Чем опасно распространение персональных данных
Утечки персональных данных: чем они опасны для пользователей и как от них защититься
Сотрудник аналитического отдела Falcongaze
Привычные нам сервисы не защищены на 100% от утечки данных. Павел Пармон, сотрудник аналитического отдела компании Falcongaze, которая специализируется на кибербезопасности, написал колонку о том, зачем и как злоумышленники воруют информацию, и как усложнить процесс кражи.
Зачем воруют персональные данные пользователей
Причины краж персональных данных бывают абсолютно разные:
Как злоумышленники получают доступ к чужим персональным данным
Способов добраться до персональных данных много, но основными являются:
Как себя обезопасить
К сожалению, от утечек данных пользователь себя обезопасить сам не сможет. Ведь большое количество данных утекает как раз в результате взломов баз данных сервисов или инсайдерских утечек.
Но мы подготовили несколько советов, как сделать утечку ваших данных, если она произойдет, менее болезненной, а жизнь злоумышленников сложнее:
Главная опасность утечек данных состоит в том, что для пользователя она может пройти незаметно. Не всегда компании освещают подобные инциденты хоть где-то, а даже если и освещают, то не всегда информация о них доходит до пользователей. Поэтому очень важно заранее позаботиться о своих персональных данных.
Если не получить согласие на обработку и использование персональных данных
Согласие на обработку персональных данных
В соответствии со ст. 9 закона «О персональных. » от 27.07.2006 № 152-ФЗ субъект персональных данных самостоятельно принимает решение о предоставлении права на обработку и использование этой информации третьими лицами. Согласие оформляется в письменном виде (а если данные передаются через интернет, в электронном).
Необходимость в предоставлении личной информации возникает постоянно: при медицинском осмотре в поликлинике, трудоустройстве на работу и даже оформлении заказа в интернет-магазине.
Сторона, получающая личные сведения, обязана:
Нарушение этих требований влечет за собой применение к оператору персональных данных мер ответственности.
Ответственность за нарушение законодательства
Согласно ч. 1 ст. 6 закона № 152 для обработки личных сведений необходимо получить согласие лица, которому они принадлежат. Использование персональных данных без согласия по общему правилу является нарушением закона и влечет за собой привлечение ответственного за их обработку к дисциплинарной, административной и даже уголовной ответственности (ч. 1 ст. 24 закона № 152).
Так, работодатель может объявить должностному лицу — работнику организации выговор за ненадлежащее исполнение им своих должностных обязанностей или уменьшить размер стимулирующей выплаты (премии), при условии что такой вид наказания предусмотрен действующим на предприятии коллективным договором или иным локальным документом.
Административная ответственность за обработку данных без согласия лица, которому они принадлежат, предусматривает наложение на нарушителя штрафа в размере (ч. 2 ст. 13.11 КоАП РФ):
ВНИМАНИЕ! С 27.03.2021 года выросли штрафы за нарушения при работе с персональными данными. Подробности см. здесь.
Уголовная ответственность наступает за незаконный сбор сведений о частной жизни человека (в том числе о личной или семейной тайне), а также за неправомерный доступ к компьютерной информации, содержащей такие сведения (ст. 137, 272 УК РФ).
Кроме того, субъект персональных данных может потребовать от нарушителя возмещения причиненного ему морального вреда (ч. 2 ст. 24 закона № 152).
За соблюдением законодательных требований в области личной информации следит Роскомнадзор.
Грамотно организовать работу с персональными данными работников вам поможет Путеводитель от КонсультантПлюс. Если у вас еще нет доступа к этой правовой системе, пробный доступ можно получить бесплатно.
Когда согласие на обработку персональных данных не требуется
В соответствии с ч. 1 ст. 6 закона № 152 не требуется согласие на обработку персональных данных в следующих случаях:
Итоги
Итак, обработка и распространение персональных данных без согласия их обладателя является нарушением законодательства, которое влечет за собой привлечение нарушителя к ответственности. Однако возможны ситуации, когда законодатель освобождает лицо, уполномоченное на работу с личными данными, от обязанности по получению согласия на их обработку. Например, если человек по состоянию здоровья попросту не может его представить.
Утечка персональных данных: последствия
Защита персональных данных
с помощью DLP-системы
У течки персональных данных нередки в работе компаний и государственных органов. Часто они связаны с недобросовестным отношением к их защите. Следствия утечек могут быть и очень серьезными, и незначительными. Защита от них должна стать задачей и операторов, и субъектов персональных данных.
Кто может пострадать
Персональные данные – это любая информация о человеке, которая связана с ним, позволяет идентифицировать его в полной мере, получить иные сведения о нем, совершать какие-либо посягательства на тайну его личной жизни или на имущество. В группе риска утраты важной информации при проведении обработки персональных данных оказываются многие люди, среди них:
Причины утечек
Любая организация, которая в своей деятельности обрабатывает персональные данные, обязана предпринять комплекс организационных и технических мер, направленных на их защиту. Перечень этих мер и способов регламентируется для каждой группы данных. При разработке системы таких технических и административных решений используется модель угроз, в которой учитываются риски двух типов:
Первый тип угроз, представляющих собой неправомерное проникновение в защищенный информационный периметр организации-оператора, – хакерские атаки, которые в России редко становятся серьезными угрозами для жизни и здоровья граждан. Прекратились появления в Сети баз данных ЦБ РФ, ГИБДД, Пенсионного фонда – информационные системы защищены серьезно, а утечка массива сведений, защищенных средствами криптографической защиты, без возможности персонификации, не несет серьезных рисков. Сократилось и количество внешних атак на сайты банков.
Вторые реализуются наиболее часто. Гражданин предоставляет сведения о себе во множестве случаев в медицинском учреждении, в туристическом агентстве, в котором для оформлении визы он практически полностью раскрывает сведения о своем финансовом статусе. Согласие на обработку персональных данных зачастую не подписывается. Таким образом, паспортные данные, сведения о недвижимости, доходах, операциях по банковской карте оказываются в незащищенном виде в компьютере, на котором может не быть даже антивирусной защиты. В этом случае доступ к ним становится возможным:
Частые случаи, появляющиеся в судебной практике, в которых штрафуются или наказываются иным образом врачи или сотрудники банковских учреждений, допустившие утечку сведений, например, паспортных данных, говорят о существовании проблемы и ее серьезности.
Последствия утечек
Последствия утечек могут оказаться серьезными и для владельцев данных, и для операторов. Для первой группы существуют многочисленные риски стать жертвой злоумышленников. Они могут пострадать:
Минимальным риском станет неправомерная передача сведений, например, адреса электронной почты, каким-либо компаниям, которые начнут преследовать их обладателя рекламными объявлениями. Но даже это дает возможность возбудить дело и о неправомерной рекламе, и об утечке данных и приведет к штрафам, налагаемым на операторов, если источник утечки или спама удастся достоверно установить.
Операторы, в свою очередь, допустившие утечку персональных данных, понесут ответственность:
Пока серьезность исков о возмещении морального вреда, связанного с утечкой конфиденциальной информации, компаниями серьезно не рассматривается. Даже если судом установлен такой факт, размер присужденных сумм редко превышает несколько десятков тысяч рублей даже в столице. В регионе суд скорее откажет в удовлетворении требований, предъявляемых как к банкам, так и к интернет-магазинам. Более серьезными становятся ситуации, когда в спор вмешиваются регуляторы и доводят ситуацию до возбуждения уголовного дела.
Как избежать негативных последствий от утечек данных
Меры по защите информации требуют не только исполнения операторами обязанностей, установленных законом, но и осмотрительности от субъектов персональных данных. От первых потребуется максимально внимательно относиться к соблюдению требований закона, постановлений правительства РФ и нормативных актов ФСТЭК России, которыми определяется необходимый уровень технических средств, призванных защитить персональные данные от утечки. Это такие меры, как:
Все эти меры защиты от утечек данных требуют существенных средств, но они внедрены в большинстве государственных учреждений и крупных компаниях. В зоне риска продолжают оставаться небольшие фирмы, чаще работающие на рынке оказания услуг гражданам. Они далеко не всегда попадают в перечень проверок Роскомнадзора, так как не считают необходимым действием регистрацию в качестве операторов. Даже если это будет произведено, создание системы технической защиты информационных баз персональных данных является затратным мероприятием, которое не все могут себе позволить. Именно это требует проявления осмотрительности от граждан при выборе поставщика услуг и взаимодействиях с ним. Среди таких правил:
Соблюдение осторожности и операторами, и гражданами позволит минимизировать риски. Всегда нужно помнить, что полностью возместить материальный и моральный ущерб у гражданина не получится.
Персональные данные: как их защищать и чем опасны утечки
Вспомним несколько недавних происшествий, связанных с массовыми утечками ПДн.
