Необходимо исключить избыточный сбор персональных данных и перейти к принципу полного удаления информации после ее использования, заявили в Генпрокуратуре.
Принудительную передачу согласия на обработку персональных данных необходимо исключить, как и избыточный сбор данных, заявил начальник отдела по надзору за исполнением законов в сфере информационных технологий и защиты информации главного управления по надзору за исполнением федерального законодательства Генеральной прокуратуры РФ Олег Кипкаев.
Недопустимая практика
«Что касается обработки персональных данных, то соблюдение закона не только обязательно, но и важно для репутации компаний. Примечательно, что коммерческие организации стремятся накапливать такие данные, стараясь минимизировать расходы на обеспечение их сохранности. В условиях частых киберинцидентов такие практики недопустимы. Проблемой остается принуждение граждан к согласию на обработку персональных данных со стороны компаний, из-за чего они часто лишены выбора. Нужно исключить избыточный сбор данных и перейти к принципу уничтожения данных после достижения цели их сбора», – сказал Кипкаев в ходе выступления на сессии «Цифровая безопасность и ответственность бизнеса» Восточного экономического форума, его цитирует ТАСС.
Важно осуществлять контроль за организациями, которые занимаются аналитикой утечек данных.
«Для обеспечения цифровой безопасности требуется комплексный подход, включающий профилактику и оперативное реагирование на инциденты. Совместная работа частного сектора и государства, включая обмен информацией об угрозах и проведение совместных учений, необходима для успешной борьбы с этими вызовами. Хотя такая работа идет, для ее эффективности важно реальное участие всех представителей этого процесса», – пояснил он.
Культура сбора
Ранее в Госдуму РФ были внесены поправки в Федеральный закон «О персональных данных» и закон «О защите прав потребителей». Из них следует, что граждане смогут получать информацию о товарах и услугах без необходимости предоставления согласия на обработку персональных данных. Кроме того, нормы предлагают закрепить требование об оформлении согласия на обработку персданных отдельно от других соглашений.
Проблема как избыточного, так и принудительного сбора персональных данных характерна для российского бизнеса.
По словам члена комитета Госдумы по информационной политике, информационным технологиям и связи Антона Немкина, «у бизнеса не сформирована культура минимального сбора персональных пользовательских сведений. Если для оказания услуги компании необходим телефонный номер потребителя, то наравне с ним она наверняка попросит указать еще и дату рождения, и адрес проживания. В общем, то, что для оказания услуги совершенно не нужно. В случае утечки информации все это приведет к существенному росту доли чувствительных данных в свободном доступе. Некоторые организации в целом отказываются предоставлять не только услуги, но и информацию по ним без предварительной передачи персданных».
По цифровому следу
По данным исследования InfoWatch, в первом полугодии этого года в России было скомпрометировано 986 млн строк персональных данных. Значение на 33,8% превысило показатель аналогичного периода 2023 г.
«Отказ от избыточного сбора сведений – это реальная возможность снизить уровень последствий от утечек, причем совершенно бесплатная. Отечественный бизнес, к сожалению, пока что этого не понимает, хотя запрос на минимальный сбор данных есть у самих россиян. Например, по данным ВЦИОМ, 52% граждан не готовы делиться персональными данными ни с кем и ни для чего: ни с государством, ни с бизнесом», – сказал Немкин.
Внесенные поправки, считает депутат, в первую очередь направлены на защиту пользователей. По словам депутата, «сейчас бизнес и граждане находятся в неравном положении – так быть не должно. Думаю, что предложения Генпрокуратуры точно нуждаются в дополнительной проработке, особенно в части полного уничтожения данных после их использования. Потенциально такой подход позволит снизить цифровой след человека к минимуму».