Для чего компании собирают персональные данные
Перейти к содержимому

Для чего компании собирают персональные данные

  • автор:

Компании собирают ваши персональные данные. Вот что вам нужно знать

Nym [RU]

Давайте подробно рассмотрим, что такое персональные данные и как власти ЕС их собирают.

В начале 2023 года три ведущих учреждения Европейского союза запретили TikTok на устройствах сотрудников.

Правительства от Соединенных Штатов до Соединенного Королевства — и стран по всей Европе — быстро последовали их примеру. В чем причина? Растущая озабоченность по поводу сбора данных.

Только в Европе насчитывается, по оценкам, 150 миллионов пользователей TikTok. В обмен на использование платформы эти пользователи предоставляют много личных данных. Западные правительства все больше обеспокоены возможностью получения доступа к этим данным китайским правительством.

Несмотря на то что Пекин опровергает обвинения, законодатели по-прежнему настроены скептически.

Но не только TikTok собирает данные — и проблемы со сбором данных возникли задолго до его появления. По всему Интернету огромное количество персональных данных потребителей может быть собрано из нашей истории поиска, предпочтений браузера и вводимой нами информации.

Давайте рассмотрим, что это означает для вас как потребителя цифровых технологий и что делает Европейский союз для защиты ваших данных.

Что такое “персональные данные” и как они собираются?

Персональные данные включают в себя такие детали, как имя человека, возраст или адрес электронной почты, среди прочего, и могут быть использованы для идентификации личности.

Эти данные могут быть сделаны “псевдонимными” — это означает, что все явные персональные данные удаляются, чтобы затруднить идентификацию человека, — или “анонимными” — когда все личные идентификаторы удаляются, так что личность больше не может быть идентифицирована.

Существует множество способов сбора данных онлайн, будь то с помощью IP-адресов, навигационных данных, файлов cookie или информации, которую мы предоставляем при заполнении форм.

Мы также передаем много данных через социальные сети, ставя “лайки” или реагируя на публикации. Подобные действия могут привести к раскрытию конфиденциальных данных, о чем мы даже не подозреваем.

Этот тип данных, который может включать в себя такие данные, как ваша сексуальная ориентация, данные о состоянии здоровья, политическая или религиозная принадлежность, а также данные, раскрывающие вашу расу или этническую принадлежность, считается конфиденциальным, поскольку их раскрытие может привести к домогательствам, дискриминации или даже краже личных данных.

Именно эти конфиденциальные данные часто являются предметом озабоченности по поводу сбора данных и опасности потенциальных утечек.

Опасности, связанные со сбором данных

В сборе данных нет ничего нового. Однако способ сбора данных в режиме онлайн таков. Сегодня собирается и хранится беспрецедентный объем данных.

В эпоху цифровых технологий наши данные становятся все более важной частью цифровой экономики; только в ЕС на долю данных приходится почти 3,6% ВВП блока, и, согласно отчету ЕС, к 2030 году их объем, по прогнозам, достигнет чуть менее 1 трлн евро.

Хотя идея сбора данных может показаться несколько тревожной, не все так плохо. Увеличение объема сбора персональных данных может принести огромную пользу потребителям, поскольку данные используются во всем — от банковского дела до здравоохранения. Например, чем больше данных будет собрано о прошлых болезнях пациентов и их лечении, тем больше врачи смогут понять об их здоровье сейчас и смогут находить решения.

Несмотря на то, что цифровая экономика во многих отношениях выгодна, скорость, с которой она росла в последние годы, затрудняла законодателям мониторинг.

“Данные — это сила. Это просто инструменты, которые дают [человеку] доступ ко множеству других прав — доступ к целевым людям, к предоставлению контента, к цензуре некоторого контента, к запрету показа контента некоторым людям, к влиянию на их политическое поведение”, — говорит Ромен Робер, директор некоммерческой организации по защите цифровых данных NOYB.

Одним из самых печально известных примеров силы данных стал скандал с участием Facebook и Cambridge Analytica в 2018 году, когда выяснилось, что американский гигант социальных сетей способствовал сбору персональных данных до 87 миллионов человек британской политической консалтинговой фирмой.