В апреле 2019 стало известно о том, что некоторые электронные торговые площадки выкладывают в открытый доступ персональные данные участников закупок. Скомпрометировано более двух миллионов записей, в том числе номера СНИЛС, паспортов и сведений о трудоустройстве.
В апреле Следственный комитет сообщил о начале проверки информации об обнаружении в открытом доступе в интернете базы данных пациентов скорой помощи нескольких подмосковных городов (Мытищи, Дмитров, Долгопрудный, Королев и Балашиха). В открытом доступе оказались имена, адреса, телефоны и сведения о состоянии здоровья обратившихся к врачам.
Месяцем позже стало известно, что в результате утечек из государственных информационных систем в открытом доступе находятся записи реестра субсидий федерального бюджета Минфина, реестра отчётов некоммерческих организаций Минюста, реестра обращений граждан на портале Роструда «Электронный Инспектор», информационной системы «Правовые акты ФАС России», портала торгов по госимуществу ФАС, портала управления многоквартирными домами Москвы, московского портала закупок и портала государственного и муниципального заказа федерального казначейства.
Также в СМИ появилась информация о том, что одна из крупных российских платформ для продажи билетов на развлекательные мероприятия хранит десятки тысяч уже проданных электронных билетов в открытом доступе. Любой человек может получить доступ к персональным данным пользователей платформы, в том числе к паролям клиентов.
Систематически в масштабных утечках персональной информации обвиняются социальные сети, в частности Facebook.
Что такое персональные данные
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Так указано в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», этот федеральный закон регулирует обработку персональных данных.
Также согласно 152-ФЗ, оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
К персональным данным могут быть отнесены фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Главное условие — по этим данным должно быть возможно однозначно определить, к какому конкретно человеку она относится.
Например, информация вида «Иванов Иван Иванович» сама по себе не позволяет определить, к кому она относится. Но информация вида «Иванов Иван Иванович, родившийся 01.01.1901 в г. Керчь» уже дает возможность однозначно идентифицировать человека.
Вместе с тем если сочетание фамилии, имени и отчества является настолько редким, что явно указывает только на одного человека, такая информация уже будет считаться персональными данными.
Чем опасны утечки персональных данных
Утечка персональных данных может произойти по объективным причинам, например из-за технического сбоя, или по субъективным, к которым относятся небрежность сотрудников, хакерские атаки или корыстные цели персонала.
В любом случае, если паспортные или другие персональные данные в результате окажутся в руках злоумышленников, они могут использоваться в преступных целях.
Используя ПДн, можно получить доступ к средствам на банковских картах жертвы, а также взять кредиты в нескольких банках на имя пострадавшего. В дальнейшем взыскивать долг по ним коллекторы будут именно с того лица, на которое оформлен заём, до тех пор, пока лицо не добьется своего признания жертвой мошенничества.
Получив доступ к персональным данным, можно совершать и другие юридические действия: незаконные манипуляции с чужой недвижимостью, перевод долгов, открытие так называемых фирм-однодневок.
Как защитить персональные данные
Операторы персональных данных должны принимать меры для их защиты. Конкретного списка нет, каждый оператор самостоятельно решает, какие именно меры и в каком объеме он будет применять.
Часть мероприятий прописана в законе №152-ФЗ «О персональных данных»: в организации необходимо утвердить политику в отношении обработки персональных данных, назначить ответственного за организацию обработки персональных данных, утвердить перечень работников, имеющих доступ к персональным данным, и заключить с ними соглашение о неразглашении этих данных.
Однако просто подписать приказы и соглашения недостаточно. В зависимости от категории персональных данных и способа их обработки (в электронном виде или на бумажном носителе) потребуется также обеспечить их физическую безопасность. Например, хранить документы в сейфе, ограничить доступ к помещению посторонних лиц, вместо мусорной корзины использовать измельчитель документов и так далее.
Чтобы надлежащим образом организовать защиту электронных персональных данных, потребуется изучить ряд нормативных актов, в том числе:
Сейчас нарушение российского законодательства о персональных данных обходится дешевле, чем его исполнение. Расходы на приобретение технических средств защиты информации и их обслуживание могут оказаться в десятки раз дороже, чем уплата штрафа. В лучшем случае российские компании размещают на официальном сайте политику обработки персональных данных. Но даже этот локальный акт может оказаться декларативным, поскольку механизмы, необходимые для реальной защиты и контроля за обработкой персональных данных, например разграничение прав доступа или режим хранения, зачастую попросту отсутствуют.
Что делать, если вы узнали об утечке своих данных
Во-первых, необходимо обратиться в суд за возмещением морального вреда.
Так, житель Владивостока смог взыскать 10 тысяч рублей с ПФР за то, что его сотрудники разместили на стенде в качестве образца заявление о выдаче дубликата страхового свидетельства, заполненное на имя этого гражданина с указанием его персональных данных: ФИО, даты рождения, адреса, паспортных данных и СНИЛС (определение Приморского краевого суда от 14.07.2014 по делу № 33-5960).
В другом случае житель Башкирии обнаружил, что юрист, представляющий его интересы в деле о смерти сестры, в составе рекламы своих услуг в интернете разместил персональные данные умершей: фамилию, инициалы и дату смерти. Поскольку согласие на это брат не давал, суд взыскал в его пользу 7 тысяч рублей (апелляционное определение Верховного суда Республики Башкортостан от 18.05.2017 по делу № 33-10180/2017).
Собственница квартиры в Выборге задолжала за коммунальные услуги. Управляющая компания наняла фирму для взыскания долга. За то, что персональные данные собственницы были переданы фирме без её согласия, управляющая компания заплатила пострадавшей 5 тысяч рублей (апелляционное определение Ленинградского областного суда от 21.02.2018 № 33-337/2018 по делу № 2-2350/2017).
Заёмщик из Чувашии получил 3 тысячи рублей за то, что банк отправил письмо, адресованное ему и содержащее сведения о его кредитной карте, не по адресу, указанному в заявлении на получение кредитной карты, а по месту работы, где оно было вскрыто как служебное письмо (апелляционное определение Верховного суда Чувашской Республики по делу № 33-1265/2017).
Москвичка смогла доказать, что её персональными данными воспользовались мошенники и оформили на её имя договор, задолженность по которому с неё начала взыскивать микрофинансовая компания. В результате эта компания вынуждена была выплатить 5 тысяч рублей в качестве компенсации морального вреда за неправомерную обработку персональных данных (апелляционное определение Московского городского суда от 12.12.2018 по делу № 33-54443/2018).
Однако суды не единодушны в решениях по таким делам. Например, житель Санкт-Петербурга, на которого мошенники оформили кредит, ничего не смог получить от банка, незаконно требовавшего с него кредитный долг через коллекторов (апелляционное определение Санкт-Петербургского городского суда от 04.07.2018 № 33-13352/2018 по делу № 2-4806/2017).
Если нравственные страдания истцам по таким делам в большинстве случаев удается компенсировать, то доказать, что утечка персональных данных повлекла вред здоровью (физические страдания), значительно сложнее.
Так, жительница Санкт-Петербурга утверждала, что её самочувствие ухудшилось и ей пришлось обращаться к дерматологу и неврологу из-за судебных тяжб с банком, который пытался взыскать с неё задолженность по кредиту, оформленному на её имя мошенниками. По делу была назначена судебная экспертиза, согласно заключению которой имеющиеся у истицы заболевания в виде акне и невралгии седалищного нерва не были признаны следствием действий банка по взысканию несуществующего долга. В итоге суд взыскал с банка 10 тысяч рублей за нравственные страдания, причинённые неправомерной обработкой персональных данных (апелляционное определение Санкт-Петербургского городского суда от 16.08.2018 № 33-17089/2018 по делу № 2-293/2018).
Во-вторых, помимо морального вреда, в суде можно потребовать возмещения убытков, причинённых утечкой персональных данных. Чтобы добиться компенсации материального ущерба, потребуется доказать наличие этих убытков.
В-третьих, потребовать удалить сведения из публичного доступа. Для этого можно обратиться в суд, но чтобы более оперативно устранить утечку, сначала лучше обратиться напрямую к нарушителю.
Что грозит нарушителю
Публикация паспортных или иных персональных данных лица без его согласия нарушает законодательство в области персональных данных.
Размеры штрафов за неисполнение требований в области персональных данных указаны в КоАП в ст. 13.11. Максимальный из них — 75 тысяч рублей.
Однако сейчас нарушителей наказывают не за утечку данных, а за невыполнение формальных требований. Чтобы устранить этот пробел, в 2018 году Минкомсвязь разработала соответствующие дополнения в закон «О персональных данных» и Кодекс об административных правонарушениях.
Как упорядочивают оборот данных
Минкомсвязь разместила для общественного обсуждения два законопроекта, ужесточающих ответственность в сфере персональных данных.
