, Австралия, Индонезия и другие.


Минэкономики предложило вывести обработку персональных данных в рамках экспериментальных правовых режимов из-под действующего регулирования

Сопутствующие предложения Минэкономразвития о возможности добровольно соблюдать требования законодательства в рамках обработки персональных данных. Данное предложение тяжело описать даже как «спорное». Его реализация приведет к однозначному разрушению защиты персональных данных. Если рассматривать это предложение в рамках эксперимента и толчка IT сферы к ускоренному развитию, данная инициатива подтолкнет бизнес совершенно не в то направление, которое, как мне кажется, ждет Минэкономразвития. Рынок персональных данных – это больше деньги с большим спросом. Журнал РБК подсчитал в 2018 году, что если суммировать оценки разных экспертов по обороту пользовательских данных в рекламе, скоринге и маркетинге, то речь идет о сумме не менее чем в 3,3 млрд в год. В эту сумму не включены незаконные обороты данных, такие как мошенничество и тп. Такое ослабление контроля за обработкой персональных данных неминуемо привет к нарушению неприкосновенности частной жизни и угрозе защиты персональных данных.

Не менее интересные публикации