Эти данные, которые были собраны без согласия пользователей, были использованы фирмой для составления профиля избирателей от имени бывшего президента США Дональда Трампа во время его успешной президентской кампании в США в 2016 году.

Скандал послужил тревожным сигналом для политиков, которые осознали потенциальную опасность, которую представляет для демократии и прав человека нерегулируемый сбор данных.

Регулирование сбора данных в Европейском союзе

В мае 2018 года ЕС ввел в действие Общий регламент по защите данных (GDPR), первый крупный закон блока о конфиденциальности и безопасности данных в современную цифровую эпоху. Считающийся самым жестким законом о неприкосновенности частной жизни в мире, GDPR имеет обязательную юридическую силу в 27 различных европейских государствах. Это также относится к любой организации, которая собирает данные о гражданах ЕС, даже если она базируется не в союзе.

Защита данных подчеркнута в GDPR как одно из основных прав. Таким образом, персональные данные должны быть защищены и использоваться “справедливым и законным” образом, что означает, что они должны собираться для определенной цели и с согласия субъекта. Субъект также имеет право получить доступ к своим данным и изменить все, что было неправильно записано.

Организации также должны придерживаться семи принципов, иначе они рискуют заплатить огромные штрафы. С тех пор как правила вступили в силу пять лет назад, Google, Amazon и Meta, среди прочих, были оштрафованы на миллионы долларов за нарушения. Самым крупным на сегодняшний день был штраф Amazon в размере 746 миллионов евро в 2021 году за несоблюдение GDPR.

Больше защиты

Несмотря на то что это самый сильный в мире закон о защите данных, ЕС решил, что GDPR необходимо доработать. В настоящее время директивные органы приняли пакет законов о цифровых услугах, который объединяет два отдельных закона: Закон о цифровых услугах (DSA) и Закон о цифровом рынке (DMA).

DSA защитит пользователей, предоставив им больше контроля над тем, что они видят в Интернете, например, над таргетированной рекламой, и поможет ограничить распространение незаконного или вредоносного контента. DMA больше фокусируется на стимулировании цифровой экономики, помогая небольшим цифровым компаниям конкурировать с более крупными.

Добавив этот пакет, ЕС надеется укрепить действующий уже пять лет GDPR.

Вопросы правоприменения

Однако обеспечить соблюдение таких жестких законов непросто. В странах ЕС существует 27 национальных органов по защите данных (DPA) для каждой страны. DPA работают совместно в рамках Европейского совета по защите данных (EDPB) и управляются Европейским надзорным органом по защите данных в Брюсселе.

“Очень сложно обеспечить соблюдение GDPR в межстрановом деле, в котором участвуют более двух или трех стран. Даже Комиссия признает, что правоприменение является проблемой”, — говорит Роберт. Чтобы устранить эти недостатки, Комиссия ЕС вводит новые правила летом 2023 года.

Тем не менее, в целом, GDPR значительно улучшил безопасность персональных данных по всему ЕС. Поскольку компании теперь — по большей части — следуют новым правилам, граждане могут быть уверены, что их цифровые права защищены лучше, чем где-либо еще в мире.

Чтобы узнать больше о том, как воспользоваться своими правами в соответствии с GDPR, посмотрите это видео по ссылке на оригинальную статью.

Присоединяйтесь к сообществу Nym

Приватности нужна компания

Nym глобален, подобно интернету: присоединяйтесь к сообществу Nym, где бы вы ни находились, и помогайте создавать приватный интернет уже сегодня.

Оригинал статьи на английском: English

Использование персональных данных в маркетинге: законы и этика

Фото: Shutterstock

В 1960–70-х годах появились первые дата-центры и реляционные базы данных — первые решения для работы с большим объемом информации. В 2005-м была запущена платформа Hadoop на основе открытого кода, чуть позже — аналогичная ей Spark: обрабатывать данные стало проще и дешевле. В 2008 году входит в употребление сам термин Big Data. Крупные компании уже изучают поведенческие модели пользователей, разрабатываются первые алгоритмы машинного обучения (ML), появляются новые решения для применения данных в разных сферах — от бизнеса до государственного управления. В Австралии, например, большие данные используют для устранения последствий чрезвычайных ситуаций, а в Испании сервис Madrid iNTeligente помогает управлять подрядчиками, которые отвечают за разные аспекты городской жизни: состояние улиц, освещение и ирригацию.

