Защита персональных данных в отзывах: практические рекомендации

Какие типы персональных данных могут присутствовать в отзывах? Как обезопасить компанию и личную информацию клиентов от утечки? На что нужно обращать внимание при загрузке пользовательских данных на сервер? Разбираемся в статье.

Персональные данные: законодательство

Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). В эту информацию могут входить сведения, которые позволяют идентифицировать конкретного человека. Каждая компания, которая собирает и хранит персональные данные пользователей, является «обработчиком персональных данных» и обязана сообщать о своем статусе и характере обрабатываемых данных в Роскомнадзор. Он заносит данные в реестр и публикует эту информацию. Например, страница Aplaut выглядит так.

За соблюдением законов «О персональных данных» № 152-ФЗ следит Роскомнадзор. По требованиям Роскомнадзора каждая компания-«оператор» должна назначить ответственного за безопасность обработки и хранения личной информации пользователей. В некоторых компаниях эту роль выполняет лид-программист или технический директор. Нередко в компаниях выделяют специальную ставку под эту должность, в зависимости от объема персональных данных и сопутствующих рисков. Каждая компания-«обработчик» должна опубликовать внутри своего продукта — интернет-магазина или приложения — Политику конфиденциальности.

Анастасия Попова, юрист Runetlex
Из текста Политики должно быть ясно: где, как, для чего и кем могут использоваться персональные данные пользователя. Ссылка на Политику должна быть на каждой странице сайта, где собираются персональные данные. Обязательно должна быть прописана процедура отзыва согласия не только на обработку, но и на распространение. Если интернет-магазин позволяет оставлять отзывы любым пользователям, но в форме для отзыва нет ссылки на «Согласие на обработку персональных данных» — публиковать такие отзывы нельзя. Пользователь просто не будет понимать, что будет с его данными, когда он нажмет кнопку «оставить отзыв».

В случае утечки данных регулятор может провести внеплановую проверку и назначить штраф. Минцифры готовит законопроект, согласно которому штраф может составить до 3% от оборота компании.

Типы персональных данных в UGC

Контент, созданный пользователями (UGC), почти всегда содержит какие-либо персональные данные пользователей. Типы данных, которые можно встретить в UGC на сайтах интернет-магазинов:

Метаданные: информация о времени, локации и устройстве, на котором был создан контент.

Данные клиента: номера заказов, полное ФИО, почта, номер телефона.

Согласно DLBI и Kaspersky Digital Footprint Intelligence в первые четыре месяца 2023 г. произошло 75 утечек из российских коммерческих компаний и госорганизаций. И, конечно, речь идет прежде всего, о персональных данных. В любом фотоконтенте может хранится информация о геолокации внутри EXIF*. Если после загрузки на сервер не удалить эту информацию, она будет доступна для широкого круга пользователей. Например, вот в этом сервисе можно загрузить фото из отзыва и узнать геолокацию пользователя, потому что данные EXIF не были удалены.

В своем ежегодном исследовании Edelman выяснил, что 61% людей считают информацию, полученную от «такого же человека, как я», заслуживающей доверия. То есть указание имени, места проживания автора отзыва влияют на восприятие пользователей. Для «достоверности» интернет-магазины могут публиковать имена и фамилии своих клиентов, это очень распространенный прием. Однако, не стоит забывать, что ФИО пользователя — это его персональные данные.

Попадаются интернет-магазины, которые публикуют вместе с отзывами номера заказов, а иногда  даже личные email-адреса. Чаще всего это происходит из-за ошибки разработчиков.

Рекомендации Aplaut

С точки зрения регулятора, персональные данные могут храниться в базе таким образом, чтобы самих пользователей нельзя было идентифицировать. Но с точки зрения покупателей, которые читают отзывы, отсутствие личной информации приводит к снижению доверия: покупатель из Челябинска подсознательно больше доверяет такому же автору из Челябинска. И желательно, чтобы у него было имя. Чтобы разрешить этот парадокс, мы предлагаем следующие меры:

1. Провести псевдоанимизацию ФИО. Например, Иван Булочкин станет Иваном Б., а номер заказа ПД-46556445 станет ПД-45xxxx45.
2. Удалять метаданные о геолокации с фото при их загрузке на сервер. Например, с помощью exiftool.
3. Никогда не публиковать такие идентификаторы, как email и телефон. Следить за тем, чтобы они не публиковались по ошибке.

Особые трудности могут возникнуть у компаний, которые продолжительно хранят UGC, и при этом никак не используют его. Например, это могут быть отзывы на товары, которых уже нет в ассортименте. По закону, персональные данные из таких отзывов должны быть удалены, потому что растет риск утечки данных. Такой UGC правильнее удалять полностью или точечно анонимизировать/псевдоанимизировать персональные данные.

Анастасия Попова, юрист Runetlex
Если интернет-магазин использует облачный сервис и передает ему данные своих пользователей, например, для автоматизированной email-рассылки, то сервис будет обрабатывать данные пользователей по поручению интернет-магазина. В этом контексте интернет-магазин является оператором данных, а сервис — обработчиком данных по поручению интернет-магазина. Как только интернет-магазин достигнет цели обработки данных (например, прекратит рассылку) или как только пользователь потребует прекратить обработку, данные пользователя должны быть уничтожены без возможности восстановления.
Если интернет-магазин не выполнит эту обязанность и не потребует от сервиса ее выполнения, то ответственность будет лежать на интернет-магазине. Если же сервис по требованию интернет-магазина не уничтожит данные пользователей, то дальнейшую ответственность за их обработку и хранение будет нести сервис.

* EXIF (Exchangeable Image File Format) — это стандарт, который определяет форматы для файлов изображений, звука и дополнительных тегов, используемых цифровыми камерами (включая смартфоны) и сканерами. EXIF-данные обычно содержат информацию о параметрах съемки (такую, как дата и время съемки, локацию, модель камеры и другие параметры). Эти данные можно прочесть с помощью специальных программ.