Персональные или не персональные?

Персональные или не персональные?
Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»
С 12 октября московские компании пытаются выполнить требование мэрии и передать информацию о том, сколько сотрудников перевели на удаленку. Работодатели оказались в шоке от административных проволочек. Я как человек из мира информационной безопасности – от очередного грубого отношения к вопросу персональных данных. Три ассоциации высказались по поводу избыточности требуемых данных, мы были среди авторов этого письма.

И мэрия, и Минцифры не затягивали с ответом по нашим претензиям.

Мэрия стояла на том, что собирает обезличенные, а не персональные данные. То же чиновники утверждали и на специально созванном вебинаре. На нем было много прикладных вопросов, они остались без ответа: «Что делать, если нет возможности перевести 30% на удаленку», «А аутсорсеры – они удаленщики или нет?» Было похоже на то, что у мэрии самой нет ответа, и она своим молчанием по сути сообщала: «это чистая формальность, ребята!»

Минцифры встало на сторону экспертного сообщества и с мэрией не согласилось. Раз есть номер телефона, который привязан к паспортным данным, это однозначно данные, по которым можно идентифицировать человека. А значит – персональные.

Это значило бы, что работодатели не имеют право передавать в мэрию информацию о сотрудниках без их согласия. Но решающим аргументом было прояснение министерством, что ситуация с ковидом является особым случаем. Это исключение – указ президента Владимира Путина о предоставлении главам регионов полномочий устанавливать особый порядок передвижения ПДн.
Что ж, не буду спорить с министерством, юридический вопрос эту формальность снимает. Но остаются другие.
  • Компании и ИП часто просто не обладают всей требуемой информацией о сотрудниках. Ее нужно собирать, но сотрудник вправе отказать или предоставить неактуальные. У работодателя нет ни оснований, ни, главное, возможностей делать это за спиной работника или уточнять достоверность. Но многотысячный штраф в случае неисполнения требований мэрии выпишут-то не сотруднику. Наше предложение заключалось в том, чтобы работодатель предоставлял те сведения, которые у него реально есть: номера корпоративных машин, телефонов и т.д.
  • Подавляющее большинство компаний МСБ, индивидуальные предприниматели сознательно не хранят и не обрабатывают персданные, потому что это предполагает выполнение серьезных требований регуляторов (в частности ФСТЭК). Если следовать им не формально, а реально, придется закупать программы на миллионы рублей.
  • Но главное – мэрия требует слишком много данных: «Номер мобильного телефона», «Государственный регистрационный номер транспортного средства», «Номер электронной карты «Тройка», «Номер электронной карты «Стрелка», «Номер социальной карты» и «Номер месячного проездного билета без лимита».
Последний пункт – самый главный в понимании, из-за чего весь «сыр-бор» с персданными.
Да, закон позволяет чиновникам собирать информацию о гражданах, обрабатывать их по государственным нуждам. Этих поводов становится все больше – данные необходимы, чтобы делать сложные, но полезные расчеты для жизни города. Но плохо, когда эти задачи решаются избыточными мерами.

Для анализа загрузки транспорта никакие персданные не нужны. В Москве уже действует экспериментальный правовой режим, который был нужен ровно для аналитических целей. Чтобы сложные программы, которые используют в работе искусственный интеллект, получали данные о гражданах города без всякого прямого обращения к ним. Но передавать их должны службы, которые информацию аккумулируют (например, московское метро), а не работодатель, которому нужно эти данные еще собрать.

Уверен, что решения принимались мэрией в жестком режиме дефицита времени, и просчеты неизбежны. Многое списывается и на особую ситуацию. И кто поспорит – сейчас мы живем в мире, в котором безопасность и удобство ставятся выше неприкосновенности частной жизни. Поэтому история с большой вероятностью будет повторяться опять и опять. Московская практика скорее всего задаст тренд, как это обычно бывает. Опыт транслируется в регионы, закрепится в качестве привычного – а потом кто вспомнит, что можно было иначе? Поэтому сейчас важно сделать выводы на будущее.
персональные данные информационная безопасность коронавирус коронавирусная эпидемия
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.