В 2020 году общий объем сгенерированных в мире данных достиг 64,2 зеттабайт. В одном зеттабайте — миллиард терабайтов информации. «Бытовая» аналогия для такого массива — это, например, склад на 64 млрд iPhone 13 Pro с памятью 1 ТБ. Если сложить их в одну стопку, высота этого столба достигнет 500 тыс. км — в полтора раза больше, чем до Луны.

Данные и риски

Данные называют «цифровой нефтью», так как они представляют собой большую ценность, а их сбор и обработка связаны с рисками: данные можно продать третьим лицам, украсть, использовать для вмешательства в экономические и политические процессы.

Классический прецедент — сотрудничество Cambridge Analytica со штабом Дональда Трампа в 2016 году. Cambridge Analytica использовала данные пользователей Facebook, собранные с помощью цифровой викторины, чтобы направить уникальную политическую рекламу на релевантные (и очень узкие) аудитории. При формировании сегментов было учтено больше 5 тыс. параметров: политические взгляды, любимые передачи, покупательские привычки.

Компании-брокеры продают данные, лидер рынка поисковых систем Google время от времени подвергается обвинениям в манипуляциях с выдачей, наконец, данные могут просто украсть. Особенно опасны утечки персональных данных, по которым можно идентифицировать человека: eBay, например, в 2014 году потерял персональные данные всей пользовательской базы, а это 145 млн человек. В сентябре 2021 года в сети появилась информация о том, что на хакерском форуме выставлены на продажу данные 1,5 млрд пользователей Facebook: имена, пол и возраст, номера телефонов, адреса проживания и ID.

Фото:Win McNamee / Getty Images

Такие события закономерно провоцируют дискуссию о регулировании. И сегодня мы можем наблюдать, как государства, компании и пользователи все чаще делают выбор в пользу необходимости контроля и защиты.

Big Data + MarTech

Персональные данные пользователей лежат в основе современного маркетинга. Они помогают бизнесу «лучше узнать» клиента, прогнозировать его поведение и персонализировать предложения. По данным агентства V12, 69% компаний сегодня считают персонализацию клиентского опыта приоритетной задачей маркетинговой стратегии: она помогает наращивать выручку и работать с лояльностью.

Сайт Airbnb, например, опираясь на пользовательские данные, умеет рекомендовать интересные города, в которых пользователю скорее всего захочется побывать, и жилье с «привычной» для него ценой за сутки. А крупный косметический бренд Ulta создает уникальные предложения, основанные не только на истории покупок, но и на данных, которые указывает в профиле сам покупатель (например, «неровный тон кожи», «кудрявые волосы» или отказ от определенных компонентов в составе косметики).

Эффективные маркетинговые стратегии и новые инструменты часто разрабатывают с помощью технологий искусственного интеллекта. Пара примеров:

  • ML-алгоритм Next Best Action, который определяет вероятную дату следующей покупки клиента. Для корректной работы алгоритма нужна информация о заказах, просмотрах товаров и категорий: всего используется порядка 30 признаков (число и частота покупок за все время, средний чек и так далее). Когда информация собрана, применяется алгоритм «Градиентный бустинг»: он помогает определить, через сколько дней после последней активности клиенту нужно отправить письмо, которое приведет к следующей покупке.
  • Нейросеть на основе алгоритма Residual Neural Network (создана ученым, работавшим на Microsoft и Facebook), которая распознает объекты на фотографиях. Базовый алгоритм доработан так, чтобы нейросеть не только классифицировала вещи, но и запоминала их сочетания, и использовала их для формирования товарных рекомендаций в интернет-магазинах одежды.

Несколько лет назад клиенты могли даже не догадываться, что компания собирает какую-то информацию. Непрозрачность целей и методов сбора и обработки данных провоцировала разные проблемы: от «агрессивности» маркетинговых кампаний, которые пользователи находили слишком навязчивыми, до утечек персональных данных. Параллельно с другими индустриями, которые собирали данные, маркетинг постепенно формировал запрос на изменения.

ИТ и законодательство

Сегодня возможность собирать и обрабатывать информацию все больше ограничивается и регулируется. Так, в 2018 году вступил в силу GDPR: общий регламент, который дает резидентам Евросоюза возможность управлять персональными данными, запрашивать информацию про цели обработки и место хранения, даже удалять их, если потребуется. GDPR обязывает компании объяснять, для чего они собирают данные, не использовать их повторно для других целей, не собирать больше, чем нужно, удалять данные после достижения цели и не передавать их третьим лицам, а в случае утечки сообщать об этом в течение трех дней.

Вслед за GDPR обновленные акты о защите данных приняли в других странах. В том же 2018 году в штате Калифорния был одобрен California Consumer Privacy Act (CCPA, вступил в силу в 2020-м). Каждый житель Калифорнии получил право запросить у компании информацию о том, как используют его данные, уточнить список третьих лиц, которым они были переданы, и потребовать удаления. А в 2019-м закон, вдохновленный GDPR, представил Китай. Местные регуляторы сразу же начали проверку популярных приложений. Доказывать, что они не собирают «лишние» данные, пришлось сервисам доставки еды, такси и навигаторам.

В России похожие изменения были внесены в федеральный закон «О персональных данных» в 2020-м. Операторов персональных данных (это все компании, госструктуры и физлица, которые собирают соответствующую информацию) обязали получать согласие на обработку и удалять данные по первому запросу «настоящего» владельца.

Фото:Leon Neal / Getty Images

О технических ограничениях и этике

На самом деле, вопрос регулировании ИТ-сервисов выходит далеко за пределы государственных интересов. О готовности сотрудничать с законом и защищать данные пользователей говорили многие лидеры индустрии. CEO Salesforce Марк Бениофф, например, отмечал, что прецедент с выборами 2016 года подорвал доверие общества к отрасли и показал, как сильно она нуждается в изменениях и внешнем контроле. С ним согласился и CEO Facebook Марк Цукерберг. Комментируя эти события, он указал: больше нет уверенности в том, что индустрия не нуждается в регулировании. Правда, акцент был сделан на инструменты саморегулирования: формирование прозрачных рекламных предложений и использование алгоритмов ML для отслеживания контента, который нарушает права пользователей.

Мнения лидеров бигтеха обычно подтверждаются действиями. Большое количество функций для защиты данных предлагает Apple: в браузер Safari сегодня добавлена функция блокировки сторонних cookie, а приложениям из AppStore ограничена возможность отслеживать действия пользователей без их согласия. О планах по запрету сторонних cookie к 2023 году заявили в Google. Правда, дедлайн внедрения функции уже несколько раз переносился. Данные пользователей помогают продавать рекламу через AdSense: в 2020 году реклама составляла 81% доходов компании.

Фото:Christina Branco / Unsplash

Важно, что Google при этом занимает 92% глобального рынка поисковых систем, 2/3 рынков веб-браузеров и веб-рекламы. В отношении компании неоднократно проводились антимонопольные расследования. Хотя формально Google не является монополистом: зарабатывая на рекламе, он конкурирует с миллионами медиа. Да еще и остается бесплатными для конечного потребителя, потому что зарабатывает не на нем, а на рекламодателях, которым «продает» пользователей через таргетинг. Аудитория Google и других ИТ-гигантов — это миллиарды человек, для которых сервисы давно стали частью повседневности. Защита интересов такого количества пользователей — еще один аргумент в вопросах необходимости отрегулировать работу с данными.

Наконец, из-за того, что развитие технологий опережает развитие законодательства, появляются альтернативные способы регулировать сектор. Например, кодексы этики использования данных. В российском среди главных этических принципов работы с данными, помимо законности, перечислены обеспечение безопасности хранения, уважение прав и свобод человека, недопустимость фальсификаций.

