Почему проверки IDX не нарушают закон о защите персональных данных?
Платформа IDX обеспечивает проверку самых разных данных о человеке. Большинство из них являются персональными, а значит регулируются Федеральным законом № 152 «О персональных данных». IDX является официальным оператором обработки персональных данных. Наш номер в реестре Роскомнадзора 77-17-008412.
Поскольку в законе понятие персональных данных сформулировано очень неоднозначно (любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), то юристы IDX сделали несколько официальных запросов в Роскомнадзор, Минкомсвязи и ФСБ, чтобы уточнить это определение и подтвердить правомерность использования методов верификации платформы IDX.
Работа с персональными данными требует неукоснительного соблюдения законодательства
В законе сказано, что любые действия с персональными данными происходят с согласия человека или, выражаясь языком закона, «субъекта персональных данных». Как же платформа IDX реализует требования законодательства, если сама напрямую ни с какими субъектами персональных данных не общается и согласий у них не берет?
Получением согласия занимаются клиенты IDX, которым надо проверить данные физических лиц. При получении данных у пользователей они уведомляют их о целях сбора и обработки данных, получают их согласие.
IDX обрабатывает данные строго в рамках поручений, изначально предоставленных пользователями, самостоятельно не определяет никаких дополнительных целей обработки и объема данных.
Еще один способ удостоверения личности, вызывающий многочисленные юридические вопросы, – использование биометрических данных. Удаленно можно проверить не только действителен ли паспорт или водительское удостоверение человека, но и удостоверить предъявителя документа по его фотографии (селфи). Верификация пользователя с использованием биометрических данных также происходит с согласия субъекта персональных данных.
Проверка документов через IDX – это безопасно и легитимно
Процесс передачи персональных данных – это всегда чувствительный момент. Обычное опасение – возможна ли утечка данных через сервис IDX, безопасно ли это?
Обеспечение безопасности при работе с персональными данными – одна из главных задач
Допустим, компании A необходимо проверить паспортные данные клиента онлайн. Компания А передает их через платформу IDX в зашифрованном виде для сравнения с эталонным или достоверным источником. Происходит верификация личных документов, и в зависимости от результата компания А получает положительный или отрицательный ответ. То есть платформа IDX выдает только «да» или «нет» и не сообщает компании А данные физического лица, а передает лишь результат сравнения предоставленных данных с эталоном. IDX сохраняет только информацию о проведенной операции сравнения для дальнейших финансовых расчетов.
IDX использует только обезличенные данные. Передача данных возможна и в хешированном виде. Хотя российские надзорные органы не дают однозначного ответа о применимости хеширования для защиты данных (с письмом ФСБ России на эту тему можно ознакомиться тут), но IDX и партнеры используют хеширование по собственной инициативе в дополнение к имеющимся способам защиты.
Все каналы передачи информации, интерфейсы защищены отечественными средствами криптографии. IDX имеет аккредитацию Минкомсвязи как удостоверяющий центр, лицензирована ФСБ и ФСТЭК для работы с криптозащитой и техническими средствами защиты информации.
Ну и конечно, в команде IDX работают профессионалы в области защиты информации, имеющие соответствующие дипломы и сертификаты, отвечающие требованиям ФСБ.
Все эти меры позволяют обезопасить данные и субъектов от утечек, а партнеров IDX избавить от тревог.
За два года работы платформы IDX не поступало ни жалоб от физических лиц на несанкционированное использование их персональных данных, ни сообщений от партнеров и клиентов об утечках данных через платформу IDX.
