Журнал "Системы Безопасности" № 1‘2020

Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я : A I , У М Н Ы Й Г О Р О Д , I o T 62 (NOYB, в переводе с английского "Не твое дело"). Подробнее об этом проекте чуть-чуть дальше. Скрытое противостояние нарушителям (и здесь в полной мере мы видим нарушение требований по защите конфиденциальной информации в организациях) заключается в поиске и подкупе источников внутри органи- зации – потенциального нарушителя GDPR, которые добудут и предоставят необходи- мые в качестве доказательства материалы по формату/запросу активистов или представи- телей регуляторов. При реализации подоб- ных сценариев подтвержденные действия инсайдеров фактически являются нарушени- ем внутренних политик конфиденциальности компании и могут повлечь за собой юриди- ческие последствия, вплоть до судебного преследования. К примеру, в списке выше топ-5 штрафов за нарушение GDPR в 2019 г. в позиции № 4 упоминается прецедент с австрийской поч- товой компанией O .. sterreichische Post AG. В октябре 2019 г. австрийская коммерческая компания Austrian Post получила штраф за нарушение GDPR в части несанкциониро- ванного профилирования своих клиентов. Сотрудники почты много лет создавали в автоматизированной системе класса CRM профили своих клиентов, содержащие ФИО, информацию об адресах, личных предпочтениях в печатных изданиях, в том числе комментарии по политической при- надлежности клиентов. Суммарно база содержала более 3 млн записей по клиен- там. Затем эти данные были проанализиро- ваны и в определенный момент проданы почтой в различные политические партии Австрии и коммерческим компаниям. Ука- занные действия Austrian Post были класси- фицированы австрийским регулятором как нарушение ст. 5 и 6 GDPR. Интересен тот факт, что первичную информацию о наруше- нии GDPR, которая легла в основу расследо- вания, регулятор получил из анонимного источника, близкого к Osterreichische Post AG, в разгар очередной политической битвы в Австрии. Принципы работы GDPR-активистов Разберем отдельные активности GDPR-терро- ристов на примере некоммерческой органи- зации NOYB. Официально зарегистрирован- ные в Австрии как юридическое лицо ID#1354838270, они ни от кого не скрывают- ся. Информация о NOYB доступна на сайте местного регистратора http://zvr.bmi.gv.at/. Основываясь на материалах сайта https://noyb.eu, можно самостоятельно сде- лать вывод о схеме работы и основных прин- ципах, лежащих в основе деятельности подобных организаций. Хештеги, звучащие как лозунги на демонстрациях, недвусмыс- ленно дают понять, чем руководствуются GDPR-активисты в своей деятельности. #MakePrivacyReal Воплотим в реальности требова- ния европейского законодатель- ства по защите персональных данных #StrategicandEffectiveEnforce- ment Добьемся эффективного право- применения к нарушителям GDPR #CollaborativeEffort Совместно с другими группами активистов достигнем синергети- ческого эффекта в борьбе #CrucialMoment С принятием GDPR в ЕС наступил переломный момент, наступила эра конфиденциальности #ExperiencedTeam&Members Представляем собой опытную команду экспертов-единомыш- ленников с компетенциями в раз- личных областях #FocusonCommercialPrivacy Сфокусируем свою деятельность на нарушениях конфиденциаль- ности крупными корпорациями #EuropeanScopeGlobalImpact Правоприменение GDPR в ЕС в конечном итоге повысит уровень конфиденциальности персональ- ных данных во всем мире #SupportingBusiness Поддержим европейские компа- нии, которые готовы, хотят и соблюдают GDPR, защитим их от недобросовестной конкурен- ции со стороны крупных корпо- раций – нарушителей GDPR #InvestInPrivacy Готовы к сотрудничеству с людь- ми, которые ценят право непри- косновенности своих персональ- ных данных, своей частной жизни и собственного выбора Таким образом, не только европейские компании сталкиваются с деятельностью GDPR-активистов. Экстерриториальность GDPR открывает перед желающими возможность воздействовать прямо или косвенно практически на любую компанию, в деятельности которой на территории ЕС GDPR- активисты усмотрели нарушения своих прав. А как с GDPR-активистами в России? По состоянию на февраль 2020 г. автору неизвестно о существовании/регистрации в российском юридическом пространстве организаций, подобных по своей сути и направлению деятельности проекту NOYB. Возможно, что они уже кем-то соз- даны, но пока не вышли на такой уровень публичности, чтобы открыто заявить о своих успехах в борьбе с нарушителями GDPR в России. Начиная с 2018 г. в открытых источниках и СМИ достаточно регулярно появляются ком- ментарии и публикации на тему присутствую- щих в деятельности крупных российских ком- паний нарушений отдельных статей GDPR. В 2018 г. ВКонтакте (ВК) столкнулся с пробле- мой, связанной с политикой конфиденциаль- ности: белорусский активист Кристиан Шин- кевич, постоянно проживающий на террито- рии Польши, официально и публично со ссыл- кой на нормы GDPR запросил у российского проекта ВК предоставить ему все касающиеся его персональные данные, которые он ранее разместил на своей странице или страницах своих друзей в ВК. ВК недостаточно детально, по мнению активиста, удовлетворил данное требование, предоставив не всю информа- цию. В то же время ВК нашел причину, чтобы приостановить доступ активиста к его ВК-стра- нице. Полученный от ВК ответ лег в основу статей и публикаций в Интернет, вызвал мно- жество споров и побочных ветвей для обсуж- дения. Но отсутствие реальных прецедентов из пра- возащитной практики GDPR-террористов в России ни в коем разе не подтверждает пассивность отечественных активистов в вопросах соблюдения конфиденциальности персональных данных. Федеральные законы, такие как 152-ФЗ, и подзаконные акты пре- доставляют широкое юридическое поле для деятельности. К примеру, 13 февраля 2020 г. мировой судья судебного участка № 374 Таганского района г. Москвы, рассмотрев на открытом судебном заседании материалы дела № 5-168/2020 об административном правонарушении в отношении иностранного юридического лица Facebook, Ink. и материа- лы дела № 5-167/2020 об административ- ном правонарушении в отношении ино- странного юридического лица Twitter Inc., постановила: признать обе иностранные компании виновными в совершении адми- нистративного правонарушения, предусмот- ренного ч. 8 ст. 13.11 Кодекса РФ об адми- нистративных правонарушениях, и назначить наказание каждой из компаний в виде штра- фа в размере 4 млн рублей. Как и в случае с Austrian Post, базой для проведенного регу- лятором расследования (в данном случае – Роскомнадзором) послужили материалы, опубликованные в открытом доступе пользо- вателями сети Интернет с активной жизнен- ной позицией. n февраль – март 2020 www.secuteck.ru Ваше мнение и вопросы по статье направляйте на ss @groteck.ru www.a.d.-cd.net