Законопроекты запрещают компаниям и частным лицам создавать общедоступные базы с персональными данными, собранными из государственных и муниципальных информационных систем. Нарушение этого запрета повлечёт предупреждение или штраф в размере:
Также согласно законопроектам, операторам, которые поручают обработку персональных данных другому лицу, придется контролировать своего подрядчика и отвечать за его действия. Как именно вести такой контроль, решит сам оператор. За невыполнение обязанности по контролю оператору вынесут предупреждение или штраф:
Подрядчика ждет более суровое наказание:
Оба законопроекта по состоянию на конец мая 2019 года еще не внесены в Госдуму.
Почему утечки продолжаются
Предложенные нормы призваны стимулировать операторов персональных данных отвечать за действия подрядчиков, чтобы те не нарушали законодательство. Но эти меры могут не сработать, поскольку штрафы незначительны: чтобы законопроекты принесли результат, уплата штрафа должна обходиться дороже, чем внедрение системы защиты информации.
Такого подхода придерживались в Евросоюзе при разработке Общего регламента по защите данных (GDPR), который вступил в силу в мае 2018 года. Его исполнение обязательно для всех организаций, в том числе российских, при обработке персональной информации граждан, находящихся на территории ЕС.
В первую очередь GDPR касается компаний, которые имеют представительства в странах ЕС. Кроме того, озаботиться соответствием требованиям GDPR также должны российские компании, сайты которых переведены на язык хотя бы одной страны — члена Евросоюза или принимают через сайт платежи в валюте стран ЕС.
Максимальный штраф за нарушения положений GDPR составляет 20 миллионов евро или 4% от оборота компании (в зависимости от того, какая сумма больше).
Кроме того, серьезным стимулом для операторов ЕС обеспечивать безопасность персональных данных не на бумаге, а на деле, является обязанность уведомлять надзорный орган об утечке персональных данных.
При установлении наказания за утечку персональных данных в России целесообразно было бы учитывать подход, разработанный в ЕС, который включает в себя оценку множества параметров: набор данных, объём утечки, применяемые организацией защитные меры, последствия и так далее.
Битва за персональные данные
Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? Если ваши права нарушили – сражайтесь. Закон на вашей стороне
Драться – плохо. Но если дерешься – побеждай!
(из х/ф «Парень-каратист»)
Купил сим-карту известного сотового оператора. Казалось бы, ничего особенного. А все-таки приятно: новый номер – можно сказать, жизнь с чистого листа. Однако маленькую радость омрачает звонок с неизвестного номера:
«Наталья Михайловна, добрый день. Это сотрудник коллекторского агентства. Звонок записывается. Уведомляем, что за вами числится задолженность…»
И так с десяток звонков ежедневно, включая выходные.
Родители учили быть вежливым. Потому во время первого разговора с коллектором представился, подробно объяснил, что произошла ошибка, что никакой Натальи Михайловны не знаю и знать не хочу, и настоятельно попросил больше не беспокоить. Но собеседник оказался настоящим профессионалом, верным своему нелегкому ремеслу:
«Еще раз спрашиваю, вы – Наталья Михайловна?»
Настроение и карма стремительно портятся. В голове пробежала мысль: взять свои боксерские перчатки и по-мужски ответить обидчику. Потом, правда, берешь себя в руки, вспоминаешь про этику поведения и диспозиции некоторых норм Уголовного кодекса.
Приходится ежедневно блокировать поступающие номера коллекторов, которые, несмотря на мужской голос в трубке, каждый раз недоверчиво интересуются, не Наталья ли ты Михайловна. Список заблокированных номеров близится к нескольким сотням, но звонки продолжают поступать.
Знакомая ситуация? Что делать? Давайте разберемся без лишних эмоций.
Вправе ли банки и МФО передавать персональные данные клиентов коллекторам и другим лицам?
Уважаемый читатель, прошу прощения, но вынужден привести немного сухой теории. Она нам пригодится.
Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
В соответствии с законом персональные данные представляют собой любую информацию, относящуюся к физическому лицу – субъекту этих данных.
Под обработкой персональных данных понимается любое действие с ними, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
По общему правилу, обработка персональных данных и передача этой обязанности другому лицу допускаются только с согласия субъекта данных. При этом согласие на обработку данных должно быть конкретным, информированным, сознательным и в любой момент может быть отозвано. Без него операторы 1 и иные лица, получившие доступ к личной информации, не вправе раскрывать и распространять данные, если иное не предусмотрено федеральным законом.
