С каждым годом компании собирают все больше информации о своих пользователях, часто превышая необходимый объем для выполнения своих функций. Такой сбор персональных данных не только нарушает частную жизнь пользователей, но и создает серьезные угрозы для информационной безопасности.
Давайте рассмотрим, как избыточный сбор персональных данных может повлиять на безопасность и какие меры можно предпринять для минимизации этого риска.
На первый взгляд, сбор большего объема информации может показаться полезным и даже необходимым для эффективного функционирования бизнеса.
Многие компании, стремясь получить максимум информации о своих клиентах и пользователях, не всегда осознают, что этот процесс может перерастать в избыточный сбор данных. Однако, в реальности такой подход может иметь серьезные негативные последствия как для самих компаний, так и для их клиентов.
В статье мы рассмотрим, что представляет собой избыточный сбор данных, какие угрозы он несет и каким образом его можно предотвратить для обеспечения безопасности как компаний, так и их клиентов.
Избыточный сбор данных – это процесс, при котором собирается больше информации, чем необходимо для выполнения определенной задачи. Это приводит к ненужному накоплению данных.
Например, в соответствии с законодательством, медицинские учреждения имеют право на сбор информации о состоянии здоровья пациентов, в то время как для других типов компаний такое требование было бы избыточным. Или информация о сотрудниках, такая как паспортные данные, документы об образовании и трудовая книжка, является общей для различных организаций. Тем не менее, существуют специфические требования, такие как обязательные медосмотры или предоставление справок об отсутствии судимости, которые могут различаться в зависимости от вида деятельности компании.
Создание избыточных баз персональных данных для обработки и их последующее использование в маркетинговых целях увеличивает риски утечек конфиденциальной информации, усложняет процесс обработки и хранения данных, а также нарушает законодательство о защите персональных данных.
Одним из путей решения проблемы избыточности сбора данных является сокращение объема собираемой информации и отказ от хранения неактуальных данных.
Например, в Минцифре разработана внутренняя стратегия, направленная на уменьшение сбора персональных данных. Одной из основных задач этой стратегии является полное прекращение хранения чувствительных данных, с переходом к их загрузке в момент проведения трансакции.
Однако, в отличие от государственного сектора, бизнесу намного сложнее реализовать подобные изменения. Накопленные данные представляют собой ключевое конкурентное преимущество для компаний, используемое для прогнозирования спроса и функционирования рекомендательных алгоритмов в цифровых сервисах и маркетплейсах. В настоящее время компании могут лишь уменьшить дублирование данных и хранить только одну копию информации о клиенте, вместо десяти. Радикальная перестройка стратегии хранения данных для бизнеса представляет собой сложную задачу, поскольку конкуренция остается актуальной и важной для него.
Для сокращения случаев необоснованного сбора и обработки личных данных необходимо придерживаться законодательных требований, касающихся принципов обработки. Это включает в себя четкое определение целей сбора данных и сбор только необходимой информации, соответствующей данным целям.
Каким образом можно минимизировать объем собираемых данных и определить оптимальное количество для сбора информации?
- Необходимо установить какие данные минимально необходимы для достижения конкретной цели.
- Определить, без каких данных невозможно обойтись и почему.
- Выяснить, какие требования предъявляются к сбору информации в соответствии с применимым законодательством. Это может быть требование закона, полученное согласие, заключенный договор или другие применимые нормы.
- Установить ограничения по сроку хранения персональных данных: сроки должны соответствовать целям обработки.
- Когда цели обработки данных достигнуты или когда уже нет необходимости в их использовании, то нужно уничтожить или обезличить данные.
Здесь также необходимо придерживаться как требований закона, так и целей обработки данных. Например, законодательно установленных правил хранения личных данных уволенных работников в течение определенного срока, и в случае достижения целей обработки данных и отсутствия необходимости их дальнейшего использования и хранения, принимать меры по их уничтожению.
Четкое определение и закрепление целей и объемов обработки персональных данных в локальных документах, таких как Политика, Положение об обработке персональных данных сотрудников, Правила обработки, Перечни обрабатываемых данных, Реестры процессов и прочих, является необходимым для предотвращения обработки излишних данных.
В Согласии должны описываться данные не больше, чем в Политике и Уведомлении в РКН. Если мы объединяем сбор данных по сотрудникам и клиентам для одной цели, это может привести к избыточности в отношении клиентов.
Разработка пакета документов с помощью сервиса 152DOC, с учетом требования об определении для каждой цели необходимой информации, повысит эффективность управления данными и поможет избежать избыточности.
Например, часто при регистрации на различные мероприятия происходит избыточный сбор данных. В форме регистрации могут запрашиваться ФИО, телефон, почта, место работы и город проживания, тогда как в документе согласие на сбор данных, приложенном к форме, указаны лишь ФИО, телефон и почта. Так появляется избыточный сбор. Поэтому при сборе данных всегда ориентируйтесь на ваши локальные нормативные акты, чтобы избежать излишнего объема информации.
Не ограничивайтесь лишь формальным подходом при разработке локальных актов в организации. Все нормы, прописанные в них, должны быть выполнимы на практике. При ведении деятельности, подаче уведомлений в Роскомнадзор или разработке согласий на обработку персональных данных, необходимо руководствоваться положениями этих документов. Необходимо собирать информацию в строго определенных объемах согласно установленным в ЛНА требованиям, и при этом внимательно следить за отсутствием противоречий в процессе сбора данных. Предложение о снижении объема собираемых данных и отказе от хранения неактуальной информации может иметь большое значение для обеспечения безопасности. Постепенный переход к такому подходу может помочь организациям лучше защитить данные своих клиентов и сократить возможные потери в случае нарушений безопасности.