Маркетинг в эпоху анонимности

Инструменты маркетинга теряют эффективность на фоне ограничений — но только частично. Новые функции iOS 15, например, влияют на e-mail маркетинг: почтовый клиент больше не дает компаниям отслеживать, когда пользователь открыл письмо. А запрет на передачу идентификаторов между разными системами без согласия пользователя осложняет создание контекстной рекламы.

В итоге интерес маркетологов может смещаться в сторону прямых коммуникаций с клиентами: разобраться, что пользователь делает в рамках одного приложения (приложения компании) можно так же легко, как и раньше. Кроме того, маркетологи могут работать с данными, которые человек оставил «добровольно»: при регистрации на сайте, оформлении заказа, прохождении опроса. Клиентам могут предлагать «менять» данные на бонусы от компании: например, ответить на несколько вопросов о предпочтениях в обмен на промокод. Или оформить карту лояльности, прикрепив ее к номеру телефона и СМС-рассылке.

Фото:Shutterstock

Как еще можно поддерживать эффективность маркетинговых активностей на фоне изменений?

Использовать опыт офлайна. Когда покупатель приходит в офлайн-магазин, единственная возможность продавца понять, откуда и почему он зашел — спросить его об этом. Классическое «Откуда вы узнали о нашей компании?» переживает второе рождение, как только эту информацию становится невозможно извлечь из цифрового следа.

Кратко и доступно: что такое персональные данные, их хранение и обработка

Согласно закону 152-ФЗ, компании обязаны защищать персональные данные (ПДн) своих сотрудников и клиентов, хранить и обрабатывать их по определенным правилам. Разберем, что такое ПДн, какие они бывают, что такое обработка персональных данных и как соблюсти все требования закона.

Что относится к персональным данным

Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.

Важно, чтобы данные относились к конкретному человеку. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат. А вот если в базе данных компании хранится ФИО клиента, его email и телефонный номер, тогда email и номер уже будут персональными данными — однозначно понятно, к какой «персоне» они относятся.

То же самое касается данных опросов. Если вы анонимно опрашиваете людей об их семейном положении, то не собираете персональные данные. А если спрашиваете ФИО, номер телефона и семейное положение, то по закону всё это персональные данные.

Небольшой пример, чтобы было понятнее, что входит в персональные данные, а что нет:

Не ПДн ПДн
ivan999@mail.ru ФИО: Иванов Иван Иванович, email: ivan999@mail.ru
30% опрошенных женаты Иванов Иван Иванович женат

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

Иные персональные данные

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

  1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
  2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

  1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
  2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

  1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
  2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
  3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
  4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Как защитить персональные данные, чем опасна утечка и что делать, если их украли

Как защитить персональные данные, чем опасна утечка и что делать, если их украли

Разбираемся, зачем компании собирают согласия на обработку персональных данных, можно ли их отозвать, для чего эта информация мошенникам и как снизить риск утечки личных данных.

Что такое персональные данные

Конкретного перечня таких данных нет. В зависимости от своей деятельности разные организации собирают некоторые объемы информации о своих клиентах или работниках — данные, которые обрабатываются в компаниях, и относят к персональным. Однако федеральный закон «О персональных данных» выделяет виды данных:

  • Общие. Это базовая информация о человеке: ФИО, место регистрации, информация об образовании, о месте работы, контактные данные.
  • Специальные. Информация о личности: национальность, политические и религиозные убеждения, философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
  • Биометрические. Физиологические или биологические особенности человека: фотографии, отпечатки пальцев, анализ ДНК, группа крови, рост, цвет глаз, вес и так далее.
  • Иные. Все остальное — например, уровень зарплаты, количество отпускных дней или членство в фитнес-клубе.

Когда человек регистрируется на онлайн-сервисах и указывает эти данные, этот шаг не делает эту информацию общедоступной. Для ее хранения и обработки сайты должны получать согласие.

Почему утечка персональных данных опасна

Информацией пользуются мошенники. С помощью скомпрометированных банковских данных они могут вывести деньги клиентов или оплачивать покупки, хотя таких возможностей становится меньше. Кроме того, мошенники могут подобрать пароль в соцсетях и выпрашивать деньги от лица жертвы.

