Персональные данные:
строго «не»
конфиденциально
Как защитить личную информацию
Кто в группе риска?
Все, кто имеет счёт в банке, обслуживается в районной поликлинике, ездит в командировки, останавливается в гостиницах, делает покупки в интернет-магазинах и обращается в социальные службы – могут оказаться среди тех, чьи личные данные уйдут «на сторону». Получая ту или иную услугу, мы вынуждены предоставлять взамен информацию о себе: место жительства, наличие имущества, данные паспорта и пенсионного свидетельства, номер телефона и адрес электронной почты. А что с нашими персональными данными происходит потом? Защищены ли они от посторонних глаз, как того требует закон? Как мошенники могут использовать конфиденциальную информацию посторонних людей в своих преступных целях? И можем ли мы сами обезопасить себя от посягательств на личную информацию?
Давайте разбираться.
Рассмотрим типичную ситуацию.
Человек обратился в турагентство за путевкой. Сотрудник, заполняя необходимые формуляры, автоматически вносит его в базу данных клиентов. Формальности соблюдены. Однако отпускник не знает, что, возможно:
База персональных данных клиентов этого турагентства не защищена. Доступ к ней имеют все (добросовестные и не очень) работники сети турагентства.
Список клиентов с именами и контактами висит в облаке на Google-диске для удобства персонала, разбросанного по нескольким городам, а то и регионам страны.
В компании нет службы безопасности.
А всё это значит, что:
Базу с паспортными данными клиентов могут взломать и продать на чёрном рынке.
Клиентская база может попасть к продавцам или страховщикам, которые начнут надоедать звонками и навязывать свои услуги.
Кто бы ни был мошенник – хакер или работник – украсть и «слить» информацию ему никто не помешает
К сожалению, возможных сценариев утечки персональных данных – масса. Причинами могут стать технический сбой, компьютерная неграмотность, простая небрежность персонала и, в конце концов, корыстные цели сотрудников.
Чем грозит утечка ваших персональных данных?
Как защитить свои персональные данные?
Пострадать от незаконного использования персональных данных может абсолютно любой социально-активный гражданин. Однако знание некоторых законов и правил поможет уберечь личную информацию от посягательств мошенников.
Алексей Парфентьев,
ведущий аналитик
компании-разработчика средств информационной безопасности «СёрчИнформ»
Помните, что паспорт не может быть предметом залога. Если администратор фитнес-центра или пункта проката коньков требует у вас этот документ, знайте, что это незаконно. Не передавайте свой паспорт и охранникам на входе в офисные и другие здания. Требовать этот документ и брать его в руки может только сотрудник полиции.
Предоставляйте свои паспортные данные только подписав бумагу об обработке персональных данных. Отдельно должно быть прописано, что оператор обязуется не использовать данные в других целях. Если подобная «Политика защиты и обработки персональных данных» в компании есть и данные переданы на её основе, то в будущем, при выявлении мошеннических действий с вашими данными, оператора можно привлечь к ответственности.
Аналогично – в интернете. Знайте, что вписывая свой адрес и телефон при оформлении покупки в онлайн-магазине, вы передаете свои персональные данные. Лучше, если магазин понимает свою ответственность и гарантирует вам их защиту. Здесь вы даете согласие на обработку данных одним кликом.
По возможности используйте ксерокопию или сканкопию своих документов с watermark «для поликлиники/для салона связи/для автосервиса/для гостиницы». Пусть надпись размещается по ширине документа. Можно также скрыть подпись и номер печати.
Не передавайте свои данные по телефону, если не уверены, что на другом конце провода действительно сотрудник банка, страховой компании и т.д. Предложите встретиться в офисе и решить вопрос очно.
Не выкладывайте фото автомобильных номеров, авиабилетов, банковских карт, паспортов и других документов в социальные сети*. Информация, собранная по крупице, в конце концов, может стать хорошим досье, с помощью которого мошенник обведет вас вокруг пальца»
*Если вы похвастались фотографией золотой кредитки в фейсбук, а мошенники использовали эти данные против вас, воспользоваться законом №152 «О персональных данных» будет сложнее. Использование такой информации без вашего разрешения – в любом случае мошенничество, но тот факт, что вы сами обнародовали данные будет играть против вас.
Знаете ли вы основные правила информационной безопасности?
Проверьте это с помощью нашего теста.
Что делать, если вы обнаружили свои персональные данные в интернете?
Прежде всего свяжитесь с администрацией ресурса, где опубликована информация, или владельцем аккаунта, если речь о социальных сетях. Подкрепите требования ссылками на нормы закона № 152 «О персональных данных», который запрещает использовать информацию без разрешения субъекта данных. Предупредите, что в случае отказа вы вправе обратиться в суд согласно статье 24 закона (ответственность за нарушение требований ФЗ № 152).
