В прошлом посте раз мы с вами разобрались, на каком основании служба безопасности коммерческой организации может обрабатывать персональные данные. Теперь мы поговорим о том, чем мы можем «стрелять» — какие источники информации составляют легальный и этичный арсенал современной СБ. Это тот самый практический инструментарий, который отделяет профессионала от нарушителя.
Итак, при наличии законного основания СБ может и должна использовать в своей работе исключительно публичные (общедоступные) источники информации. Что же входит в этот легальный арсенал? Официальные государственные информационные системы (ГИС), публичные реестры, результаты поисковой выдачи, социальные аккаунты, доски объявлений и т.п. Чтобы не утонуть в море данных, весь этот массив информации можно разбить на логические блоки проверки:
1️⃣ Сверка предоставленных данных (ФИО, дата рождения, паспорт) с информацией из официальных источников
2️⃣ Нахождение лица в розыске или негативных реестрах (экстремизм, терроризм)
3️⃣ Проверка на наличие проблемных задолженностей
4️⃣ Анализ участия лица в судебных процессах и факту нарушений им законодательства
5️⃣ Выявление связанного бизнеса (учредительство, руководство), самозанятость анализ публичных высказываний и профессиональной активности
Закон позволяет привлекать внешних исполнителей. Вы можете нанять внешнюю команду для проведения OSINT-проверки или использовать специализированный программный продукт. По сути, они становятся вашим обработчиком на договорной основе. Но здесь кроется главный соблазн и главная опасность. Никакие утечки данных, слитые базы и прочие «дата-сеты» с теневых форумов недопустимы к использованию в легальной работе СБ. Прямого требования проводить экспертизу каждого сервиса нет, но использование заведомо нелегально полученных данных — это прямой путь к административной и даже уголовной ответственности.
Сегодня для ускорения работы можно привлекать даже нейросети для составления аналитических справок и заключений. Это мощный инструмент, но и здесь есть важнейший нюанс. Не передавайте в нейросеть ФИО, паспортные данные, даты рождения. Передавайте только уже извлеченные из источников факты: «найдено судебное дело № ХХХ», «состоит в группе «YYYY»», «имеется запись в реестре ZZZZ». Пусть ИИ анализирует события, а не идентифицирует личность.
И последнее, о чем часто забывают, — это судьба самого отчета:
1️⃣ Конфиденциальность. Результирующее заключение — это конфиденциальный документ. Его нельзя публиковать в открытом доступе или рассылать по всей компании. Доступ — только у ограниченного круга лиц, принимающих кадровые или хозяйственные решения.
2️⃣ Сроки хранения. Отчет должен быть уничтожен после достижения целей обработки (например, принятия решения о приеме на работу) или по требованию субъекта ПД (у вас на это по закону есть 10 дней). Альтернатива — обезличенные данные. Если вам критически важно сохранить аналитику для статистики или методологии, вы можете хранить не оригиналы отчетов, а их обезличенные версии. Замените ФИО и паспорт на уникальный код или ИНН. Так вы сохраните картину по методам и результатам проверок, но исключите возможность идентификации конкретного человека.
Ваш легальный арсенал огромен. От государственных порталов до цифрового следа в соцсетях. Главное — работать только с публичным полем, тщательно выбирать подрядчиков, избегая «серых» баз, и соблюдать правила игры на всех этапах — от сбора до уничтожения отчета. Помните, чистота методов работы — лучшая страховка для репутации вашей компании и вашей личной профессиональной репутации.
