Защита персональных данных. Что это и как бороться с их кражей?

Везде, куда бы вы не обратились, дают подписать какую-то непонятную бумагу – «согласие на передачу и обработку персональных данных». Согласие приходится давать в поликлинике, школе, детском саду, банке, у работодателя Большинство людей подписывают документ, не читая.

В России с 2007 года действует закон № 152-ФЗ «О персональных данных», но до сих пор многие не ориентируются в его сути и особенностях. Разбираемся вместе.

_{Персональные данные граждан защищены законом, но постоянно похищаются злоумышленниками. Фото: нейросеть}

Что относится к персональным данным

Персональные данные — это любая информация, которая относится к конкретному человеку или позволяет его идентифицировать. Другими словами, это всё, что может помочь узнать личность человека напрямую или косвенно. Чтобы было понятнее, мы сделали таблицу, что относится к персональным данным (далее также – «ПД»):

Даже небольшая утечка таких данных может привести к серьёзным последствиям для человека. Его могут обмануть мошенники или вторгнуться в личную жизнь. для компаний работа с персональными данными связана с жёсткими требованиями закона, и нарушения могут обернуться огромными штрафами.

Кто и когда может оперировать вашими данными

До появления специального закона наказать человека за то, что тот разместил в сети ваше фото, было нельзя. Если нельзя было доказать факт оскорбления, шантажа, то виновный никак за это не отвечал. Такое положение вещей устраивало и мошенников – за небольшую мзду они покупали базы данных у банков, операторов связи и использовали их в своих неблаговидных целях.

Для того, чтобы защитить данные людей, государство обязало компании не только получать согласие от каждого на обработку и хранение его данных, но и охранять полученные сведения от посягательств.

_{Если столько ограничений, любые действия с ПД могут стать нарушением? Фото: нейросеть}

Какие действия с персональными данными считаются нарушением?

Работа с персональными данными требует от компаний строгого соблюдения законодательства. Любые манипуляции, нарушающие правила обработки или защиты данных, могут привести их к серьёзным последствиям — от штрафов до уголовной ответственности виновных лиц. Вот основные примеры таких нарушений:

1. Незаконный сбор данных. Компания, которой вы доверили свои ПД, нарушает закон, если собирает информацию о человеке без его согласия или без законных оснований или использует данные, которые добыла из непроверенных или нелегальных источников (например, через проверку баз данных).

2. Несанкционированная передача данных. Сюда можно отнести:

• передачу ПД третьим лицам без разрешения человека;
• обмен информацией с партнёрами, которые не имеют права её использовать;
• передачу данных за пределы России без уведомления Роскомнадзора.

3. Хранение данных с нарушениями:

• хранение персональных данных в незащищённых системах или в открытом доступе;
• сохранение информации дольше, чем это разрешено законом;
• отсутствие мер защиты данных, что может привести к утечкам.

4. Использование данных для незаконных целей. Например, для рассылок спама, мошенничества или других противоправных действий, в корыстных целях (например, для продажи баз данных).

5. Утечка данных. Она может произойти из-за:

• раскрытия информации из-за ошибок сотрудников (например, отправка данных по ошибке не тому адресату);
• хищения данных злоумышленниками в результате кибератак;
• «слива» данных недобросовестными сотрудниками.

6. Отсутствие уведомлений об инцидентах:

Фирма обязана предоставить информацию о факте утечки данных в Роскомнадзор в течение 24 часов. Если она скрыла масштаб инцидента или попыталась это сделать, она нарушила закон.

7. Нарушение порядка обработки особых категорий данных.

Если организация работает с биометрическими данными, информацией о здоровье или другими чувствительными категориями без специального разрешения или использует такие данные для целей, не предусмотренных законом, — она нарушает закон.

8. Проведение проверок без законных оснований.

Как правило, такое нарушение допускают службы безопасности компаний, когда проверяют кандидатов на работу с использованием нелегальных источников информации (например, так проверяются данные о судимости). Потом результаты проверок используются руководством для отказа в трудоустройстве. Это тоже запрещено трудовым законодательством (за некоторыми исключениями).

9. Создание и использование незаконных баз данных:

• создание или хранение баз данных, содержащих информацию, полученную неправомерно;
• разработка сервисов для «пробива» данных (например, платформы для получения доступа к чужой личной информации).

Любое из перечисленных действий может быть расценено как нарушение закона. С 2025 года такие ошибки будут караться огромными штрафами. Максимальный штраф — до 500 млн рублей. В некоторых случаях виновные «удостаиваются» уголовной ответственности. Чтобы избежать проблем, компании должны строго следовать требованиям закона и внедрять системы защиты данных.

_{Куда пожаловаться на утечку первональных данных? Фото: нейросеть}

Данные «утекли». Что делать владельцу ПД?

С компаниями всё понятно – если те что-то нарушили, их накажут штрафом. Но что делать людям, которые стали жертвой «слива», распространения персональных данных? Как поступить, куда заявить о нарушении? Как всё это поможет обычному человеку?

Если вы узнали, что ваши личные данные оказались в интернете — будь то номер телефона, адрес, паспортные данные или даже информация о банковских счетах — это может вызвать панику. Да, мошенники могут использовать ваши ПД в преступных целях. Однако важно действовать спокойно и поэтапно. Вот что нужно сделать, чтобы минимизировать риски.

1. Оцените масштаб проблемы.

Первым делом определите, какие именно данные попали в сеть — это базовая информация (ФИО, телефон, email) или более серьёзные данные (паспортные данные, номера карт, биометрия)? Чем больше данных утекло, тем выше риск мошенничества или других противоправных действий.

2. Блокируйте доступ к важным ресурсам

Если утекли пароли, логины или данные банковских карт, сразу заблокируйте карты через банк. Для этого позвоните на горячую линию или воспользуйтесь мобильным приложением.

Измените пароли на всех важных аккаунтах: почте, соцсетях, онлайн-банке. Придумайте сложные комбинации, которые ранее не использовали.

Если у вас подключена двухфакторная аутентификация, проверьте, не были ли изменены настройки безопасности.

3. Проверьте активность на своих аккаунтах.

Просмотрите историю входов в свои аккаунты (например, в Gmail можно найти список устройств, с которых был выполнен вход).

Если заметили подозрительную активность, немедленно отключите эти устройства.

4. Мониторьте свою кредитную историю.

Если утекли паспортные данные или информация о ваших доходах, злоумышленники могут попытаться оформить кредит на ваше имя. Регулярно проверяйте свою кредитную историю через Бюро кредитных историй (БКИ).

Можно поставить самозапрет на кредиты через «Госуслуги». Скоро сервис самозапретов станет шире, что ещё больше защитит граждан от мошенников в сети.

5. Уведомите компании, которым давали свои данные.

Если утекли данные, связанные с работой (например, данные из больничного листа или трудовой книжки), сообщите об этом в компанию, которая их хранила. Они обязаны принять меры и уведомить Роскомнадзор.

6. Защитите себя от мошенников.

После утечки данных возрастает риск звонков или сообщений от мошенников. Будьте осторожны:

• не переходите по подозрительным ссылкам;
• не сообщайте коды из СМС или информацию о картах;
• договоритесь перезвонить на официальный номер организации, если кто-то представляется сотрудником банка.

7. Подумайте о дополнительной защите.

Для большей безопасности установите антивирусное программное обеспечение. Используйте менеджер паролей, чтобы хранить уникальные пароли для каждого аккаунта.

Ограничьте количество информации, которую вы публикуете в интернете (особенно в соцсетях).

Утечка персональных данных может привести к серьёзным последствиям: от финансовых потерь до проблем с репутацией. Чем быстрее вы отреагируете, тем меньше шансов, что злоумышленники смогут использовать ваши данные против вас.

Куда жаловаться на «слив» данных?

После того, как вы максимально защитили свои данные и аккаунты, чтобы злоумышленники не смогли бы ими воспользоваться, пришло время подумать и о наказании виновных. Для этого можно обратиться сразу в несколько органов.

В правоохранительные органы (полицию).

Подать заявление можно придя в отделение полиции лично, а также онлайн на сайте мвд. рф в разделе «для граждан», «приём обращений». Также заявление можно подать через ЛК на «Госуслугах».

Если ваши данные используются для мошеннических действий (например, звонят с требованием денег или оформляют кредиты на ваше имя), напишите заявление в полицию. Укажите, какие данные утекли и какие последствия уже произошли (например, подозрительные транзакции), где вы обнаружили утечку.

В прокуратуру

Обращение можно оставить на сайте в разделе «Обращения граждан» либо подать через «Госуслуги» в разделе «Подача обращения в органы прокуратуры».

В Роскомнадзор

Жалобу можно подать через официальный сайт Роскомнадзора, в разделе «Общественная электронная приёмная». Либо посетите отделение Роскомнадзора лично, взяв с собой два экземпляра заявления и свой паспорт.