Защита персональных данных: обуза для бизнеса и тех, кому «нечего скрывать»?

Весной крупнейшую социальную сеть уличили в сотрудничестве с частной английской компанией Cambridge Analytica. В период с 2007 по 2014 годы ей передали данные 87 млн пользователей. Руководство Facebook обвинили в том, что оно не обеспечило безопасность личной информации людей.

Можно сказать, что владельцы соцсети отделались малой кровью. Из-за срока давности дело Facebook не попало под Общий регламент о защите персональных данных, известный как GDPR (General Data Protection Regulation), который вступил в силу в марте 2018 года. В этом случае компании предъявили бы штраф в размере 4% ее годового оборота – 1,9 млрд долларов. По мнению экспертов, дело Facebook – первое громкое, но далеко не последнее в сфере защиты персональных данных.

Напомним, что GDPR ужесточил требования к условиям хранения и использования персональных данных организациями, которые собирают данные граждан ЕС. Из базовых принципов регламента – прозрачность, чтобы пользователи знали, зачем используют их информацию; ограниченный срок хранения, минимизация использования данных, чтобы компании получали только сведения, реально необходимые для их целей, и не более. Чтобы соответствовать принципам GDPR, компания обязательно должна получить согласие пользователей на сбор и обработку данных в письменной или электронной форме. А ответственность за безопасность личной информации несут и организация, которая собирает данные, и та, которая их использует.

Всех собак – на бизнес?

«GDPR стал более строгим примером законодательства, чем это предполагалось. И неожиданным образом повлиял даже на те сферы и организации, которых вопросы защиты данных раньше не касались», – рассказала на октябрьском Internet Governance Forum в Минске руководитель по работе со странами Восточной Европы и Средней Азии корпорации ICANN Александра Куликова.

Пример тому – система регистрации доменных имен WHOIS, управляемая ICANN. Многим она известна, поскольку позволяет бесплатно узнать, не занято ли нужное вам доменное имя, и быстро связаться с владельцами доменов, если они, например, нарушили ваши авторские права. В системе в публичном доступе находятся их фамилии, адреса и контактные данные. До сих пор компромиссное решение, при котором WHOIS продолжила бы существовать, не найдено.

«Система регистрации доменных имен существует на базе протокола, которые создавался более 30 лет назад, в 1970-е. Еще когда GDPR готовился, стало ясно, что компании, которые работают в поле доменов общего значения, могут оказаться в конфликте, когда, с одной стороны, должны соблюдать контрактные обязательства с ICANN, а с другой – оставаться в правовом поле той страны, в которой они действуют», – прокомментировала Александра Куликова.

Мотивация кнутом и штрафом

«Вот уже полгода белорусский бизнес, ориентированный на экспорт, вынужден защищать персональные данные зарубежных пользователей и делает то же самое в отношении отечественных клиентов. Но большинство компаний до сих пор относятся к защите данных как к еще одной формальности, которую необходимо соблюдать и на которую нужно тратить свои время и деньги. К сожалению, на стороне мотиваций для них – штрафы и попытки сохранить собственный рынок», – отметил директор ООО «Дата прайваси офис» Сергей Воронкевич.

Несколько лет назад компания EY провела международное исследование по информационной безопасности, в котором приняли участие и белорусские организации. Только 12% опрошенных соотечественников ответили, что подходы к обеспечению информационной безопасности в их компаниях отвечают потребностям бизнеса, остальные считают свои системы ненадежными.

Во всех соседних странах еще до принятия GDPR действовало законодательство о персональных данных и их защите. В Беларуси же существует пока только проект подобного закона. В конце лета после общественных обсуждений он был отправлен на доработку. С проектом Закона «О персональных данных» можно ознакомиться здесь. Во многом документ повторяет положения европейского регламента, кроме одного пункта: белорусский закон пока не обязывает уведомлять человека, данные которого использует организация, об их утечке. Кроме того, пока не определен уполномоченный орган, который будет контролировать соблюдение законодательства о защите персональных данных, и степень ответственности, которая грозит нарушителям.

В белорусском законодательстве пока определены ответственность за умышленное разглашение коммерческой или другой охраняемой законом тайны (статья 22.13 КоАП), а также ответственность за незаконный сбор или распространение сведений о частной жизни, личных и семейных тайн (статья 179 УК). Однако суду еще требуется доказать, что раскрытое было тайной и что жертвам разглашения был причинен вред.

Защита данных – дело рук самих пользователей

«Многие считают, что готовящийся Закон «О персональных данных» больше попадает в компетенцию юристов. Общество пока не связывает защиту персональных данных с такими «бытовыми» ситуациями, как получение SMS-рассылок или писем мошенников на электронную почту, – привел примеры Сергей Воронкевич. – Все понимают риски, но, тем не менее не осознают ценности и значимости своих данных, не только тех, что в паспорте, но и электронных адресов, информации о трудовом пути, номеров банковских карт, списков посещаемых сайтов. А ведь в один момент можно проснуться уже в проданной квартире со взятым кредитом и заключенным контрактом. Так что пренебрежение к собственной приватности и установки типа «мне нечего скрывать» – самые неправильные решения, которые только можно принять».

Безопасность персональных данных – дело в первую очередь самих владельцев. Потому каждый раз, заходя в интернет, стоит соблюдать «сетевую гигиену»:

– Не пользоваться публичными беспроводными сетями, а если вы уже подключились, заходить в сеть через VPN-приложения.

– Не забывать отключать cookie – файлы, которые собирают для сайтов информацию о посещениях страницы (это можно сделать во вкладке «Настройки контента» любого браузера).

– Не стоит кликать на баннеры, всплывающие окна и рекламу, открывать подозрительные ссылки в письмах от неизвестных адресатов.

– Не отправлять в соцсетях фото с геотегами, сообщающими о вашем местонахождении, и фильтровать данные, которые вы публикуете в сети.

– И, конечно, стараться использовать пароли посложнее четырех единиц.

Диана ФИЛИМОНОВА