Наконец, личные данные человека помогают мошенникам втереться в доверие с помощью социальной инженерии. Намного проще усыпить бдительность жертвы, если лжесотрудник службы безопасности банка знает фамилию и имя человека, его адрес проживания или место работы.

В интернете также продаются базы данных контактной информации. Причем если несколько лет назад это были просто номера плюс имя владельца, то теперь продается расширенная информационная база: номер телефона, место жительства, имя и так далее. Помимо мошенников такой информацией пользуются компании для рекламы своих услуг. Стоит помнить, что такие звонки незаконны, если человек не давал на них согласие.

Часто ли утекают данные из финансового сектора?

Что такое согласие на обработку персональных данных

Это добровольное решение человека передать свою личную информацию для тех целей, которые указаны в согласии. Поэтому важно читать эти документы, прежде чем их подписывать или ставить галочку в форме регистрации. Например, в согласии может быть указано, что персональные данные подписавшего могут быть переданы третьей стороне или использоваться для рекламных целей.

Существует заблуждение, что продавцы или компании могут отказать в покупке или услуге без согласия на обработку персональных данных. На самом деле это не так, и отказ клиента подписывать этот документ не может быть основанием для расторжения договора. Любая компания может использовать личную информацию человека без его согласия для того, чтобы исполнить договор. Чаще всего согласия клиентов собирают для перестраховки или разработки маркетинговых кампаний.

Государственные органы могут использовать персональные данные без согласия гражданина, но должны просить разрешения на их публикацию, если это требуется для их деятельности. По этой причине вузы собирают у абитуриентов согласие на публикацию личной информации на сайте университета — ФИО, баллы за экзамены, личные достижения и так далее.

Сколько действует согласие и можно ли его отозвать

Отозвать согласие на обработку персональных данных можно, а срок его действия зависит от конкретных условий, под которыми подписался человек. Закон никак не ограничивает срок действия документа, поэтому чаще всего в таких соглашениях указано «до дня отзыва».

Человек может отозвать согласие, обратившись в офис компании и оставив заявление лично. Также можно отправить запрос по электронной почте в виде документа, подписанного усиленной квалифицированной электронной подписью. Наименее простой, но надежный способ обращения — ценное письмо с извещением. Почтовые квитанции и извещения подтвердят факт запроса на отзыв согласия.

У компании можно потребовать как полностью блокировать персональные данные, так и уничтожить часть из них. Например, клиент магазина не против получать рекламные рассылки по электронной почте, но при оформлении бонусной карты указывал также место жительства. В этом случае можно потребовать уничтожить и больше не хранить лишь эту информацию, так как по факту магазину она не требуется для рекламы, а также никак не влияет на преференции по бонусной карте клиента.

После обращения у компании есть 30 дней, чтобы прекратить обработку персональных данных. Если запрос проигнорирован, то дальше следует жалоба в Роскомнадзор или в суд. Приоритетнее первый вариант, так как на сайтах региональных отделений ведомства достаточно лишь заполнить форму жалобы на бездействие компании. Еще через 30 дней Роскомнадзор должен ответить, что специалисты ведомства лично убедились в том, что компания перестала обрабатывать данные клиента.

Правда, уничтожить полностью персональные данные часть компаний не могут. Например, если у клиента есть действующий договор с оператором связи, то компания продолжит использовать личную информацию, чтобы оказывать свои услуги. Банки хранят персональные данные клиентов, даже если все отношения с ним были расторгнуты, так как Центральный банк рекомендует кредитным учреждениям не уничтожать информацию в течение пяти лет.

Как удалять личные данные в интернете

Если на каком-то сайте появились персональные данные без согласия человека, то следует вначале обратиться к администрации через форму обратной связи или по контактам в подвале сайта. Письмо осталось без ответа? Можно отправлять жалобу в Роскомнадзор, который вначале потребует удалить информацию, а если требование будет проигнорировано, заблокирует сайт.

