Размер шрифта:
Цвета сайта:
Изображения:
Распечатать

Обработка персональных данных онлайн-платформами

02 марта 2021
Обработка персональных данных онлайн-платформами

Повсеместная цифровизация перевернула привычный порядок общественной деятельности. Использование онлайн-сервисов позволяет пользователям совершать такие действия, как совершение покупок, общение онлайн, просмотр и передача контента. Онлайн-платформы могут быть интегрированы с государственными системами, что в значительной степени упрощает взаимодействие граждан с государственными органами. Однако зачастую пользователи теряют бдительность при предоставлении своих персональных данных и не задумываются о том, каким образом они используются онлайн-платформами.

Использование онлайн-платформ и безопасность данных

Онлайн-платформа (англ. digital platform) – это технология, представленная в виде программного обеспечения или приложения, которое размещается в Интернете и используется для взаимодействия между пользователями для выполнения того или иного действия. Примерами онлайн-платформ являются социальные сети, приложения для заказа товаров, вызова такси и т. п. Платформы используют персональные данные своих пользователей для того, чтобы формировать релевантную контекстную рекламу, обучать внутренние системы (например, алгоритмы систем искусственного интеллекта и нейросети). Иными словами, персональные данные являются важнейшим элементом для развития платформы и совершенствования ее деятельности в Интернете.

Напомним, что к персональным относится любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, то есть субъекту персональных данных (п. 1 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"; далее – Закон о персональных данных). Это значит, что любые данные, предоставленные платформам в любом виде (например, указанные при регистрации), могут быть обработаны такими платформами любым способом. Важно обратить внимание, что персональные данные могут собираться и без непосредственного предоставления пользователем информации, например, IP-адрес (код, который идентифицирует компьютерную сеть или конкретное компьютерное устройство в сети), с которого просматривается страница в сети, также является персональными данными.

Закон ограничивает влияние оператора персональных данных, разрешая обработку только с письменного соглашения субъекта персональных данных (по смыслу п. 1 ст. 6 Закона о персональных данных), которым чаще всего выступает проставление галочки на согласии на обработку персональных данных.

Несмотря на то, что в соглашении могут быть указаны вид и сроки обработки данных, на деле определить, как именно платформы распоряжаются данными, является затруднительным. Именно понимание того, каким образом онлайн-платформы и ИТ-сервисы защищают и обрабатывают данные, является ключевым для обеспечения приватности в Интернете.

Влияние монополий на защиту приватности пользователей

Несмотря на разнообразие бизнес-моделей цифровой экономики, наличие большого числа различных сервисов не предоставляет пользователям выбора наиболее удобной и безопасной с точки зрения приватности платформы для пользования. Эксперт объясняет это тем, что в разных платформах ситуация с защитой данных обстоит приблизительно одинаково, а широкое влияние интернет-гигантов на рынке не предоставляют пользователям возможности альтернативного выбора платформы.

Утечка персональных данных как угроза приватности пользователей

Попадание персональных данных в открытый доступ (в сфере информационной безопасности термин получил название "утечка") является следствием как неосторожности, так и намеренного раскрытия информации третьим лицам.

Их условно можно поделить на две категории:

1. Утечки вследствие нарушения внутренних процессов (инцидентов) компании, которая является оператором персональных данных (в соответствии с п. 2 ст. 3 Закона о персональных данных), а также других лиц, обрабатывающих данных по поручению оператора. Сюда относятся некомпетентные действия со стороны сотрудников компании и технические проблемы, связанные с уязвимостями информационных систем.

2. Преднамеренные "утечки". Они происходят в соответствии с бизнес-моделью компании, которая занимается продажей данных.

Отдельную опасность для раскрытия представляют биометрические данные, данные о здоровье и т. д., получившие в терминологии европейского законодательства название "чувствительные данные".

В одном случае онлайн-платформы готовы предоставить пользователям онлайн-сервиса в лице пациентов услуги для осуществления более качественного медицинского анализа. При этом такие платформы выступают подрядчиком в отношении основной медицинской компании, однако именно они являются операторами персональных данных по смыслу п. 2 ст. 3 Закона о персональных данных. На практике не редки случаи, когда запросы таких компаний не соответствуют целесообразности. Например, требование предоставить скан паспорта не представляется необходимым для оказания определенных услуг медицинского характера. Эксперт отмечает, что таким компаниям следует учитывать, что чем больше данных они собирают, тем сильнее будет ущерб для персональных данных при их утечке. Более того, в отдельных случаях пользователям некомфортно делиться личными данными, особенно когда это касается "чувствительных персональных данных".

В другом случае компании предлагают купить базу персональных данных, в которых собраны не только "чувствительные данные" о пользователях, но и ссылки на страницы в социальных сетях, сведения о настроении и т. д.

