Строже закона. Должен быть подход банка к обработке персональных данных

17 октября, 2023

Строже закона. Должен быть подход банка к обработке персональных данных

Банки сегодня не только финансовые организации, но и экосистемы с широким спектром дополнительных услуг: от голосовых помощников до продажи сим-карт и туристических сервисов. Для оказания такого разнообразия услуг финансовые организации обрабатывают большое количество ПДн клиентов, агрегируют информацию, собранную из разных источников, и делают на её основе выводы, иногда очень критичные для клиентов. Но что может быть сложного в обработке ПДн, когда есть чёткие требования законодательства? Почему бы их «просто» не исполнять? Давайте разбираться.

 

ПЕРВАЯ СЛОЖНОСТЬ — трактовка термина «персональные данные», которая разнится у представителей Роскомнадзора и бизнеса

Например, Роскомнадзор считает номер мобильного телефона номером конечного устройства, на основании которого нельзя идентифицировать субъекта, и поэтому не относит его к персональным данным. Также согласно определению Верховного Суда РФ от 21.07.2023 № 305-ЭС23-12160, номер телефона и адрес электронной почты также не являются персональными данными. Поэтому некоторые компании используют в качестве идентификатора номер мобильного телефона и позволяют себе не рассматривать его как персональные данные, закрывая глаза на дополнительную информацию о субъекте, обрабатываемую наравне с номером телефона (например, транзакции, сессии подключения и т. п.). Согласно всё той же позиции Роскомнадзора, если речь идёт о базе данных, которая включает номер мобильного телефона и дополнительные сведения о субъекте, то такая информация будет подпадать под определение персональных данных, поскольку позволяет идентифицировать субъекта и, следовательно, её обработка должна соответствовать требованиям 152-ФЗ. 

Отсутствие единого подхода в отрасли к пониманию того, что есть персональные данные, может привести к нарушению прав субъектов персональных данных и требований законодательства. При формировании критериев отнесения данных к персональным мы рекомендуем учитывать риски для субъектов и потенциальный ущерб для компании в процессах обработки их данных.

В этом вам могут помочь ответы на следующие вопросы.

  • Какое влияние на субъекта оказывает обработка его данных: изменение материальных условий субъекта, его психологического состояния, окружения? «Неперсональные» данные не оказывают воздействие на субъекта при их обработке.
  • Что будет с субъектом в случае нарушения целостности, доступности и конфиденциальности обрабатываемых данных? Попробуйте смоделировать условия, при которых субъект не получает своевременный доступ к данным/данные субъекта частично или полностью разрушаются/данные доступны злоумышленнику. «Неперсональные» данные не оказывают воздействие на субъекта при нарушении их безопасности.
  • Может ли сама компания по всем обрабатываемым данным определить конкретного субъекта? При ответе важно обратить внимание на полный объём обрабатываемых компанией данных о конкретном человеке: помните, что в обработке участвуют и ваш департамент, и коллеги из соседнего, а также не забудьте про веб-сайты и приложения. Если ответ «да», то это персональные данные.
  • К каким сторонним ресурсам с дополнительной информацией о субъекте у компании есть доступ? Помимо ресурсов компании, для обработки могут привлекаться данные, полученные от третьих лиц и источников, например, из социальных сетей, мессенджеров, агрегаторов данных. В совокупности или по отдельности такие данные также могут быть персональными, поэтому следует проверить их на выполнение трёх вышеприведённых условий.

 

ВТОРАЯ СЛОЖНОСТЬ — (не)объединение баз персональных данных

Согласно ч. 3 ст. 5 152-ФЗ, запрещено объединение баз персональных данных, которые обрабатываются в несовместимых между собой целях. Тут может возникнуть ряд вопросов.

  • Какие цели можно считать несовместимыми между собой?
  • Являются ли несовместимыми цели обработки персональных данных одного субъекта, но для разных услуг, сервисов?
  • А что подразумевается под совместимостью?
  • Что надо учитывать при объединении персональных данных?

Рассмотрим в качестве примера ситуацию с принятием решения о выдаче кредита с двух точек зрения: со стороны банка и со стороны субъекта. Для принятия решения банк обрабатывает большие объёмы данных о потенциальном клиенте: от кредитной истории до профилей в социальных сетях. Банку необходимо удостовериться в платёжеспособности клиента, для чего банк зачастую анализирует данные, полученные не напрямую от субъекта, а порой даже и без уведомления самого субъекта об этом. 

Рассмотрим ту же ситуацию со стороны субъекта. Потенциальный клиент может не знать, что банк проводит подобный анализ, не знает об используемых источниках, алгоритмах принятия решений.

В этом случае мы сталкиваемся с ещё одной сложностью: каждый оператор (банк) может трактовать норму закона по-своему с учётом задач и целей бизнеса, которые могут быть несовместимы с позицией субъекта ПДн и не учитывать его права. А в законе отсутствуют критерии для определения совместимых целей обработки ПДн. 

При определении критериев несовместимости целей стоит учитывать:

  • Направленность обработки — такая обработка нужна субъекту для получения услуги или бизнесу для продажи услуги?
  • Риски для субъекта — что будет в случае объединения баз?
  • Риски для бизнеса — что будет в случае нарушения безопасности данных объединённой базы?

Если по результатам вашего анализа вы пришли к выводу, что цели обработки персональных данных между собой несовместимы, следует разделить персональные данные по базам и продумать потоки данных между подразделениями компании, а также между компанией и третьими лицами с учётом этого разделения.

 

ТРЕТЬЯ СЛОЖНОСТЬ — обезличивание персональных данных

Возможным выходом из ситуации с запретом на объединение баз данных с несовместимыми целями могла бы стать обработка обезличенных персональных данных. В Приказе Роскомнадзора № 996 представлены методы по обезличиванию данных. Также согласно позиции Роскомнадзора обезличивать персональные данные могут только муниципальные и государственные органы. Но на дне открытых дверей Роскомнадзора 27 июля 2023 года была высказана позиция [1], согласно которой коммерческая организация может применять методику, если персональные данные обрабатываются с целью проведения статистических исследований или других исследовательских мероприятий. 

Стоит отметить, что приведённые в методике методы «обезличивания персональных данных» не исключают «обратимость» этой операции (то есть, по сути, это «псевдоанонимизация»). Поэтому практическое применение методики не поможет решить ситуацию, так как данные и после выполненных действий будут оставаться персональными. 

Аналогичные вопросы ранее уже поднимались. Например, Минцифры предлагал актуализировать и пересмотреть методику по обезличиванию персональных данных. Также Президент поручил принять изменения в Федеральный закон «О персональных данных» (проект № 992331–7), включающие уменьшение количества согласий в письменной форме путём дачи согласия на несколько целей обработки персональных данных. Однако принятие новых законов и внедрение правок в существующие нормы — процесс небыстрый, а бизнес нацелен на оказание услуг, разработку новых сервисов здесь и сейчас. 

Учитывая вышесказанное, рекомендуем использовать алгоритмы обезличивания, которые исключают неправомерную повторную идентификацию личности субъектов, устраняют связь между субъектом и данными, не теряя при этом ценность данных для статистических, исследовательских, исторических или архивных целей обработки. 

В качестве вывода: финансовым организациям зачастую приходится искать баланс между соблюдением закона и построением эффективных бизнес-процессов. Использование следующих принципов поможет выйти на путь такого баланса:

  • Не собираем всё подряд: минимизация собираемых данных с чётким пониманием бизнес-необходимости их обработки.
  • Не храним в одной корзине: разделение персональных данных по базам.
  • Не всегда обрабатываем персональные данные: обезличивание/уничтожение персональных данных на определённых этапах жизненного цикла обработки с учётом бизнес-необходимости.
  • Не раскрываем никому: шифрование данных, к которым может получить доступ злоумышленник (внешний периметр, внутренний периметр в случае недоверенной среды).
  • Держим всё под контролем: формирование системы управления персональными данными с чётким и формализованным подходом к обработке и защите, доступным и понятным пользователям данных и самим субъектам.

Поэтому рекомендуем не ограничиваться текущей позицией регулятора и требованиями закона: подходы к обработке и защите персональных данных в компании должны играть на опережение.

 

[1] Тезисы выступлений представителей РКН

 

Хотите поговорить об утечках информации? Приглашаем вас на конференцию «Защита данных: сохранить всё», которая пройдет 23 октября в Москве. Это первая в России конференция с фокусом на защите данных на всём их жизненном цикле: хранение, контроль доступа, обнаружение, инвентаризация, структурирование, передача. Организаторы — ГК «Гарда», Медиа Группа «Авангард» при поддержке ФСТЭК России.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

09.09.2024
Будущее едет из Москвы в Казань
09.09.2024
Rutube пережил «крупнейшую DDoS-атаку за последние два года» (?)
09.09.2024
ИИ-фейки и роботы-собаки. В Китае проходит X Неделя кибербезопасности
09.09.2024
Шадаев: База нацпроекта «Экономика данных» уже ясна
09.09.2024
Дропперство сокращает жизнь
09.09.2024
В ПФО платят через интернет и СБП
09.09.2024
Роскомнадзор: Ресурсы ЦИК, ДЭГ и ДИТ подверглись 222 DDoS-атакам до и во время выборов
09.09.2024
Техкомпании запустят единую платформу по обучению школьников и студентов
06.09.2024
«С учётом латентной преступности»
06.09.2024
ФСТЭК напомнил об организациях, которые могут «обезопасить» кадры

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных