15 авг 2019

Совершенно конфиденциально

Признайтесь честно: вы хотя бы раз читали Политику об обработке персональных данных от и до? Да-да, эта та самая, где «мы обязуемся хранить Ваши данные» верой, правдой и не передавать их третьим лицам. Но если за «не читал» штрафовать пользователя никто не будет, то за «не писал» компании, которые работают с персональными данными пользователей, вполне могут нарваться на крупный штраф.

Как компании нарушают Политику конфиденциальности?

14 августа в Microsoft признались, что сотрудники и подрядчики могут слушать голосовые сообщения пользователей, которые те оставили в сервисах компании. Речь идет о данных голосового помощника Microsoft Cortana и программы Skype Translator.

В Политике конфиденциальности сервисов о возможности прослушки не говорилось ни слова. После признания компания была вынуждена обозначить в соглашении об использовании сервисов новое положение: «Обработка персональных данных… включает как автоматизированные, так и ручные (человеческие) методы обработки».

Microsoft не единственная компания, на чью Политику конфиденциальности обратили внимание в августе. На Apple 7 августа подали в суд из-за скандала с голосовым помощником Siri. Хотя в политике конфиденциальности было обозначено, что компания может записывать разговоры, чтобы помочь ассистенту лучше разбираться в командах пользователей, в документе не уточнили, что их прослушкой занимаются люди, а не ИИ.

В Политике приватности также было указано, что Siri начинает работу с запросом лишь после активации командой «Привет, Siri» (англ. Hey Siri). Но, как говорится в иске, на самом деле голосовой помощник мог заработать от чего угодно, включая взмах руки или звук молнии. Из-за этого многие личные разговоры слышали третьи лица.

На фоне ситуации с Apple, Facebook неделю назад приостановила свою практику прослушки: компания отдавала голосовые записи пользователей Facebook Messenger на расшифровку подрядчикам. В Политике конфиденциальности при этом не было четко прописано, что компания имеет право этим заниматься. Формулировка про возможность сбора личной информации в документе была, но уточнение о возможности прослушивания записей третьими лицами отсутствовало.

В США за нарушение правил конфиденциальности компании могут получить рекордные штрафы. Например, из-за утечки данных 87 млн пользователей Федеральная торговая комиссия США в 2018 году оштрафовала Facebook на $5 млрд. В ЕС с 25 мая этого года действует Генеральный регламент о защите персональных данных GDPR (General Data Protection Regulation). Согласно ему, за обработку персональных данных без согласия клиентов компаниям грозит до €20 млн или 4% от годового оборота за финансовый год.

В России штрафы за нарушения в сфере персональных данных намного меньше, хотя закон ужесточили с 1 июля 2017 года. Нарушения разделили на семь видов, общий штраф по которым может составить до 295 тыс. руб. Например, если на сайте нет Политики, ИП могут оштрафовать на 10 тыс. руб., компанию – на 30 тыс. руб. А если, допустим, интернет-магазин будет обрабатывать персональные данные без согласия пользователя, то максимальный штраф для юрлица составит 75 тыс. руб. (раньше – 10 тыс. руб.)

За отсутствие Политики оператора в отношении обработки персональных данных или сведений по защите персональных данных могут оштрафовать по статье 13.11 КоАП. Максимальный размер штрафа – 30 тыс. руб.

Кому нужна Политика?

В России документ законодательно называется «Политикой оператора в отношении обработки персональных данных», уточняет Максим Лагутин, сооснователь и ведущий эксперт по защите персональных данных компании Б-152. Термин «Политика конфиденциальности», или Privacy Policy, больше относится к GDPR.

Если кратко, документ нужен тем, кто собирает, хранит и обрабатывает персональные данные. Это могут быть общие данные (ФИО, e-mail, телефон и т.д.), биометрические данные (рост, вес, радужная оболочка глаза) а также специальные категории данных (раса, национальность, политические и религиозные взгляды). Кроме того, к персональным данным Роскомнадзор причисляет адрес места жительства, IP и сведения, получаемые при помощи cookies.

Персональные данные – любая информация, которая относится прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). (ч.1 ст.3 ФЗ «О персональных данных»).

Если компания практикует какой-либо вид сбора данных, будь то регистрация на сайте, подписка на рассылку, форма обратной связи, то ей необходимо разместить ссылку на Политику в отношении обработки персональных данных. Строгой формы по заполнению бланка документа нет. Многие ресурсы, в том числе Tilda или сервис b-152.ru, предлагают создать документ с помощью конструктора на их сайте. Это не запрещено. Главное, чтобы в получившемся документе были указаны следующие пункты:

Название и контакты компании;
Адрес сайта;
Перечень персональных данных (например, ФИО, e-mail или фото);
Цели обработки персональных данных (например, информирование пользователей с помощью отправки электронных писем или заключение гражданско-правовых договоров);
Способы и иные условия обработки данных;
Сведения о третьих лицах, если они имеют доступ к данным;
Сроки обработки и хранения данных.

Привет! Прежде, чем читать дальше, подпишитесь на наш телеграм-канал. Мы каждый день берем комментарии у интересных спикеров, ищем героев и подливаем масла в огонь индустрии.

Сделай сам или обратись к эксперту?

Если рассматривать российскую практику, то чаще всего компании сами ищут документ в интернете, копируют его и оформляют под себя, говорит Лагутин. «В микробизнесе и в малом бизнесе это может сделать любой рядовой сотрудник. В компаниях покрупнее этим обычно занимается юрист или внешняя компания, которую заказывают на разработку полноценного проекта».

По словам Лагутина, требования к российской Политике минимальные: первое – она должна быть издана, второе – она должна быть опубликована на веб-сайте или в мобильном приложение. Оштрафовать могут, только если не выполнены эти пункты.

«В Роскомнадзоре есть рекомендации для создания Политики. Эти рекомендации здравые и очень похожи на требования GDPR, но требуется много усилий, чтобы соблюдать их. Одно из них – обновление данных», – говорит Лагутин.

Рекомендации не имеют официального статуса, и при проверках их исполнение не учитывают, говорит эксперт. Именно поэтому чаще всего компании не следуют им, а просто создают шаблонную Политику в интернете и публикуют ее на сайте. Так они выполняют требование о наличии документа и не рискуют нарваться на штраф.

Другие хорошие статьи

Facebook хочет подать в суд на Apple из-за несогласия с политикой App Store

Google нашел конфиденциальную альтернативу cookies

Facebook летает в облаках. Компания инвестирует в облачный гейминг

Вопреки всему: как американским IT-гигантам удается наращивать прибыль несмотря на проблемы в экономике

Крупнейшие IT-компании запустили платформу по передаче данных