С такими предложениями добросовестный бизнес не только не вступает в деловые отношения, но и проверяет законность действий таких компаний по сбору и других действий по обработке персональных данных.

Также на практике достаточно часто встречаются случаи, когда компании неверно понимают, каким образом следует осуществлять обезличивание персональных данных, то есть какие следует совершать действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (по смыслу п. 9 ст. 3 Закона о персональных данных).

В России процедура по обезличиванию персональных данных регламентирована Приказом Роскомнадзора от 5 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных". Так, в соответствии с Приказом, к наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:

• введение идентификаторов – замена части сведений идентификаторами с созданием таблицы соответствия идентификаторов исходным данным;

• изменение состава или семантики – изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений;

• декомпозиция – разбиение множества персональных данных на несколько частей с последующим раздельным хранением подмножеств;

• перемешивание – перестановка отдельных записей, а также групп записей в массиве персональных данных.

Таким образом, удаление ФИО субъекта персональных данных не является процедурой обезличивания, так как сохраняется другая информация, с помощью которой можно идентифицировать человека. В отношении персональных данных в медицинском секторе можно привести в пример информацию о месте и времени приема пациента, сведения о заболевании (особенно, если заболевание редкое).

В совокупности такие данные даже при отсутствии указания ФИО пациента позволяют его идентифицировать при определенных обстоятельствах.

***

Удобство использования онлайн-сервисов стоит в одном ряду с нарушением прав субъектов персональных данных. Становится в значительной степени сложнее сохранить приватность в Интернете. Основная проблема заключается в отсутствии выбора использования таких платформ, которые могут гарантировать пользователям приватность.

Во-первых, по заявлению экспертов ИТ-права, ситуация с соблюдением закона в сфере защиты персональных данных обстоит приблизительно одинаково среди всех онлайн-платформ. Это означает, что при переходе пользователя с одной платформы на другую похожую, ситуация с защитой персональных данных скорее всего не поменяется. Утечка персональных данных может быть спровоцирована как случайными обстоятельствами, так и преднамеренно. Отдельного внимания заслуживает деятельность компаний, которые в обход общих принципов обработки данных готовы получить коммерческую выгоду от продажи персональных данных.

Во-вторых, в некоторых случах монополия ИТ-гигантов не позволяет выбрать другую похожую платформу, потому что такой просто нет.

Таким образом, решить проблему защиты своих персональных данных при использовании онлайн-сервисов представляется крайне трудной. Фактически пользователям остается либо согласиться с требованиями онлайн-платформ, либо просто перестать ими пользоваться. Решением данной проблемы может выступать более ответственный выбор персональных данных, которые пользователи предоставляют для обработки онлайн-платформам. Использование сервисов сравнения уровня, на котором поддерживается приватность в той или иной платформе, может помочь в поиске наиболее безопасной.

Система Orphus
Правовой марафон для пенсионеров
Единый день оказания бесплатной юридической помощи в Новосибирской области

Единый день оказания бесплатной юридической помощи в Новосибирской области

26 ноября 2021

26 ноября впервые во всех субъектах РФ прошёл Единый день оказания бесплатной юридической помощи для людей старшего поколения.

В Новосибирской области приём граждан провели начальник отдела правового обеспечения аппарата Уполномоченного по правам человека Елена Шилохвостова и член Новосибирского регионального отделения Общероссийской общественной организации «Ассоциация Юристов России» Елена Белоусова, которая также является общественным помощником Уполномоченного в Первомайском районе города Новосибирска.

Уполномоченный по правам человека в Краснодарском крае провел видео встречу с гражданами старшего поколения

Уполномоченный по правам человека в Краснодарском крае провел видео встречу с гражданами старшего поколения

23 ноября 2021

Уполномоченным по правам человека в Краснодарском крае совместно с краевым ГосЮрБюро в режиме видео-конференц-связи было проведено просветительское мероприятие «Правовые последствия признания гражданина-должника банкротом».

Единый день оказания бесплатной юридической помощи для людей старшего поколения совместно с региональным отделением АЮР

Единый день оказания бесплатной юридической помощи для людей старшего поколения совместно с региональным отделением АЮР

23 ноября 2021
22 ноября 2021 года уполномоченный по правам человека З. Н. Волошина совместно с заместителем исполнительного директора Кемеровского регионального отделения ООО «Ассоциация юристов России» А. Н. Удодиковым и членом Кемеровского регионального отделения ООО «Ассоциация юристов России» С. А. Зайковым провели Единый день оказания бесплатной юридической помощи для людей старшего поколения. С 2015 года Уполномоченный по правам…
Правовой марафон для пенсионеров