Ответственность компаний за утечки персональных данных стала важным этапом в развитии цифровой безопасности в России. Как изменилось отношение бизнеса к защите данных, с какими вызовами сталкиваются крупные платформы и как научить пользователей бережно относиться к персональным данным, рассказала в Открытой студии РАПСИ руководитель практики правовой поддержки защиты данных «Авито» Марина Юфа.


— Как вы оцениваете введение ответственности для компаний за утечки персональных данных? Как Вы оцениваете опыт, который прошел с того момента, как эта ответственность появилась?

— Спасибо за вопрос. Для нас, как для крупной компании, введение ответственности — это логичный шаг. Мы к нему были готовы, потому что вопрос персональных данных для нас — это прежде всего вопрос репутационных рисков как у крупного бренда, который обрабатывает данные многомиллионной аудитории. Это был важный вопрос, и он не был только регуляторным. Сейчас за этим репутационным временем подтянулась юридическая ответственность. Это логичный шаг, надо это принять и под эти реалии подстраиваться.

— Современный мир устроен таким образом, что введение этой ответственности было так или иначе неизбежным. Очень многие ученые, люди, которые работают с персональными данными, говорили, что это необходимо, потому что отсутствие этой ответственности было воспринято обществом как что-то несправедливое. Как Вы считаете, в целом по рынку это изменило отношение бизнеса к данным пользователей?

— Я думаю, да. Это, конечно, большой стимул для малого и среднего бизнеса. Дальше крупный бизнес будет еще более дисциплинированным. Мы можем это увидеть даже по рынку кадров. Например, я юрист, но вообще я еще представитель новой профессии, которую мы называем privacy officer. То есть это ответственность за организацию работы с персональными данными. И эта новая профессия стремительно развивается. Мы видим, что в контексте ужесточения ответственности все больше компаний начали нанимать таких специалистов, которые, собственно, будут привносить высокие стандарты защиты данных. Это вот такой объективный, кадровый, рыночный показатель.

— А по ощущениям регуляторы не слишком упорствуют или все работает так, как и задумывалось?

— У меня нет такого ощущения. Я думаю, что регулятор тоже развивается. Я занимаюсь этой сферой и работаю уже давно — с окончания университета. И я вот вижу эту эволюцию: то, что регулятор у нас сейчас говорит о том, что это неформальный комплаенс, что согласие — это не единственное, что требуется от юриста и от компании, чтобы наладить правильную работу. Тут наблюдается некая эволюция в сторону небумажного комплаенса. Поэтому мне кажется, что здесь мы идем в правильном направлении.

— Это же игра, в которую играют двое. То есть, с одной стороны — это компании и корпорации, которые обрабатывают персональные данные, с другой стороны — пользователь, который тоже должен меняться с точки зрения того, что персональные данные сейчас — это большая ценность. Как «Авито» относится к этой ценности, и что вы делаете для того, чтобы научить, подбодрить или, может быть, как-то подтолкнуть пользователя к более бережному отношению к своим данным?

— Очень мне нравится ваша мысль, мы ее полностью разделяем и в общем хотим знать, что думает пользователь. Мы провели такое исследование провели. Мы не фокусировались на своих пользователях, а фокусировались на общей аудитории наших сограждан и спросили их, как они понимают персональные данные, что ожидают от оператора. Изучить их ожидания, их понимание было очень интересно. 

Нас иногда упрекают, что юристы считают, что персональные данные — слишком широкое понятие. Это правда. И субъекты с нами на «одной волне». И субъекты действительно ожидают, что мы будем защищать их данные. Часто можно от противников приватности услышать мнение, что в цифровых реалиях приватность — это иллюзия и зачем об этом думать. Приятно осознавать, что люди так не думают. И есть наименьший процент людей, которые не переживают по поводу защиты их данных.

— То есть можно сказать, что современный российский пользователь «Авито» — это человек, который ответственно подходит к своим данным?

— С абсолютно сформированными ожиданиями. Не только «Авито», а в целом такая «средняя температура по больнице». Сформированные ожидания относительно того, что данные — это ценность, все данные ценны и их надо защищать по высочайшим стандартам. Поэтому мне, как эксперту по приватности, отрадно это слышать.

— Количество выставленных галочек на сайте не отпугивает людей? Или люди уже считают это некой формальностью либо данностью, которую в современном мире не избежать — то, что ты постоянно подписываешь новое уведомление, когда приложение обновляется, например?

— На самом деле, это большая проблема, потому что, с одной стороны, может быть, кого-то это раздражает. Но есть понимание, что это то, с чем нам надо работать. Мы об этом тоже говорили, что все-таки эти формальные согласия, бумажки с мелким текстом — это то, от чего нам надо уходить. С одной стороны, у нас, к сожалению, согласие сейчас в наших реалиях — это тот самый показатель, артефакт, что все хорошо, что все compliant. Это не так. Нам нужно отходить от принципов бумажного комплаенса.

У пользователей сформулированы тоже такие ожидания, что, если вдруг у меня запрашивают данные, значит, должно быть согласие. Если согласия нет, значит, что-то пошло не так. Поэтому это то, с чем нам надо работать, и работать с ожиданиями субъектов, и работать в экспертном сообществе, потому что к разным процессам применимы где-то согласия, а где-то согласие, наоборот, недопустимо. Это очень тяжелый, кропотливый, юридический анализ. От лишних согласий надо отказываться. Но там, где нет согласия, там все равно будет какая-то прозрачность, будет уведомление. Желательно, конечно, пропагандировать принцип простого и понятного языка. Это тоже то, чем мы в этом году особенно хотим заниматься.

— А как Вы это будете делать? Существует юридическая концепция о том, что нужно писать все максимально понятным языком, переходить к юридическому минимализму, будь то иски, будь то согласия, будь то информация о правах пользователей. Как это на практике реализуется? Это вообще уместно, это положительно действует на пользователя или нет?

— Мне кажется, это действует, потому что пользователи это всё читают, толкуют по-своему. И вот эта коммуникационная проблема — она очень важна. Есть такая шутка, что самая большая ложь в этом мире — «я прочитал и ознакомился с политикой конфиденциальности». Клиенты, пользователи вчитываются в эти документы. Например, к нам пришло письмо с темой письма «Отзыв согласия на обработку данных», но в теле письма было написано одно слово — «согласен». То есть, на самом деле, тяжело иногда общаться с клиентами, надо прояснять их реальные намерения. Эра канцеляритов в юридических документах, она уже уходит.

— Спасибо, что Вы пришли к нам в студию. До новых встреч.