Суть принципа защиты персональных данных

Периодически покидая фейсбучную резервацию, я с интересом наблюдаю за тем, как в течение вот уже почти двух лет подряд не утихает шум прямо и косвенно связанный с появлением коронавируса нового типа. Не далее как сегодня утром, на лестничной площадке возле своей квартиры я встретила соседку, как теперь говорят – серебряного возраста. Та, зная о моей посредственной погружённости в тему всеобщего благополучия и здоровья, натягивая привычным движением руки защитную маску с подбородка на нос, спросила меня:

— У тебя есть глобальная концепция Ковида?

Я ответила:

— Да, есть.

— Так что будет? Когда следующая волна? Когда мы вообще избавимся от этой ЗАРАЗЫ?

— Не знаю.

Моя собеседница была неприятно поражена.

Но моя глобальная концепция Ковида включает в себе квалифицированное НЕзнание. Оно — НЕзнание — есть интегральная часть моего существа, моей профессиональной осведомлённости в тех вопросах, которые обсуждаю публично. Просто я умею с этим жить, а некоторые из моих собеседников — нет.

Итак, я не знаю когда мы избавимся от ЗАРАЗЫ, из-за которой появились новые формы разделения людей по степени убеждённости в свою правоту. Иногда мне кажется, если бы не было коронавируса нового типа, то случилось бы что-то другое — нового типа. И оно также поделило бы всё общество, как теперь поделено на «ваксеров» и «антиваксеров».

Совсем недавно, когда поднялась волна обсуждений законопроекта об обязательном предъявлении QR-кода для перемещения на общественном транспорте и проникновении в другие важные места с высокой посещаемостью, к ним добавились «куарщики» (от аббревиатуры QR) и «антикуарщики».

Созерцая подобные танцы антиподов, знающие люди говорят, что нам не избежать появления ещё одной пары на этом соревновании убеждений. Кто понимает механизм сбора и хранения информации, полученной с помощью считывания QR-кода, теперь непременно спрашивает: что дальше происходит с моими персональными данными, после того, как я их предъявил (-ла) при входе, например, в автобус, торговый центр или офис компании с абстрактным названием «РомашкаТрансГаз»? Здесь есть повод задуматься всерьёз и надолго, т.к. российские законодательные новации пока не дают надежды на воплощение принципа сбора персональных данных в его сути.

Замечательный пример из серии «Как это у них» произошёл в Бельгии в 2019 году. (дело Cass. 7 October 2021, Data Protection Authority v. Verreydt bv, C.20.0323.N.) Поводом для разбирательства стала жалоба клиента одной из компаний в бельгийский орган по защите данных. Как следовало из жалобы, компания установила правило, что для получения скидок и карт лояльности нужно предоставить электронные удостоверения личности (ID). Иных возможностей, предоставить персональные данные, например, на бумаге, не было.

Орган по защите данных посчитал, что данные правила нарушают GDPR, а именно принцип минимизации данных. Суть принципа – сбор данных должен ограничиваться только тем объемом, который необходим для достижения целей обработки. Нижестоящий суд указал, что фактической обработки данных этого клиента не было, так как электронное удостоверение личности не было предоставлено. Как следствие, нельзя констатировать наличие нарушения.

Высший Суд Бельгии не согласился с этим выводом и указал, что согласно GDPR наложение штрафа возможно и тогда, когда оператор понуждает своих клиентов предоставить персональные данные для обработки, если такая обработка не соответствует требованиям GDPR (в том числе принципа минимизации). Интересующиеся могут ознакомиться с этой историей на английском языке по ссылке или прочесть решение суда на бельгийском.

Вы спросите, а как у нас? Напомню, в отечественном законодательстве содержится похожий, принцип обработки персональных данных, упомянутый в ч.2 ст.5 №152-ФЗ. Любопытно, что в российской судебной практике навязывание договорных условий, связанных с предоставлением персональных данных («не предоставишь данные / согласие – не получишь услугу»), может решаться в том числе и через законодательство о защите прав потребителей. Это позволяет российским контрольно-надзорным органам применять штрафы за навязывание потребителям условий об обработке данных (ч.2. ст. 14.8. КоАП). Теоретически для квалификации правонарушения самого факта навязывания достаточно. Но не штраф является самым важным в моём повествовании про «персональщиков» и «антиперсональщиков».

Мы с вами уже знаем про суть принципа о персональных данных, которому следуют в той же Бельгии – сбор данных должен ограничиваться только тем объёмом, который необходим для достижения целей обработки. Но какой водитель автобуса или трамвая в России, или охранник на входе в компанию с абстрактным названием «РомашкаТрансНефть», считывая мой QR-код, будет брать только ту информацию, которая касается наличия вакцинации? Готов ли он будет поклясться, что все остальные данные обо мне, содержащиеся в личном кабинете на Госуслугах под семью государственными замками и теперь встроенные в цифровую картинку кода его нисколечко не интересуют и он никому их не передаст с целью получения выгоды? Правильный ответ: никакой.

Вариантов использования чужих личных данный множество. Вот только один поучительный пример, который произошёл с главой соцсети Instagram Адамом Моссери. Один шаловливый пользователь сети решил заживо его «похоронить». Он сумел убедить администраторов соцсети в смерти их топ-менеджера, отправив ссылку на фальшивый некролог, после чего в аккаунте Адама Моссери появился баннер «Светлая память», ему присвоили памятный статус и он был заблокирован. Об этом пишет Motherboard.

Издание Motherboard не раскрывает имени мошенника — инициатора блокировки, скрывающегося под ником Syenrai. Он рассказал журналистам, что воспользовался функцией установки памятного статуса на аккаунт Адама Моссери. Она позволяет заблокировать профиль умершего человека, после чего на странице появляется баннер «Светлая память». Зайти в такую учетную запись становится невозможно даже с правильным паролем, также не получится отредактировать там какой-либо контент или информацию.

Отметим, что для одобрения заявки администраторы Instagram обычно запрашивают свидетельство о смерти, ссылку на некролог или новость о смерти пользователя. Syenrai отправил им ссылку на фальшивый некролог, который сам же и создал, имея необходимую информацию.

Представители Instagram подтвердили временную блокировку аккаунта Моссери в сентябре и добавили, что проблема была быстро решена. Однако, по словам мошенника, другие жертвы злоумышленников — с не такими популярными и верифицированными аккаунтами — не могут так же быстро разблокировать свои профили.

Живущие на поверхности интернета часто не подозревают, что у него есть и другая – тёмная сторона. Куарщикам и персональщикам всегда есть чему поучиться, а такие как Syenrai нуждаются в «вакцинах» особого свойства и специальном внимании законодательства.

© 2021 Елистратова Вероника On-line // Техподдержка: Elistratova.com