Чтобы удалить личные данные из результатов поиска, обратитесь в техническую поддержку поискового сервиса. Например, у «Яндекса» есть специальная форма «Сообщить о нарушении». Однако компания предупреждает: поисковая машина индексирует страницы, которые принадлежат третьим лицам, и не отвечает за их содержание. «Яндекс» может помочь пользователю, но только в том случае, если данные удалили, а они по-прежнему видны в поисковой выдаче.
Когда невозможно установить источник распространения персональных данных или связаться с ним напрямую, обратитесь в надзорные органы: прокурату или Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Случаи утечек информации в разных странах мира
Украина, 2016 г.
Скандальный сайт «Миротворец», который курирует член коллегии МВД Антон Геращенко, обнародовал персональные данные аккредитованных в ДНР журналистов и обвинил их в «сотрудничестве с боевиками». В сети были опубликованы имена и фамилии около 5 тысяч журналистов, их адреса, номера телефонов, должностей с указанием места работы. Помимо украинских СМИ, в список попали корреспонденты всемирно известных изданий BBC, Independent, Bloomberg, CNN, Reuters.
Россия, 2017 г.
В Санкт-Петербурге чиновники городской администрации опубликовали в открытом доступе персональные данные граждан, участвующих в долевом строительстве жилья. Информацию о 1627 включенных в реестр обманутых дольщиках на официальном сайте правительства обнаружил интернет-пользователь, который ранее сообщил об аналогичной утечке персональных данных на сайте министерства ЖКХ Московской области.
США, 2017 г.
Бюро кредитных историй Equifax в США заявило о взломе персональных данных 143 миллионов американцев. Злоумышленники использовали уязвимость в системе безопасности приложения на веб-сайте компании и получили доступ к номерам социального страхования, датам рождения, адресам и в ряде случаев к номерам водительских удостоверений. Кроме того, преступники получили доступ к данным кредитных карт 209 тысяч человек и к документам с персональными данными еще 182 тысяч человек. Среди них оказались жители Канады и Великобритании.
Австралия, 2017 г.
Жертвами утечки персональных данных оказались 48,2 тысячи сотрудников госучреждений, коммунальных служб и банков. Незащищенный массив с конфиденциальной информацией включал полные имена, данные удостоверений личности, номера телефонов, адреса электронной почты, пароли, реквизиты банковских карт, сведения о доходах и расходах сотрудников. Среди пострадавших организаций – компании Insurer AMP и Utility UGL, банк Rabobank, австралийское Министерство финансов, Австралийская избирательная комиссия.
Вывод
Алексей Парфентьев,
ведущий аналитик
компании-разработчика средств информационной безопасности «СёрчИнформ»
Некоторые организации требуют предоставления паспортных данных, поскольку в противном случае не смогут оказать вам услугу, например, банки – при оформлении займа или авиаоператоры – при покупке билета. Закон позволяет это при условии, что вы согласны передать свои данные, а организация обязуется соблюсти принципы и условия обработки персональной информации. Причем соглашаться вы должны не на словах.
Компания в соответствии с собственной «Политикой обработки персональных данных» должна объяснить вам, какие именно персональные данные необходимы и зачем, где и как долго они будут храниться. Отдельно должно быть прописано, что оператор обязуется не использовать полученную информацию в других целях.
Если вы согласны – подписывайте официальную бумагу, передавайте информацию о себе и будьте уверены, что сможете привлечь компанию к ответственности в случае, если она не выполнит свои обязанности и не защитит данные. Если не согласны – воспользуйтесь услугами другой компании, которая персональных данных не требует. Впрочем, иногда требование компании предоставить личные данные может нарушать ваши права. Например, «Почта России» отказывается выдавать заказное письмо, пока не получит ваши паспортные данные на извещении, хотя Минкомсвязи этого не требует. Если такое произошло, следует обращаться с жалобой в Роскомнадзор. Это ведомство вправе возбуждать дела по Статье 13.11 КоАП РФ Нарушение законодательства Российской Федерации в области персональных данных с 01.07.2017.
Государство всерьез озабочено проблемой защиты персональных данных: Роспотребнадзор планирует наказывать рублем тех, кто необоснованно требует личную информацию и угрожает отказать в сделке/услуге, если клиент откажется ее передавать.
Необоснованно – это когда номер вашего паспорта требуют в театральной кассе, а номер водительского удостоверения – в поликлинике: зачем они им? Пока что разбираться, где компании перегибают палку, приходится самостоятельно, но Роспотребнадзор пообещал разработать перечень несправедливых условий, нарушающих права потребителей.
Проект подготовлен при участии ООО «СёрчИнформ»
МИА «РОССИЯ СЕГОДНЯ»
