Банки сегодня — это не только финансовые организации, но и экосистемы с широким спектром дополнительных услуг: от голосовых помощников до продажи сим-карт и туристических сервисов. Для оказания такого разнообразия услуг финансовые организации обрабатывают большое количество ПДн клиентов, агрегируют информацию, собранную из разных источников, и делают на ее основе выводы, иногда очень критичные для клиентов. Но что может быть сложного в обработке ПДн, когда есть четкие требования законодательства? Почему бы их просто не исполнять? Рассказывают Илья Шаленков, партнер, и Анна Чеботарёва, старший консультант Группы по оказанию услуг в области кибербезопасности Kept.
Первая сложность: трактовка термина «персональные данные»
Представители Роскомнадзора и бизнеса по-разному трактуют термин «персональные данные». Например, Роскомнадзор считает номер мобильного телефона номером конечного устройства, на основании которого нельзя идентифицировать субъекта, и поэтому не относит его к персональным данным. Также, согласно определению Верховного Суда РФ от 21.07.2023 № 305-ЭС23−12 160, номер телефона и адрес электронной почты не являются персональными данными. Поэтому некоторые компании используют в качестве идентификатора номер мобильного телефона и позволяют себе не рассматривать его как персональные данные, закрывая глаза на дополнительную информацию о субъекте, обрабатываемую наравне с номером телефона (например, транзакции, сессии подключения и т. п.).
Согласно все той же позиции Роскомнадзора, если речь идет о базе данных, которая включает номер мобильного телефона и дополнительные сведения о субъекте, то такая информация будет подпадать под определение персональных данных, поскольку позволяет идентифицировать субъекта, и, следовательно, ее обработка должна соответствовать требованиям 152-ФЗ.
Согласно все той же позиции Роскомнадзора, если речь идет о базе данных, которая включает номер мобильного телефона и дополнительные сведения о субъекте, то такая информация будет подпадать под определение персональных данных, поскольку позволяет идентифицировать субъекта, и, следовательно, ее обработка должна соответствовать требованиям 152-ФЗ.
Отсутствие единого подхода в отрасли к пониманию того, что есть персональные данные, может привести к нарушению прав субъектов ПДн и требований законодательства. При формировании критериев отнесения данных к персональным мы рекомендуем учитывать риски для субъектов и потенциальный ущерб для компании в процессах обработки их данных.
В этом вам могут помочь ответы на следующие вопросы:
В этом вам могут помочь ответы на следующие вопросы:
•
Какое влияние на субъект оказывает обработка его данных: изменение материальных условий субъекта, его психологического состояния, окружения? «Неперсональные» данные не оказывают воздействие на субъект при их обработке.
•
Что будет с субъектом в случае нарушения целостности, доступности и конфиденциальности обрабатываемых данных? Попробуйте смоделировать условия, при которых субъект не получает своевременный доступ к данным/данные субъекта частично или полностью разрушаются/данные доступны злоумышленнику. «Неперсональные» данные не оказывают воздействие на субъект при нарушении их безопасности.
Может ли сама компания по всем обрабатываемым данным определить конкретного субъекта? При ответе важно обратить внимание на полный объем обрабатываемых компанией данных о конкретном человеке: помните, что в обработке участвуют и ваш департамент, и коллеги из соседнего, а также не забудьте про веб-сайты и приложения. Если ответ «да», то это персональные данные.
•
К каким сторонним ресурсам с дополнительной информацией о субъекте у компании есть доступ? Помимо ресурсов компании, для обработки могут привлекаться данные, полученные от третьих лиц и источников, например, из социальных сетей, мессенджеров, агрегаторов данных. В совокупности или по отдельности такие данные также могут быть персональными, поэтому следует проверить их на выполнение трех вышеприведенных условий.
•
Вторая сложность: (не)объединение баз персональных данных
Согласно ч. 3 ст. 5 152-ФЗ, запрещено объединение баз персональных данных, которые обрабатываются в несовместимых между собой целях. Тут может возникнуть ряд вопросов:
•
Какие цели можно считать несовместимыми между собой?
•
Являются ли несовместимыми цели обработки персональных данных одного субъекта, но для разных услуг, сервисов?
А что подразумевается под совместимостью?
•
Что надо учитывать при объединении персональных данных?
•
Рассмотрим в качестве примера ситуацию с принятием решения о выдаче кредита с двух точек зрения: со стороны банка и со стороны субъекта. Для принятия решения банк обрабатывает большие объемы данных о потенциальном клиенте: от кредитной истории до профилей в социальных сетях. Банку необходимо удостовериться в платежеспособности клиента, для чего банк зачастую анализирует данные, полученные не напрямую от субъекта, а порой даже и без уведомления самого субъекта об этом.
Рассмотрим ту же ситуацию со стороны субъекта. Потенциальный клиент может не знать, что банк проводит подобный анализ, не знает об используемых источниках, алгоритмах принятия решений.