Многие онлайн-сервисы подключили способы добровольного удаления личных данных. Например, после инцидента с «Яндекс.Едой», когда в интернете оказалась информация о заказах некоторых пользователей с суммами и адресами, сервис разрешил удалять данные в личном кабинете. VK принимает запросы на выгрузку архива, после чего можно лично удалить нужную информацию и медиафайлы. Соцсеть будет еще некоторое время хранить эти данные у себя, после чего удалит их с серверов.

Если у онлайн-сервиса нет таких функций, как у VK или «Яндекс.Еды», можно оставить запрос по электронной почте. У компании есть 30 дней на ответ, после чего клиент может обратиться в Роскомнадзор.

Как свести к нулю шанс утечки персональных данных

К сожалению, никак. Клиенты не могут повлиять на степень защиты информации в компаниях. Утечки чаще всего происходят из-за человеческой ошибки. Сотрудники случайно передают на фишинговых сайтах свои учетные данные мошенникам, после чего последние получают базу данных клиентов в свои руки, или сливают данные сами, желая заработать. Также мошенники сами собирают файлы с личной информацией, пользуясь тем, что пользователи в интернете по невнимательности публикуют фотографии своих документов, номера телефонов, реквизиты банковских карт.

Важно помнить о простых правилах информационной безопасности:

  • Нигде не публиковать и никому не отправлять в интернете фотографии банковской карты и ее полные реквизиты. Достаточно номера карты или телефона, чтобы перевести деньги.
  • Обязательно включить двухфакторную аутентификацию во всех сервисах и соцсетях. Это когда помимо ввода пароля пользователю также нужно подтвердить вход другим способом — например, ввести код, который пришел по СМС или через уведомление в приложении.
  • Менять пароль хотя бы раз в год. Совсем хорошо — раз в три месяца. Причем чем сложнее пароль, тем эффективнее защита. Лучше избегать конструкций вроде 123QWE. Как и банковские данные, пароли нужно держать в секрете.
  • Не хранить в соцсетях файлы с отсканированными документами. Даже если есть уверенность, что публичный доступ закрыт, личную страницу могут взломать. Лучше воспользоваться специальными приложениями, которые гарантируют защиту фотографий.
  • Онлайн покупать только на тех сайтах, которые вызывают доверие. Можно ориентироваться на значок замочка в браузере — если он закрыт, значит сайт использует защищенное подключение. Перед оплатой лучше убедиться, что это не фишинговый сайт, который копирует сайты интернет-сервисов или банка.
  • Не подписывать согласие на обработку персональных данных, не прочитав его.

Что делать, если персональные данные утекли в Сеть

Проверить, фигурируют ли данные в каких-то утекших базах с помощью Telegram-бота от сетевого сообщества Data1eaks. Введя номер телефона, пользователь видит, через какие сервисы утекли данные. В этом случае лучше сменить пароль и отвязать все банковские карты, если они были привязаны к аккаунту.

Банки следят за утечками банковской информации, поэтому самостоятельно перевыпускают банковские карты, но если этого не произошло, нужно заблокировать карту и выпустить новую. Также рекомендуется сменить пароли для входа в приложения банков, соцсети и почтовые сервисы.

В остальном остается только смириться с фактом утечки. В интернете можно встретить объявления, в которых якобы за деньги удалят любую информацию, но нет гарантий, что такой исполнитель просто не заблокирует клиента после того, как получит аванс.

Стоит ли подавать в суд на компанию? Это возможно, но очень трудозатратно и без юриста почти невозможно. Сложно доказать, что владелец персональных данных понес убытки из-за утечки информации, а уж тем более, что ему был причинен моральный вред. Как минимум можно рассчитывать на штраф для компании, а как максимум — еще и на компенсацию. Суммы небольшие: до 1 млн рублей — штраф, порядка 10 000–150 000 рублей — компенсация.

Если же в интернете оказались фотографии или видео, публикации которых хотелось бы избежать, то следует обратиться в полицию. В этом случае речь идет уже не о нарушениях в области обработки персональных данных, а о нарушениях неприкосновенности личной жизни (ст. 137 УК РФ) и тайны переписки (ст. 138 УК РФ).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *