Персональные данные в некоторых случаях могут стать ключом если не для всех, то для большей части «дверей» окажись они в руках злоумышленников. Поэтому неудивительно, что казахстанцы стали настороженнее относиться к обычной, казалось бы, просьбе — заполнить анкету постоянного покупателя в супермаркете или оставить свой телефон для связи в автосалоне. Их опасения оправданы, но и бизнесу никак не обойтись без клиентских баз, опросов, аналитики удовлетворенности покупателей и т.д. Так как же собирать персональные данные коммерческим организациям и не угодить под уголовную ответственность? Разбираемся вместе с экспертом Романом Реймером.
Роман Реймер — юрист, правозащитник, соучредитель фонда «Еркіндік қанаты».
Начнем с самого начала, с какого момента на компанию возлагается ответственность за сохранность персональных данных?
Юридическое или физическое лицо, которое собирает любые персональные данные, называется оператором персональных данных. И, соответственно, когда вы берёте чужие персональные данные, то вы сразу же становитесь оператором. С этого момента у вас есть права, обязанности и ответственность. Важный момент — персональные данные должны собираться исключительно согласно целям, которые изначально были указаны оператором. То есть для этих целей у коммерческой или любой другой организации должна быть политика приватности, выработанные специальные протоколы по работе с персональными данными. Коротко — система сбора и хранения данных. Например, вы предоставляете услуги. Для заключения договора с клиентом вы запрашиваете его персональные данные и перед сбором этих данных должны указать, для чего они необходимы, как они будут использованы и т.д. Здесь самое главное — не допускать сбора избыточных персональных данных по отношению к указанным целям.
Как определяются цели сбора персональных данных, есть ли законодательные ограничения?
Суть заключается в том, что компания должна сначала определить виды своей деятельности и на основе этого составить список необходимых персональных данных. Например, для аренды жилья нужен один перечень документов, для транспортных перевозок — другой. Правила определения собственником и оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, есть на сайте Комитета по информационной безопасности МЦРИАП.
Нужно ли регистрироваться в качестве оператора персональных данных?
Нет, это сложно представить в принципе. Представьте, я посетитель кофейни, и администрация заведения предлагает мне открыть карту VIP-гостя. Для этого запрашивается мое удостоверение личности. Я говорю, что согласен, называю данные из удостоверения личности. В этот момент заведение должно взять у меня письменное согласие. Условно происходит обмен — я даю свои данные, а мне дают скидки и т.д. Как у собственника персональных данных, у меня остаётся право изменять их или вовсе потребовать удалить. Об этих правах должен также уведомить оператор, в данном случае кофейня.
Политика приватности, протоколы, алгоритмы — для чего они нужны?
Первое — они нужны, если вы не хотите попасть на штраф при случае проверки. И вообще, политике приватности хорошо бы следовать, чтобы избежать утечек и дальнейших разбирательств. В политике приватности расписан алгоритм работы с персональными данными, и, соответственно, если вы будете работать по алгоритму, то у вас проблем, скорее всего, не возникнет. В Казахстане случаи утечки персональных данных чаще всего происходят не из-за хакерских атак, а банально из-за человеческого фактора. Просто кто-то вытащил какие-то данные для себя либо случайно отправил куда-то не туда. И в комитете информационной безопасности подтверждают, что зачастую виной утечек становится бытовая халатность, механическая ошибка человека.
Как разрабатывать политику приватности?
Лучше нанять юриста для этих целей. Но если у компании ограничены средства, то можно начать изучать закон самостоятельно и скомпилировать неплохую политику приватности. К тому же в сети легко найти политики приватности крупных компаний и, опираясь на них, создать свою. Есть готовые формы, но при этом вы не можете их скопировать, всё необходимо подвести под ваш вид деятельности, цели и т.д. И поэтому тут универсального решения нет.
Можно отказаться от предоставления персональных данных?
Конечно, это же обмен. Компания собирает данные в обмен на бонусы, специальные услуги, скидки и т.д. Вы сами оцениваете степень равноценности этого обмена. Если при покупке мешка картошки у вас спросят документы, вы можете посчитать это неразумным — зачем продавцу нужны ваши данные? Но если вы, допустим, хотите оформить микрозайм или взять в аренду автомобиль, то ясно, что у собственника этого автомобиля есть необходимость знать, кому он его отдаёт. Оператор персональных данных имеет полное право проводить манипуляции с вашим персональными данными в рамках подписанного согласия и в рамках закона. За пределы этого он выходить не может. Причем имеется и устная форма согласия, но как доказать, что вы давали или не давали разрешение на сбор и обработку информации о вас?
Поправки в закон
С 1 июля вступили в силу поправки в Закон о персональных данных. Важным изменением станет новая норма статьи 7:
«П.10. Запрещаются сбор, обработка копий документов, удостоверяющих личность, на бумажном носителе, за исключением случаев отсутствия интеграции с объектами информатизации государственных органов и (или) государственных юридических лиц, невозможности идентификации субъекта с использованием технологических средств, а также в иных случаях, предусмотренных законами Республики Казахстан.
Исключительные случаи сбора, обработки копий документов, удостоверяющих личность, на бумажном носителе, предусмотренные частью первой настоящего пункта, не распространяются на использование и представление документов, удостоверяющих личность, формируемых посредством сервиса цифровых документов».