Чем бизнесу грозит утечка пользовательских данных и как себя от этого обезопасить

Чем бизнесу грозит утечка пользовательских данных и как себя от этого обезопасить
Фото: Justin Paget

Посмотрим правде в глаза: любой бизнес, будь то поисковик, дейтинг-приложение или доставка еды, собирает персональные данные. Как минимум — сведения о геолокации и предпочтениях пользователей. Но, например, Facebook составляет на каждого своего юзера целое досье из 98 пунктов, а «ВКонтакте» знает о россиянах даже больше, чем Госуслуги. С ростом количества персональной информации в онлайне растет и угроза ее утечки. Рассказываем, чем это может грозить бизнесу и как обеспечить конфиденциальность пользовательских данных.

Личность за $50

По подсчетам InfoWatch, за прошлый год утекло около 100 млн записей персональной и платежной информации россиян. В большинстве случаев это произошло по вине сотрудников компаний, которые собирали эти данные.

Однако настоящее беспокойство вызывает не сам факт утечки, а возможные злоупотребления этой информацией со стороны рекламодателей, хакеров и киберпреступников. По данным «Лаборатории Касперского», за $50 в сети можно купить цифровую личность: аккаунты в соцсетях, банковские реквизиты и другие данные, которыми пользователь поделился с сайтами и приложениями. А скан паспорта россиянина в даркнете продавался всего за $10.

В ряде стран Запада уже вполне сформировалась судебная практика по защите персональных данных. Так, в Великобритании пользователь в случае утечки может обратиться в суд с требованием выплатить ему около £20 тыс. По GDPR для бизнеса верхняя граница штрафа составляет €20 млн, или 4% от мирового оборота. Например, финансовая организация Equifax, ставшая широко известной благодаря скандальной утечке данных 147 млн человек, потратила на урегулирование этой проблемы $425 млн, а Facebook за скандал с Cambridge Analytica получил штраф в размере $5 млрд.

Действующий в России закон «О персональных данных» тоже позволяет физлицам требовать в суде возмещения имущественного и морального вреда, причиненного вследствие нарушения требований к обработке персональных данных. Максимальная санкция — административный штраф в размере до 18 млн руб.

Пока судебные разбирательства между пользователями и компаниями, потерявшими их данные, в России исчисляются лишь десятками. Но отечественное законодательство в этой сфере постоянно ужесточается. Так, вступивший в силу в марте закон о дополнительной защите персональных данных предусматривает наказание за их незаконную обработку и предоставление третьим лицам. Штраф при повторном нарушении составляет 500 тыс. руб. Кроме того, в России всё чаще звучат призывы ввести уголовную ответственность за утечку персональных данных. Например, с такой инициативой выступает Банк России.

Опасные облака

С ростом использования облачных сервисов появляется всё больше законодательных актов о конфиденциальности персональных данных. Такие законы уже приняли 128 из 194 стран, а некоторые еще и установили правила, подобные GDPR.

Бизнесу приходится учитывать все эти изменения в законодательстве стран его присутствия. Одно из тонких мест — сервисы, которые перемещают данные в другие страны или предоставляют доступ к ним из стран с ограничительными законами о конфиденциальности и защите данных. Компания, использующая облако для хранения электронной информации, может оказаться вовлеченной в расследование или судебный процесс. В результате конфиденциальность данных ее пользователей может оказаться под угрозой.

Так как можно обезопасить персональные данные? Например, у Microsoft есть модель совместной ответственности, которая обеспечивает безопасную инфраструктуру для бизнеса, оборудование и возможность безопасных вычислений.

Над решением проблем конфиденциальности и владения данными работают и другие компании, например Solid и Soveren.io. С их помощью онлайн-сервисы смогут продемонстрировать свой «дружественный к конфиденциальности» способ ведения бизнеса и вернуть потребителям полный контроль над их личными данными.

«Право на забвение»

Чтобы не нарваться на неприятности, компаниям следует заключать соглашения о совместном использовании данных. Такой документ определяет цели и устанавливает стандарты обмена данными, а также помогает всем сторонам четко понимать свои роли и обязанности.

Часто такие соглашения излишне длинны и сложны. Но это та самая политика в отношении обработки персональных данных, о необходимости которой прямо говорится в п. 2 ст. 18.1 Федерального закона № 152-ФЗ.

Самое главное, чтобы в соглашении содержались четкие ответы на следующие вопросы.

  • Какие организации будут участвовать в обмене данными?
  • Делимся ли мы данными вместе с другим контроллером?
  • Какими элементами данных мы собираемся поделиться?
  • Каковы наши законные основания для обмена?

Если у бизнеса в РФ на сайте есть какие-либо формы сбора персональных данных, под каждой из них должно быть предложение «Даю согласие на обработку своих персональных данных» и окошко для галочки. Там же следует разместить гиперссылку на то самое соглашение о совместном использовании данных.

Следует также помнить, что в России и странах Евросоюза действуют законы «о праве на забвение». Пользователи могут подавать компаниям запросы на доступ к субъекту данных, чтобы понять, какая информация у них есть и как она обрабатывается. Бизнес обязан отвечать на такие запросы, предоставлять копии собранных данных и объяснять, как и почему они обрабатываются. Пользователь также может попросить изменить или удалить эти данные.