Рассмотрим ту же ситуацию со стороны субъекта. Потенциальный клиент может не знать, что банк проводит подобный анализ, не знает об используемых источниках, алгоритмах принятия решений.
В этом случае мы сталкиваемся с еще одной сложностью: каждый оператор (банк) может трактовать норму закона по-своему с учетом задач и целей бизнеса, которые могут быть несовместимы с позицией субъекта ПДн и не учитывать его права. А в законе отсутствуют критерии для определения совместимых целей обработки ПДн.
При определении критериев несовместимости целей стоит учитывать:
При определении критериев несовместимости целей стоит учитывать:
•
Направленность обработки — такая обработка нужна субъекту для получения услуги или бизнесу для продажи услуги?
•
Риски для субъекта — что будет в случае объединения баз?
Риски для бизнеса — что будет в случае нарушения безопасности данных объединенной базы?
•
Если по результатам вашего анализа вы пришли к выводу, что цели обработки персональных данных между собой несовместимы, следует разделить персональные данные по базам и продумать потоки данных между подразделениями компании, а также между компанией и третьими лицами с учетом этого разделения.
Третья сложность: обезличивание персональных данных
Возможным выходом из ситуации с запретом на объединение баз данных с несовместимыми целями могла бы стать обработка обезличенных персональных данных. В Приказе Роскомнадзора № 996 представлены методы по обезличиванию данных. Также, согласно позиции Роскомнадзора, обезличивать персональные данные могут только муниципальные и государственные органы. Но на дне открытых дверей Роскомнадзора 27 июля 2023 года была высказана позиция, согласно которой коммерческая организация может применять методику, если персональные данные обрабатываются с целью проведения статистических исследований или других исследовательских мероприятий.
Стоит отметить, что приведенные в методике методы «обезличивания персональных данных» не исключают «обратимость» этой операции (то есть, по сути, это «псевдоанонимизация»). Поэтому практическое применение методики не поможет решить ситуацию, так как данные и после выполненных действий будут оставаться персональными.
Стоит отметить, что приведенные в методике методы «обезличивания персональных данных» не исключают «обратимость» этой операции (то есть, по сути, это «псевдоанонимизация»). Поэтому практическое применение методики не поможет решить ситуацию, так как данные и после выполненных действий будут оставаться персональными.
Аналогичные вопросы ранее уже поднимались. Например, Минцифры предлагал актуализировать и пересмотреть методику по обезличиванию персональных данных. Также Президент поручил принять изменения в Федеральный закон «О персональных данных» (проект № 992 331−7), включающие уменьшение количества согласий в письменной форме путем дачи согласия на несколько целей обработки персональных данных. Однако принятие новых законов и внедрение правок в существующие нормы — процесс небыстрый, а бизнес нацелен на оказание услуг, разработку новых сервисов здесь и сейчас.
Учитывая вышесказанное, рекомендуем использовать алгоритмы обезличивания, которые исключают неправомерную повторную идентификацию личности субъектов, устраняют связь между субъектом и данными, не теряя при этом ценность данных для статистических, исследовательских, исторических или архивных целей обработки.
Финансовым организациям зачастую приходится искать баланс между соблюдением закона и построением эффективных бизнес-процессов. Использование следующих принципов поможет выйти на путь такого баланса:
Учитывая вышесказанное, рекомендуем использовать алгоритмы обезличивания, которые исключают неправомерную повторную идентификацию личности субъектов, устраняют связь между субъектом и данными, не теряя при этом ценность данных для статистических, исследовательских, исторических или архивных целей обработки.
Финансовым организациям зачастую приходится искать баланс между соблюдением закона и построением эффективных бизнес-процессов. Использование следующих принципов поможет выйти на путь такого баланса:
•
Не собираем все подряд: минимизация собираемых данных с четким пониманием бизнес-необходимости их обработки.
•
Не храним в одной корзине: разделение персональных данных по базам.
Не всегда обрабатываем персональные данные: обезличивание/уничтожение персональных данных на определенных этапах жизненного цикла обработки с учетом бизнес-необходимости.
•
Не раскрываем никому: шифрование данных, к которым может получить доступ злоумышленник (внешний периметр, внутренний периметр в случае недоверенной среды).
•
•
Держим все под контролем: формирование системы управления персональными данными с четким и формализованным подходом к обработке и защите, доступным и понятным пользователям данных и самим субъектам.
•
Не раскрываем никому: шифрование данных, к которым может получить доступ злоумышленник (внешний периметр, внутренний периметр в случае недоверенной среды).
Поэтому рекомендуем не ограничиваться текущей позицией регулятора и требованиями закона: подходы к обработке и защите персональных данных в компании должны играть на опережение.
Статья изначально была написана для журнала «BIS Journal − Информационная безопасность банков» и опубликована по ссылке.
Статья изначально была написана для журнала «BIS Journal − Информационная безопасность банков» и опубликована по ссылке.