Выдавая кредит, банк обычно получает у заемщика письменное согласие на обработку и передачу его персональных данных третьим лицам, в частности коллекторам. Вместе с тем законодательством предусмотрено право заемщика отозвать это согласие. Так закон защищает должника, если он при заключении кредитного договора или договора займа не подумал о возможных негативных сценариях. Для реализации указанного права достаточно сообщить кредитору об отзыве согласия заказным письмом с уведомлением о вручении или сделать это через нотариуса.
Но на этом все может и не закончиться. Дело в том, что Закон о персональных данных предусматривает исключения, когда согласие на обработку данных не требуется. К примеру, их обработка допускается:
В тех случаях, когда заемщик не предоставил банку «универсальное» согласие или отозвал его, кредитная организация может сослаться на вышеуказанные исключения. Тем самым якобы подтверждая правомерность передачи данных третьим лицам.
Между тем ссылка эта сомнительная, поскольку заемщик не является стороной по договору, заключенному между банком и коллекторами. Судебная практика подтверждает: передача банком по агентскому договору другой организации персональных данных заемщика без его согласия недопустима (см., к примеру, Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 1 августа 2017 г. № 78-КГ17-45).
(Как не допустить передачи долга коллекторскому агентству и что делать тем, на кого взыскатели оказывают давление, читайте в материалах «Берете кредит – помните о коллекторах», «Как должнику защититься от грубого произвола представителей банка».)
Как происходит утечка персональных данных?
Законодательство обязывает операторов принимать серьезные меры по обеспечению безопасности персональных данных при их обработке (подробнее об этом читайте в публикации «Операторов обработки персональных данных начнут проверять по новым правилам»). Эти требования столь объемные и затратные, что многие операторы предпочитают их игнорировать.
В небольших компаниях защите персональной информации часто вообще не уделяется внимания. И даже солидные холдинги не всегда выстраивают адекватную систему защиты данных, причем как клиентов, так и своих работников.
Известны случаи, когда документы, содержащие персональные данные, в том числе копии договоров, паспортов, анкет, выбрасывались на помойку. Причинами такого поведения могут быть халатность работников, отсутствие сформированной культуры «конфиденциальности» и контроля работодателей за ее соблюдением, а иногда –надлежащих условий хранения документации. Не менее весомым фактором является то, что сейчас нет тотального контроля за соблюдением требований со стороны регулятора – Роскомнадзора.
Порой информация становится доступной посторонним лицам из-за неосторожности: когда данные отправляются по электронной почте по незащищенным каналам связи (без использования средств шифрования) или через мессенджеры. Бывают случаи «невинного» распространения данных через селфи. Также информация разглашается путем копирования ее на флеш-карты или в результате выноса из здания организации не до конца уничтоженных документов.
Иногда персональная информация раскрывается работниками оператора умышленно из корыстных мотивов. В результате данные кредитных карт, паспортов, анкет клиентов могут попасть в руки мошенников.
Какими могут быть последствия утечки данных?
В эпоху цифровых технологий информация становится валютой. Тем не менее многие раздают свои персональные данные «направо-налево», не думая о последствиях. А они могут быть весьма неприятными. Как минимум это бесконечные звонки из разных организаций. Но бывают последствия и посерьезнее: мошенники могут открыть от вашего имени кредитные линии, удачно пошопиться в Интернете или купить авиабилет в экзотическую страну.
Что делать, если в распространении личной информации виноват банк?
Вычислить вину кредитной организации в разглашении персональных данных не так просто. Для этого необходимо провести настоящее расследование, поэтому запасайтесь терпением.
Для начала следует направить в банк и коллекторам запрос о предоставлении информации, касающейся обработки ваших данных. Такое право предусмотрено ч. 7 ст. 14 Закона о персональных данных. Вы можете рассчитывать на получение следующей информации:
После получения ответов на запросы направляем жалобы в территориальный орган Роскомнадзора и прокуратуру с подробным изложением обстоятельств неправомерного разглашения персональных данных. Результаты проведенных проверок пригодятся вам во время защиты своих интересов в суде.
Далее собираем все обращения и ответы на них, готовим претензию о прекращении неправомерного использования персональных данных, возмещении убытков и компенсации морального вреда. Если претензия остается без удовлетворения или ответа – идем в суд.
Помните: персональные данные – настоящая находка для мошенников. Будьте внимательнее при подписании документов. Это поможет уберечься от битвы за свои личные данные, а также от порчи настроения и кармы.
«Драться – плохо. Но если дерешься – побеждай!» – советовал Мастер из старого доброго боевика. Если ваши права нарушены, надо сражаться. Но не стальными кулаками, как учил Мастер. Силой закона.
1 Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных).