Персональные данные: типичные нарушения бизнеса в 2024 году

Ответственные лица без реальных полномочий и ресурсов, недоработки в связке «оператор – уполномоченное лицо» и коварные cookie-файлы: «ЭГ» изучила, какие нарушения чаще всего выявлял Национальный центр защиты персональных данных по итогам проверок в 2024 г.

О типичных нарушениях субъектов хозяйствования при обработке персональных данных НЦЗПД рассказал в отчете о своей деятельности за 2024 год. Центр констатирует, что в целом характер выявлявшихся в прошлом году нарушений по сравнению с предыдущими периодами не изменился существенно. Организации, выступающие операторами персональных данных (ПД), по-прежнему нередко:

• формально подходят к реализации обязательных мер по обеспечению защиты ПД;

• обрабатывают ПД без наличия правовых оснований;

• нарушают требования о получении согласия граждан на обработку ПД, содержащиеся в ст. 5 Закона от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон).

По итогам проверок, проведенных в 2024 г., НЦЗПД акцентировал внимание на нескольких нарушениях, вызывающих у него наибольшую обеспокоенность.

Отсутствие ресурсов и полномочий у ответственного

Центр отмечает, что сотрудник или структурное подразделение, формально назначенные ответственным за внутренний контроль обработки персональных данных, нередко лишены возможности выполнять свою функцию эффективно. Причин несколько:

• ответственный не подчиняется напрямую руководителю (либо его заму в крупных компаниях), что вынуждает его согласовывать вырабатываемые им решения с внутрикорпоративной «вертикалью» и порой приводит к конфликту интересов;

• такому лицу не выделяется достаточно временных и организационных ресурсов, необходимых для построения эффективной системы мер по обеспечению защиты ПД у оператора. Не секрет, что во многих организациях ответственные за осуществление внутреннего контроля за обработкой ПД совмещают эту функцию с другой – основной для них;

• не всегда ответственный привлекается для оценки внедряемых оператором новых бизнес-процессов на предмет соответствия их требованиям законодательства о ПД. В последующем это порождает дополнительные затраты на доработку таких процессов.

Отношения с уполномоченным лицом: доверяй, но проверяй

Второй момент, на который обращает внимание НЦЗПД, – формальный подход при выстраивании оператором отношений с уполномоченным лицом, которое на основании договора осуществляет обработку ПД от имени оператора или в его интересах. Такую роль, например, могут выполнять контрагенты, которые оказывают техподдержку используемых оператором информационных систем, содержащих ПД.

При проведении почти каждой плановой и внеплановой проверки в 2024 г. Центр обнаруживал, что оператор поручал обработку ПД уполномоченным лицам без оценки того, принимаются ли последними правовые, организационные и технические меры по защите персональных данных, необходимые согласно Закону.

НЦЗПД напоминает: в силу нормы п. 3 ст. 7 Закона ответственность перед субъектом персональных данных за действия уполномоченного лица несет оператор. Иными словами, если утечка данных произойдет по вине уполномоченного, отвечать придется оператору.

К слову, самая крупная утечка в 2024 г. затронула 980 тыс. человек. Она была допущена ООО «Онлайн Маршрутки» (сервис atlasbus.by). Свыше 300 тыс. строк с персональными данными «утекло» из интернет-магазина belbazar24.by (ЧТУП «Модный магазин»).

Сookie-файлы: невидимые, но опасные

В 2024 г. Центр много внимания уделил соблюдению законодательства о персональных данных при обработке интернет-ресурсами cookie-файлов, предназначенных для отслеживания действий пользователей.

Госорган не ставит под сомнение полезность cookie-файлов как инструмента, позволяющего вести аналитику, собирать статистику, персонализировать рекламу и иной предлагаемый пользователю контент. Однако в НЦЗПД подчеркивают: обработка ПД с помощью таких файлов чревата потенциальными рисками для граждан, обусловленными в т.ч. ее непрозрачностью – пользователи чаще всего не в курсе, какие именно данные и с какой целью собираются, у кого есть к ним доступ и как долго они хранятся.

Сбор необязательных сookie-файлов без получения согласия пользователя является вмешательством в частную жизнь и нарушает Закон. Более того, нарушением являются и недобросовестные практики ряда операторов, которые идут на различные ухищрения для получения согласия граждан, полагаясь на их невнимательность либо нежелание вникать в суть всплывающих баннеров и тратить время на изучение политики сookie.

По итогам контрольных мероприятий, проведенных в 2024 г. в отношении более 300 сайтов, Центр составил список типичных нарушений законодательства о персональных данных при обработке необязательных сookie-файлов:

• пользователя вообще не информируют о сборе сookie-файлов либо информируют без возможности отказаться от их сбора (баннер содержит только кнопку «Согласен» или аналогичную);

• сookie-баннер содержит кнопки согласия или отказа от сбора сookie-файлов, но такие файлы уже собираются до совершения выбора либо продолжают обрабатываться независимо от него. Особенно недобросовестной НЦЗПД называет практику, когда при отказе отключаются лишь отдельные сookie-файлы, например рекламные, но у пользователя появляется иллюзия приватности действий на этом сайте;

• доступ к контенту сайта невозможен без совершения выбора относительно сбора сookie-файлов, что нарушает принцип свободы волеизъявления при даче согласия;

• отсутствует политика сookie, т.е. описание целей сбора, срока хранения таких файлов, привлекаемых уполномоченных лиц, что не отвечает критерию дачи информированного согласия;

• сookie-файлы обрабатываются для достижения различных целей (рекламных, аналитических, статистических), но у пользователя нет возможности выбрать категорию, это нарушает принцип «одна цель – одно согласие»;

• невозможно отозвать согласие на обработку сookie-файлов либо механизм отказа намеренно усложнен. Например, для выражения согласия нужен один клик, а для отказа – несколько шагов в последовательно всплывающих окнах, либо кнопка отказа от обработки трудноразличима, либо ее нахождение интуитивно непонятно для пользователя;

• пользователя «пугают» неблагоприятными последствиями в случае отказа, в частности, тем, что ключевые функции интернет-ресурса станут для него недоступны, хотя они не зависят от обработки сookie. Между тем допустимым является лишь указание на невозможность персонализации предложений, недоступность «Яндекс Карт» и т.п.

Таким образом, Центр призывает владельцев интернет-ресурсов четко выполнять требования Закона к обработке персональных данных и получению согласия пользователя на это и не идти на различные хитрости, чтобы собирать необязательные cookie-файлы для достижения желаемых целей.

Кроме того, госорган указывает на возможность проведения добровольного аудита соблюдения законодательства о ПД. Такая опция особенно актуальна для операторов, обрабатывающих большой массив данных, в 2024 г. ею воспользовались 7 компаний.