Фотографии на документы, имена и фамилии, личные коды, номера телефонов, адреса электронной почты, пароли учетных записей в интернет-магазинах, домашние адреса, данные о покупках, данные, связанные с компенсациями и социальными льготами, конфиденциальные данные о здоровье - все это составляет довольно приличный список конфиденциальных данных о человеке.

Однако, если спросить, каков общий знаменатель этого списка, то реальность окажется суровой и пугающей. В упомянутом списке представлен лишь частичный обзор данных, которые за последние годы попали в руки посторонних лиц из эстонских учреждений и поставщиков услуг. Это определенно неприятно осознавать. Остается надеяться, что это заставит задаться вопросом, кто и что может сделать для того, чтобы злоупотребление персональными данными не стало нормой.

Мы сами должны быть более требовательными к услугам

Как гласит известное клише, любые изменения начинаются с нас. Поэтому первым и самым важным шагом является то, что нам как потребителям и пользователям услуг необходимо изменить свое отношение к персональным данным.

Ведь у нас принято бережно относиться к дорогим нам ценным вещам, а не оставлять их лежать на скамейке в парке или отдавать их на хранение любому прохожему. Точно так же мы должны начать ценить свои персональные данные. Нам необходимо понимать, что персональные данные - это ценный ресурс, актив и часть нашей личности.

С другой стороны, нам, как обычным клиентам и пользователям услуг, зачастую практически невозможно понять, является ли безопасным тот или иной поставщик услуг вместе со своим персоналом, процессами и информационными системами.

Иногда (в случае с услугами государственного сектора) у нас действительно нет выбора. Но порой мы сами не уделяем этому должного внимания или надеемся на безопасность поставщика услуг, опираясь на его многолетнюю деятельность и большой объем оказанных услуг. Здесь, с одной стороны, помогает умение замечать так называемые типичные тревожные звоночки, которые зачастую указывают именно на то, что у компании не все в порядке с элементарной защитой данных и цифровой гигиеной.

Одним из тревожных звонков можно считать, например, сбор избыточных персональных данных. Например, задумывались ли вы когда-нибудь, почему при заказе в интернет-магазине обязательно нужно указывать свой домашний адрес? Еще одним примером тревожного звонка можно считать высокомерное отношение поставщика услуг в случае задавания вопросов о защите данных.

Задавание вопросов должно быть нормой в сфере защиты данных. В случае неясностей или сомнений клиент не должен попадать в лапы самоцензуры, а наоборот, вполне допустимо спросить, откуда поставщик услуг получил контактные данные клиента, где и как эти данные хранятся, и что с ними происходит после окончания отношений с клиентом. Клиент, задающий законные вопросы, - это не раздражающая аномалия, а ценный партнер, делающий осознанный выбор.

Защита данных не является второстепенной темой

Говоря о последствиях пробелов в области защиты данных, разговор часто сразу переходит к теме так называемых гигантских штрафов GDPR. В СМИ широко освещались штрафы, потенциально достигающие миллионов евро, и тот факт, что они не были наложены в значительной степени в Эстонии (а также потенциальное неизбежное изменение этой тенденции).

Независимо от текущих и будущих штрафов, а также их размеров, утечки данных всегда оказывают влияние на конкурентоспособность и репутацию поставщика услуг. Это может обернуться штрафов и привести к потере доверия клиентов. Доверие, как известно, является дорогостоящей валютой, и в контексте затрат и выгод его также можно легко преобразовать в денежные цифры, которые отражают, например, потенциально неполученный доход.

В то же время важно понимать, что в современной технологической реальности не каждая утечка данных обязательно является результатом неосторожности или бездействия.

Если обработчик данных ознакомился с требованиями, разумным образом реализовал меры безопасности и выбрал в качестве ИТ-партнеров надежных и авторитетных поставщиков услуг, то наказание за утечку данных не должно быть таким же, как в случае с наличием существенных недостатков.

Была ли это неосторожность или разумно управляемый риск, и отнесутся ли клиенты, ставшие жертвами утечки данных, к этому с пониманием, в каждом конкретном случае покажет время.

Однако стоит подчеркнуть, что любая организация должна серьезно рассмотреть возможность назначения ответственного за защиту данных (или привлечения аутсорсеров). Нет никаких сомнений в том, что наем специалиста по защите данных, как и любого другого сотрудника, влечет за собой определенные затраты, но в то же время специалист по защите данных проводит внутренний мониторинг и зачастую помогает выявить важные риски и управлять ими еще до того, как они реализуются.

Фокус мониторинга должен быть сосредоточен на основных болевых точках

Говоря о серьезности требований к защите данных, стоит отметить, что важную роль здесь играет поведение Инспекции по защите данных, как в контексте мониторинга рынка, так и в контексте реагирования на инциденты. При этом нельзя упускать из виду тот факт, что, как и у любого надзорного органа, ресурсы Инспекции по защите данных ограничены, а поле деятельности широкое.

Поскольку Инспекция по защите данных не может быть одновременно везде и всегда, то на практике неизбежно возникает вопрос о том, что является болевыми точками, на которые в определенный период следует направить основное внимание надзорного органа.

Инциденты, которые в последние годы пересекли порог СМИ, показывают, что коренными причинами утечек данных в основном являются подход к сотрудничеству с ИТ-партнерами и привлечение сторонних квалифицированных специалистов (аутсорсинг). Именно в этой области деятельность надзорных органов имела бы больший эффект. В то же время важным также является постоянное сотрудничество между Инспекцией по защите данных и Департаментом государственной инфосистемы.