Наказание за «слив» персональных данных хотят ужесточить

В последние годы проблема защиты персональных данных (ПД) приобрела особую остроту. Огромное количество пользователей социальных сетей и медиаплатформ предоставляет свою личную информацию в обмен на возможность воспользоваться определенными услугами. При этом в руках IT-компаний оказываются массивы данных, расшифровав которые, можно узнать любые подробности жизни человека. Нередко эти сведения незаконно утекают третьим лицам без всякого согласия… В преддверии Международного дня защиты персональных данных «Парламентская газета» выясняла, как законодательство охраняет персональную информацию и что намерены делать парламентарии для совершенствования этой сферы.

Какие данные относятся к персональным?

Название федерального закона, который прямо регулирует работу с персональными данными, говорит само за себя: «О персональных данных». Согласно ему, ПД — это любая информация, относящаяся к физическому лицу.

При этом данные бывают специальными — информация о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. Есть и общедоступные — те, которые человек самостоятельно предоставляет той или иной инстанции и которые с точки зрения закона не считаются конфиденциальными: Ф. И. О., дата и место рождения, номер телефона, место работы или учебы, а также информация, предоставляемая при трудоустройстве, переписи населения и других подобных ситуациях. Или интернет-сведения: е-mail, IP-адрес, геолокация, файлы, фотографии, информация о поведении пользователя на сайте.

По факту нашими персональными данными располагают все сайты, где есть формы обратной связи, возможность разместить объявление или зарегистрироваться в личном кабинете, анкеты для заполнения, форма подписки для рассылки или заказа товара или услуги.

Также в число ПД входят биометрические данные, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность, — отпечатки пальцев, ДНК-материалы, рисунок радужной оболочки глаза.

За обработку всех этих сведений отвечают операторы персональных данных (банки, работодатели, медицинские организации, интернет-сайты и прочие структуры), к которым закон предъявляет ряд конкретных требований. Например, они обязаны обеспечить определенным уровнем защиты, соответствующим угрозам и категориям данных, информационные системы ПД, а серверы, на которых они хранятся, должны находиться исключительно на территории России.

Кроме того, операторам необходимо уведомлять пользователей о сборе их данных и получать на это персональное согласие. Не делать этого они могут только в случаях, когда личная информация человека нужна для соблюдения трудового законодательства и когда человек сам сделал свои данные общедоступными.

Также согласие на обработку данных не требуется, если сведения получены в результате договора и используются для его исполнения и если информация включена в государственные информационные системы, созданные для защиты порядка и безопасности.

Операторы ПД обязаны знакомить людей с политикой обработки данных, обеспечивать их тайну, сохранность, точность, не передавать их третьим лицам, использовать ПД только в заявленных целях и не собирать лишние сведения. Например, операторы не могут запрашивать данные о семейном, имущественном положении в форме заказа товара.

Контролирует исполнение всех требований Роскомнадзор, а также ФСБ России и Федеральная служба по техническому и экспортному контролю (ФСТЭК России).

Какая ответственность предусмотрена для операторов данных?

За нарушение законодательства в части сохранения персональных данных предусмотрена как административная, так и уголовная ответственность.

Кодекс об административных правонарушениях позволяет привлечь операторов за использование несертифицированных средств защиты информации. Гражданам за это могут выписать штраф до 2,5 тысячи рублей, должностным лицам — до трех тысяч, юридическим  - до 25 тысяч рублей. Меньше заплатит тот, кому вменят нарушение требований о защите информации: гражданин — тысячу рублей, чиновник — две тысячи, компания — 15 тысяч. За разглашение сведений с ограниченным доступом (к коим относятся и персональные сведения) с гражданина также взыщут тысячу, а с должностных лиц — до пяти тысяч рублей.

Чуть серьезнее санкции для операторов, не позаботившихся о сохранности обрабатываемой информации, что открыло к ней неправомерный доступ или позволило скопировать и распространить. В этом случае граждане поплатятся штрафом две тысячи рублей, должностные лица — до десяти тысяч, ИП — до 20 тысяч, юрлица — до 50 тысяч рублей.

Правда, на практике получается, что действующие санкции недостаточно эффективны, отметила член Комитета Совета Федерации по конституционному законодательству и государственному строительству Елена Мизулина. И, подчеркнула она, периодически возникают скандальные истории утечки баз данных сотен тысяч людей.

«Сливной бачок»

Один из последних подобных случаев связан со «сливом» в Сеть сведений о трехстах тысячах жителей Москвы, переболевших коронавирусом. Из-за ненадлежащего хранения баз данных в свободном доступе оказались имена, адреса, номера телефонов и полисов ОМС, ключи доступа к системе учета, а также диагнозы пациентов, проходивших лечение от COVID-19 в период с апреля по июнь 2020 года.

То же самое случилось с фотографиями смартфонов с установленным мобильным приложением по мониторингу самоизоляции, скриншотами из программы «Мониторинг заболеваемости 1С», где видны паспортные данные москвичей.

«Конституция РФ гарантирует право граждан на неприкосновенность частной жизни, — напомнила Елена Мизулина. — Но в условиях цифровизации, к сожалению, персональные данные человека, а это и есть неотъемлемая часть его частной жизни, становятся все более доступными и открытыми для широкого круга пользователей и чаще всего вопреки его воле. Реализация многих положений о защите персональных данных зависит от усмотрения специалиста в области IT-технологий, собственников интернет-ресурсов, которые таким образом как бы приобретают власть над другими людьми. Такое информационно-правовое регулирование создает риски недобросовестного использования персональных данных людей в чьих-то корыстных или иных личных интересах».

Поэтому, рассказала сенатор, председатель Комитета Совета Федерации по конституционному законодательству и государственному строительству Андрей Клишас поручил оценить, насколько соразмерна существующая ответственность за нарушение неприкосновенности частной жизни общественной опасности такого нарушения. Скорее всего, за этим последует увеличение санкций, подчеркнула Мизулина.

А в Госдуме такую работу уже начали. Глава Комитета по информационной политике, информационным технологиям и связи Александр Хинштейн сообщил «Парламентской газете», что депутаты готовят законодательные инициативы, усиливающие наказание за незаконный оборот персональных данных и их утечку.

Однако работа над информационным законодательством на этом не закончится. Елена Мизулина также рассказала, что поскольку эта область права очень противоречива, громоздка, то парламентариям предстоит заняться ее серьезной переработкой и систематизацией.

Как уничтожить свои данные в Сети?

Закон закрепляет право субъектов персональных данных обжаловать в судебном порядке действия или бездействие оператора, если есть подозрение в том, что он не выполняет требования законодательства. Когда, например, не защитил данные от несанкционированного доступа. Также люди вправе обратиться в суд с иском о возмещении морального вреда.

Кроме того, владельцы информационных ресурсов обязаны уничтожить ПД, если они получили требование физлица об их удалении. Сроки уничтожения данных зависят от того, что конкретно потребовал клиент в письме.

Так, если человек попросил уничтожить ПД из-за того, что они были незаконно получены или не являются необходимыми для заявленной цели обработки, то оператор должен избавиться от них в течение семи рабочих дней. Правда, в законе оговаривается, что для удаления данных оператор должен иметь сведения, подтверждающие, что ПД действительно получены им неправомерно.

Помимо этого, интернет-пользователь может отозвать согласие на обработку его персональных данных. В этом случае оператор обязан в течение 30 дней прекратить их обработку.

Однако компания вправе продолжить обработку ПД без согласия субъекта при наличии некоторых оснований: например, если обработка ПД необходима для достижения целей, предусмотренных международным договором РФ, а также если обработка ПД нужна для исполнения договора, «стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных» (статья 6 Закона №152-ФЗ).

Если операторы по требованию физлица не приняли меры по уточнению, блокированию или уничтожению данных в сроки, установленные законодательством, то им грозят штрафы. Для должностных лиц штраф составляет от 4 до 10 тысяч рублей, для ИП — от 10 до 20 тысяч, для юрлиц - от 25 тысяч до 45 тысяч рублей.

Кроме того, если компания обрабатывает ПД без согласия клиента, то штраф для должностных лиц составит от 10 до 20 тысяч, для юрлиц — от 15 до 75 тысяч рублей.

В Госдуме считают, что граждане должны иметь право на удаление своих данных без судебных разбирательств, без объяснения причин и доказывания нарушений. Закон на эту тему одобрен парламентом. Его автор, член Комитета Госдумы по информационной политике, информационным технологиям и связи Антон Горелкин сообщил, что под его действие попадут операторы ПД, которые выкладывают их в общий доступ. Это прежде всего социальные сети, различные мессенджеры, IT-компании, банки данных. Причем у зарубежных соцсетей будут те же обязательства, что и у российских, отметил депутат.

Кроме того, закон предоставляет пользователям при регистрации в соцсети или оформлении услуги право дать или не дать согласие на передачу своих данных третьим лицам, выставить условия их использования, определить категории данных, которые можно или нельзя передавать. Например, фото копировать можно, а тексты нельзя, пояснил Горелкин.

Как защитить свои данные в Интернете?

Несмотря на то что именно владельцы сайтов ответственны за охрану персональных данных, предотвратить утечку своих сведений пользователи могут и сами.

Например, председатель общественной организации по защите прав потребителей «Общественная потребительская инициатива» Олег Павлов посоветовал читателям «Парламентской газеты» в первую очередь не регистрироваться на сомнительных сайтах, не оставлять на них свой номер телефона, электронную почту, свои профили в соцсетях и тем более свои платежные данные — ни через банковские формы, ни через предоставление фотографий своей карты.

«Кроме того, перед тем как вы собираетесь заполнить форму со своими контактными данными и другими персональными данными, посмотрите соглашение об обработке ПД: кто именно занимается обработкой данных, какому юрлицу или ИП вы их предоставляете, имеет ли право это лицо распространять дальше эти данные, — конкретизировал эксперт. — Если эта информация неочевидная, скрытая или ее сложно найти, это явный признак того, что вы имеете дело с недобросовестной компанией или мошенниками».

Он уточнил, что все крупные и серьезные компании размещают на своих сайтах соглашение об обработке ПД, указывают реквизиты, позволяющие их идентифицировать как юрлиц.

Отдельно эксперт обратил внимание на интернет-магазины, порекомендовав покупать только в известных компаниях. «Либо, если цена очень привлекательна на каком-то малоизвестном сайте, нужно выбирать способ оплаты только после получения товара и ознакомления с ним. Потому что мошенники часто предлагают наложенный платеж, когда вы вынуждены оплатить «кота в мешке» до того, как сможете распаковать товар. С такими сайтами вы не только рискуете потерять ПД, но и, предоставив свои платежные данные, деньги». РФС

Громкие случаи утечек персональных данных в России в 2019-2020 годах

3 октября 2019. База данных с подробной информацией о владельцах 60 миллионов кредитных карт Сбербанка (как действующих, так и закрытых) оказалась на черном рынке. Эта утечка стала самой крупной в российском банковском секторе.

28 января 2020. в ряде Telegram-каналов появилась информация о том, что в открытом доступе находится база данных со списком участников программы лояльности алкомаркетов «Красного & Белого» — почти 17 миллионов покупателей компании с оформленной картой лояльности.

1 февраля 2020. в Сети были обнаружены данные клиентов кредитного брокера «Альфа-Кредит«, который собирает заявки на кредиты и помогает выбрать и получить заем в банке — более 44 000 записей с инициалами клиентов, суммами и видами запрашиваемого кредита, номерами телефонов, адресами.

11 февраля 2020. «Лента» выпустила пресс-релиз, в котором сообщила, что ее внутреннее расследование не выявило утечек данных клиентов.

6 февраля 2020. СМИ сообщили о продаже в Интернете данных более 1,2 миллиона клиентов российских микрофинансовых организаций.

16 апреля 2020. в открытом доступе была обнаружена база данных клиентов программы лояльности розничных сетей «К-Руока» и «К-Раута», которые в России развивала финская Kesko с 2011 по 2018 год, — более 970 тысяч строк с данными клиентов, включая Ф. И. О., дату рождения, телефон, электронную почту, город и район проживания, количество человек в семье.

29 апреля 2020. стало известно, что на продажу были выставлены персональные данные россиян, которые оформляли микрозаймы в 2017-2019 годах, — 12 миллионов записей с паспортными данными, телефонами и сведениями об электронных кошельках (в пробной бесплатной версии — 1,8 тысячи человек).

23 июня 2020. стало известно, что эксперты компании DeviceLock обнаружили утечку данных почти пяти миллионов пользователей в РФ, предположительно с одного из порталов по трудоустройству, — контактные данные и Ф. И. О., которые можно было скачать бесплатно.

20,7 тысячи преступлений, совершенных с использованием информационно-телекоммуникационных технологий, зарегистрировано в январе — октябре 2020 года (на 75,1 процента больше, чем за аналогичный период 2019 года)

Источник: МВД России, 2020 год