Персональные или не персональные: что не так со сбором данных москвичей на «удаленке»

19.10.2020

Вернуться к списку статей

С 12 октября московские компании пытаются выполнить требование мэрии и передать информацию о том, сколько сотрудников перевели на удаленку. Работодатели оказались в шоке от административных проволочек. Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ», размышляет о ситуации с точки зрения ИБ. 

– Я как человек из мира информационной безопасности в замешательстве от очередного грубого отношения к вопросу персональных данных. Три ассоциации высказались по поводу избыточности требуемых данных, мы были среди авторов этого письма. 

И мэрия, и Минцифры не затягивали с ответом по нашим претензиям. 

Мэрия стояла на том, что собирает обезличенные, а не персональные данные. То же чиновники утверждали и на специально созванном вебинаре. На нем было много прикладных вопросов, они остались без ответа: «Что делать, если нет возможности перевести 30% на удаленку», «А аутсорсеры – они удаленщики или нет?» Было похоже на то, что у мэрии самой нет ответа, и она своим молчанием по сути сообщала: «это чистая формальность, ребята!»   

Минцифры встало на сторону экспертного сообщества и с мэрией не согласилось. Раз есть номер телефона, который привязан к паспортным данным, это однозначно данные, по которым можно идентифицировать человека. А значит – персональные. 

Это значило бы, что работодатели не имеют права передавать в мэрию информацию о сотрудниках без их согласия. Но решающим аргументом было прояснение министерством, что ситуация с ковидом является особым случаем. Это исключение – указ президента Владимира Путина о предоставлении главам регионов полномочий устанавливать особый порядок передвижения ПДн.  

Что ж, не буду спорить с министерством, юридический вопрос эту формальность снимает. Но остаются другие. 

1. Компании и ИП часто просто не обладают всей требуемой информацией о сотрудниках. Ее нужно собирать, но сотрудник вправе отказать или предоставить неактуальные. У работодателя нет ни оснований, ни, главное, возможностей делать это за спиной работника или уточнять достоверность. Но многотысячный штраф в случае неисполнения требований мэрии выпишут-то не сотруднику. Наше предложение заключалось в том, чтобы работодатель предоставлял те сведения, которые у него реально есть: номера корпоративных машин, телефонов и т.д. 

2. Подавляющее большинство компаний МСБ, индивидуальные предприниматели сознательно не хранят и не обрабатывают персданные, потому что это предполагает выполнение серьезных требований регуляторов (в частности ФСТЭК). Если следовать им не формально, а реально, придется закупать программы на миллионы рублей.  

Попробовать бесплатно продукты «СёрчИнформ»

 

3. Но главное – мэрия требует слишком много данных: «Номер мобильного телефона», «Государственный регистрационный номер транспортного средства», «Номер электронной карты «Тройка», «Номер электронной карты «Стрелка», «Номер социальной карты» и «Номер месячного проездного билета без лимита».  

Последний пункт – самый главный в понимании, из-за чего весь «сыр-бор» с персданными. 

Да, закон позволяет чиновникам собирать информацию о гражданах, обрабатывать ее по государственным нуждам. Этих поводов становится все больше – данные необходимы, чтобы делать сложные, но полезные расчеты для жизни города. Но плохо, когда эти задачи решаются избыточными мерами. 

Для анализа загрузки транспорта никакие персданные не нужны. В Москве уже действует экспериментальный правовой режим, который был нужен ровно для аналитических целей. Чтобы сложные программы, которые используют в работе искусственный интеллект, получали данные о гражданах города без всякого прямого обращения к ним. Но передавать их должны службы, которые информацию аккумулируют (например, московское метро), а не работодатель, которому нужно эти данные еще собрать.   

Уверен, что решения принимались мэрией в жестком режиме дефицита времени, и просчеты неизбежны. Многое списывается и на особую ситуацию. И кто поспорит – сейчас мы живем в мире, в котором безопасность и удобство ставятся выше неприкосновенности частной жизни. Поэтому история с большой вероятностью будет повторяться опять и опять. Московская практика скорее всего задаст тренд, как это обычно бывает. Опыт транслируется в регионы, закрепится в качестве привычного – а потом кто вспомнит, что можно было иначе? Поэтому сейчас важно сделать выводы на будущее.  


Персональные данные Законодательство Алексей Парфентьев


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними