Как защитить персональные данные- чем опасна утечка. Что делать, если их украли
Для чего компаниям сбор личных сведений? Можно ли их отозвать? И каковы интересы мошенников? В этой статье рассмотрим детальнее эти вопросы и уточним, какие меры безопасности можно предпринять, чтобы защитить себя от неприятной ситуации.
Персональные данные: какие они бывают
Общепринятого перечня данных не существует. Каждая компания, исходя из своей специализации, собирает определенные сведения для клиентской базы, которая в перспективе обрабатывается и конвертируется в статус персональных. Тем не менее, существующий закон «О защите персональных данных» определяет следующие три разновидности: общая база данных – группа содержит точную информацию, содержащую ФИО человека, информацию о дате рождения, месте работы, образовании, месте регистрации и контактные координаты;
специальная база данных – раздел содержит информацию о национальности человека, его политических взглядах, состоянии здоровья, наличия судимости, принадлежность к религиозным позициям и подробности личной жизни;
биометрическая база – информативный блок, содержащий данные о физических и биологических особенностях, включающих рост, вес, фотоснимки, отпечатки пальцев, группу крови и т. д;
второстепенная база – здесь содержится информация о менее значимых факторах, к которым относится размер получаемого оклада, членство в клубах и т. д.
Онлайн ресурсы при регистрации собирают определенный уровень личной информации, однако это не говорит о том, что она тут же передается третьим лицам. Каждая регистрация запрашивает подтверждение на обработку, в результате которой информация хранится на сайтах.
Чем чревата утечка
База с данными о человеке – желанная информация для аферистов и мошенников. Заполучая ее, они могут провести процедуру обналичивания финансов и оплаты онлайн-покупок. Помимо этого, с помощью личных данных мошенники взламывают пароли в социальных сетях, что впоследствии оборачивается просьбами о финансовой помощи для пострадавшего лица. Возможностей для проворачивания афер у мошенников с каждым днем становится все меньше, однако они прекращают совершенствовать свои навыки.
Ярким тому примером служат лица, представляющиеся в телефонном разговоре, сотрудниками банка или полиции. Завлекая жертву знаниями ФИО и другой ценной информацией, они умело втираются в доверие. И именно такие уловки чаще всего служат для распространения отработанных мошеннических схем.
В глобальной сети завладеть базой данных на человека проще простого – многие сервисы занимаются свободной продажей ценной информации. Обычно она состоит из контактных данных и места проживания. Такой информации предостаточно не только для мошенников, но и для компаний, осуществляющих холодные звонки по сбыту своей продукции и услуг. Отметим, что такие обзвоны караются законом, так как человек не давал согласия на обработку данных компании.
Как часто происходит утечка данных
На самом деле риски просачивания данных в сеть от банковских структур минимальны. Они не превышают показатели в 10 – 15 %. Хранение информации заложено в финансовый сектор – один из самых защищенных экономических диапазонов. И проникнуть внутрь его представляется возможным лишь пройдя сложные этапы допуска доверенными лицами. Для слежения за целостностью и сохранностью данных созданы финансовые институты, которые при малейшем подозрении на утечку информации запускают перевыпуск карт и смену банковских реквизитов, тем самым препятствуя любым мошенническим действиям. Такова последовательность действий и при добровольной передаче данных третьим лицам через фишинговые сайты сети.
Что входит в согласие на обработку данных
Прежде всего, это согласие человека добровольного порядка, о передачи данных для конечных целей. Именно поэтому, перед подписанием договора важно тщательно изучить каждый пункт, так как любой из них может содержать информацию о согласии на передачу данных третьим лицам, которыми могут выступить фишинговые компании.
Бытует мнение, что вторая сторона договора, в случае отказа от подписания согласия, откажет в предоставлении услуги или продаже товара. На самом деле, эта ситуация не может стать причиной для расторжения письменных договоренностей. Каждая компания по ряду исполнения обязательств договора производит использование данных вне зависимости от факта подписания согласия. Чаще всего эта потребность носить вынужденный характер, чтобы перестраховаться или для разработки маркетинговых действий.
Важно! Органы государственного управления имеют законное основание для обработки персональных данных с целью их дальнейшей персонализации. Правда, в случае необходимости их публикации (элементарные вузы, публикующие результаты и проходные баллы в сети), организации спрашивают письменное согласие на данные действия.
Сроки действия и возможные вариации отзыва
Осуществить отзыв согласия на обработку данных вполне выполнимо. А вот длительность действия – пункт сугубой индивидуальности, прописанный в каждый договоре отдельно. Чаще всего в этой графе имеется значение «до отзыва», регламентирующее действительность подписанного согласия.
Для того чтобы отозвать согласие, необходимо составить письменное заявление в компанию, которое может быть также оформлено в электронном порядке методом почтового сервиса с обязательным присутствием электронной подписи. Наиболее проверенным способом является письмо с извещением, которое послужит доказательством факта существующего запроса.
При отзыве согласия каждый человек имеет возможность аннулировать не только полную информацию, но и некоторую ее часть. Для примера возьмем ситуацию «продавец – покупатель». При совершении покупки была выпущена бонусная карта, для оформления которой были предоставлены данные о месте проживания. По факту, клиент, он же покупатель, не против получения рассылочных писем в электронном виде об акциях и бонусах, однако данные о месте проживания для этих целей не нужны. И это именно тот случай, когда можно осуществить требования о частичной аннуляции персональных данных.
На выполнение требований клиента компания имеет 30 дней. В случае игнорирования запроса, клиент имеет полное право подать жалобу в Роскомнадзор или судебную инстанцию. Более действенным методом является первый вариант, осуществить который можно на сайте ведомства. В течение месяца со дня поступления заявки Роскомнадзор обязан уведомить о прекращении обработки данных компанией.
Однако не все организации полностью могут уничтожить запрошенные данные. Элементарная компания сотовой связи, с которой у клиента составлен договор на обслуживание, не имеет возможности утилизировать обозначенные сведенья, так как это противоречит специфике ее работы. Нужно отметить и банковские организации, которые после полного прекращения взаимодействий с клиентом, обязаны хранить персональные данные на протяжении пяти лет – такое требование распространяется на все организации, что рекомендовано Центральным банком.
Удаление личных данных в сети: меры воздействия
В том случае, если личные данные человека были обнаружены в сети без добровольного согласия, необходимо создать электронное сообщение, используя контактные данные или форму для обращений на сайте. В случае игнорирования в течение 30 дней со дня подачи запроса, клиент имеет полное право подать жалобу в Роскомнадзор. Ведомство, в свою очередь, повторит запрос, а в случае отсутствия реагирования заблокирует ресурс.
Некоторые интернет-сервисы предусмотрели такую необходимость и предоставили клиентам возможность самостоятельно удалять ценные данные посредством личного кабинета.
Как обезопасить себя от утечки ценной информации
Уровень защищенности информации – обязательство компании, повлиять на качество исполнения которого любой человек, к сожалению, не в силах. Проблема утечки информации – распространенное явление, происходящее чаще всего из-за человеческого фактора или же намеренного слива персональных данных в третьи руки с корыстной целью. Также мошенники неустанно бдят за ситуацией, отслеживая публикации фотоснимков, контактных телефонов и документов, передаваемых с помощью глобальной сети.
Элементарные правила безопасности
- не передавать путем интернета фотографии документов, полные реквизиты банковских карт и ценные данные;
- активировать двухфазную аутентификацию, подразумевающую подтверждение действия методом посыла смс на контактный номер;
- своевременно осуществлять замену паролей. Рекомендуемый период – не реже 1 раза в год;
- совершать покупки в сети только в доверенных источниках, имеющих кристальную репутацию.
Соблюдая элементарные правила, увеличивается процент защищенности каждого пользователя сети.
Если произошла утечка информации
Прежде всего, нужно понимать, что банковские структуры непременно заблокируют все ваши продукты, заблаговременно сообщив своим клиентам о необходимости смены паролей и реквизитов. Если служба безопасности организации не обнаружила утечку данных, важно самостоятельным образом позаботиться о перевыпуске продукции.
В остальных случаях утечка данных в сети – факт, с которым просто придется смириться.
Исковое заявление – есть ли смысл
Чтобы доказать прямые убытки из-за утечки данных, придется усердно потрудиться. И без юридической помощи в данном вопросе не обойтись. Максимальный результат – штраф и моральная компенсация, достигающая невысоких показателей. Если же в сети появились данные личного характера, изъятые из переписок или видео и фото разделов, приобщать к процессу следует полицию, так как это уголовно наказуемое действие с обозначенными статьями.
Законопроект об уголовной ответственности за кражу персональных данных внесут в ГД в апреле
15 марта. Interfax-Russia.ru — Законопроекты о введении уголовной ответственности за кражу и продажу персональных данных, а также оборотных штрафов за их утечку планируется внести на рассмотрение в Госдуму уже в апреле, заявили в Минцифры.
«Финальная версия законопроекта готова. Мы надеемся, что в апреле уже начнём рассматривать его на площадке (профильного — ИФ) Комитета (Госдумы — ИФ)», — сообщил министр цифрового развития, связи и массовых коммуникаций Максут Шадаев в среду на заседании ИТ-Комитета Госдумы в рамках подготовки к отчёту правительства.
Министр уточнил, что уголовную ответственность предполагается ввести, в частности, «за кражу персональных данных и создание каналов распространения украденных персданных».
Кроме того, согласно презентации, показанной в ходе заседания Комитета, в апреле этого года Минцифры внесёт на рассмотрение в Госдуму законопроект о «введении отдельно состава административной ответственности за утечку персональных данных, в том числе оборотных штрафов».
УГОЛОВНАЯ ОТВЕТСТВЕННОСТЬ ЗА КРАЖУ И ПРОДАЖУ ДАННЫХ
В конце декабря стало известно о разработке группой сенаторов законопроекта о введении уголовной и административной ответственности за нарушения в обработке персональных данных. Речь идёт о краже, неправомерном распространении и продаже персональных данных. Максимальным наказанием в случае наступления тяжких последствий станет лишение свободы до 10 лет в случае уголовной и штрафа до 2 млн руб. — административной ответственности. Минцифры данную инициативу поддержало.
ОБОРОТНЫЕ ШТРАФЫ ЗА УТЕЧКИ
В середине декабря 2022 года Шадаев сообщил о разработке законопроекта о введении штрафов до 3% от годового оборота компании за утечку персональных данных граждан, при этом смягчающим обстоятельством станет предварительная аттестация и сертификация инфраструктуры, а также улаживание в досудебном порядке претензий двух третей пострадавших клиентов.
Министр подчеркивал, что, предлагая ввести оборотные штрафы, Минцифры не ставит целью собрать побольше денег в бюджет. «До 3% оборотные штрафы заставят компании инвестировать больше средств в безопасность. Нам кажется, что здесь — это главная мотивация. Не больше штрафов собрать, а именно чтобы коллеги инвестировали в инфраструктуру», — говорил он.
