Бывших клиентов не бывает

Цифровой кодекс дает гражданину право требовать удаления персональных данных или как минимум прекращения их обработки. Но на практике возникает вопрос: как понять, что данные действительно удалили, а не просто пообещали это сделать?

Ситуация типовая и знакомая многим: человек перестал пользоваться банком, сервисом или приложением, но спустя месяцы ему продолжают названивать с рекламными предложениями. Получается, формально отношения прекращены, но персональные данные продолжают использоваться. Именно здесь и проходит граница между законным хранением и незаконной обработкой.

По словам депутата мажилиса Екатерины СМЫШЛЯЕВОЙ, важно различать два режима: хранение и обработку данных.

- Даже если есть требования по хранению персональных данных, обработку вы имеете право всегда приостановить, - рассказала она на пресс-конференции в Службе центральных коммуникаций. - Это как раз тот случай, когда вы уже не пользуетесь сервисом, но вам продолжают звонить и использовать ваши данные.

Закон действительно допускает, что в ряде сфер - прежде всего в банковской и медицинской - данные обязаны храниться годами. Они архивируются на пять, десять лет и более: для возможных судебных споров, проверок, восстановления операций. В таких случаях организация не вправе удалить информацию по первому требованию клиента. Но прекратить ее использование обязана.

Полное удаление возможно только там, где нет законодательно установленной обязанности по хранению. И здесь предусмотрены сроки, процедуры и даже возможность запросить подтверждение. Однако реальный контроль, как признают сами законодатели, чаще всего включается после нарушения.

Как подчеркнула Смышляева, именно инцидент становится индикатором того, что данные не были удалены или их обработка не прекращалась. Повторный звонок, утечка, компрометация информации - все это признаки того, что цифровой след человека продолжает жить своей жизнью.

При этом система уведомлений об утечках уже работает: граждан информируют через SMS о компрометации данных и рекомендуют принять меры безопасности.

Дополнительным инструментом контроля должно стать цифровое пространство гражданина, где будет фиксироваться обращение к персональным данным. Если после запроса на удаление или приостановку обработки появляется маркер нового обращения, это автоматически сигнал о нарушении. В таком случае в дело вступает комитет информационной безопасности, начиная проверку соблюдения закона о персональных данных и норм цифрового кодекса.

- После запроса гражданина владельцы сервисов обязаны в течение 15 дней удалить персональные данные либо анонимизировать их и прекратить обработку и распространение, - добавил к этому вице-министр искусственного интеллекта и цифрового развития Дмитрий МУН. - Если этого не происходит, у человека появляется право обращаться с жалобой сразу в суд и требовать применения санкций.

Владислав ШПАКОВ, Астана