Банки сегодня не только финансовые организации, но и экосистемы с широким спектром дополнительных услуг: от голосовых помощников до продажи сим-карт и туристических сервисов. Для оказания такого разнообразия услуг финансовые организации обрабатывают большое количество ПДн клиентов, агрегируют информацию, собранную из разных источников, и делают на её основе выводы, иногда очень критичные для клиентов. Но что может быть сложного в обработке ПДн, когда есть чёткие требования законодательства? Почему бы их «просто» не исполнять? Давайте разбираться.
ПЕРВАЯ СЛОЖНОСТЬ — трактовка термина «персональные данные», которая разнится у представителей Роскомнадзора и бизнеса
Например, Роскомнадзор считает номер мобильного телефона номером конечного устройства, на основании которого нельзя идентифицировать субъекта, и поэтому не относит его к персональным данным. Также согласно определению Верховного Суда РФ от 21.07.2023 № 305-ЭС23-12160, номер телефона и адрес электронной почты также не являются персональными данными. Поэтому некоторые компании используют в качестве идентификатора номер мобильного телефона и позволяют себе не рассматривать его как персональные данные, закрывая глаза на дополнительную информацию о субъекте, обрабатываемую наравне с номером телефона (например, транзакции, сессии подключения и т. п.). Согласно всё той же позиции Роскомнадзора, если речь идёт о базе данных, которая включает номер мобильного телефона и дополнительные сведения о субъекте, то такая информация будет подпадать под определение персональных данных, поскольку позволяет идентифицировать субъекта и, следовательно, её обработка должна соответствовать требованиям 152-ФЗ.
Отсутствие единого подхода в отрасли к пониманию того, что есть персональные данные, может привести к нарушению прав субъектов персональных данных и требований законодательства. При формировании критериев отнесения данных к персональным мы рекомендуем учитывать риски для субъектов и потенциальный ущерб для компании в процессах обработки их данных.
В этом вам могут помочь ответы на следующие вопросы.
ВТОРАЯ СЛОЖНОСТЬ — (не)объединение баз персональных данных
Согласно ч. 3 ст. 5 152-ФЗ, запрещено объединение баз персональных данных, которые обрабатываются в несовместимых между собой целях. Тут может возникнуть ряд вопросов.
Рассмотрим в качестве примера ситуацию с принятием решения о выдаче кредита с двух точек зрения: со стороны банка и со стороны субъекта. Для принятия решения банк обрабатывает большие объёмы данных о потенциальном клиенте: от кредитной истории до профилей в социальных сетях. Банку необходимо удостовериться в платёжеспособности клиента, для чего банк зачастую анализирует данные, полученные не напрямую от субъекта, а порой даже и без уведомления самого субъекта об этом.
Рассмотрим ту же ситуацию со стороны субъекта. Потенциальный клиент может не знать, что банк проводит подобный анализ, не знает об используемых источниках, алгоритмах принятия решений.
В этом случае мы сталкиваемся с ещё одной сложностью: каждый оператор (банк) может трактовать норму закона по-своему с учётом задач и целей бизнеса, которые могут быть несовместимы с позицией субъекта ПДн и не учитывать его права. А в законе отсутствуют критерии для определения совместимых целей обработки ПДн.
При определении критериев несовместимости целей стоит учитывать:
Если по результатам вашего анализа вы пришли к выводу, что цели обработки персональных данных между собой несовместимы, следует разделить персональные данные по базам и продумать потоки данных между подразделениями компании, а также между компанией и третьими лицами с учётом этого разделения.
ТРЕТЬЯ СЛОЖНОСТЬ — обезличивание персональных данных
Возможным выходом из ситуации с запретом на объединение баз данных с несовместимыми целями могла бы стать обработка обезличенных персональных данных. В Приказе Роскомнадзора № 996 представлены методы по обезличиванию данных. Также согласно позиции Роскомнадзора обезличивать персональные данные могут только муниципальные и государственные органы. Но на дне открытых дверей Роскомнадзора 27 июля 2023 года была высказана позиция [1], согласно которой коммерческая организация может применять методику, если персональные данные обрабатываются с целью проведения статистических исследований или других исследовательских мероприятий.
Стоит отметить, что приведённые в методике методы «обезличивания персональных данных» не исключают «обратимость» этой операции (то есть, по сути, это «псевдоанонимизация»). Поэтому практическое применение методики не поможет решить ситуацию, так как данные и после выполненных действий будут оставаться персональными.
Аналогичные вопросы ранее уже поднимались. Например, Минцифры предлагал актуализировать и пересмотреть методику по обезличиванию персональных данных. Также Президент поручил принять изменения в Федеральный закон «О персональных данных» (проект № 992331–7), включающие уменьшение количества согласий в письменной форме путём дачи согласия на несколько целей обработки персональных данных. Однако принятие новых законов и внедрение правок в существующие нормы — процесс небыстрый, а бизнес нацелен на оказание услуг, разработку новых сервисов здесь и сейчас.
Учитывая вышесказанное, рекомендуем использовать алгоритмы обезличивания, которые исключают неправомерную повторную идентификацию личности субъектов, устраняют связь между субъектом и данными, не теряя при этом ценность данных для статистических, исследовательских, исторических или архивных целей обработки.
В качестве вывода: финансовым организациям зачастую приходится искать баланс между соблюдением закона и построением эффективных бизнес-процессов. Использование следующих принципов поможет выйти на путь такого баланса:
Поэтому рекомендуем не ограничиваться текущей позицией регулятора и требованиями закона: подходы к обработке и защите персональных данных в компании должны играть на опережение.
[1] Тезисы выступлений представителей РКН
Хотите поговорить об утечках информации? Приглашаем вас на конференцию «Защита данных: сохранить всё», которая пройдет 23 октября в Москве. Это первая в России конференция с фокусом на защите данных на всём их жизненном цикле: хранение, контроль доступа, обнаружение, инвентаризация, структурирование, передача. Организаторы — ГК «Гарда», Медиа Группа «Авангард» при поддержке ФСТЭК России.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных