Чем грозит утечка персональных данных
Утечки персональных данных из банка: насколько это опасно и как защитить себя
6 Время прочтения: 5 минут
Данные из банков утекают редко, но метко: опасность стать жертвой мошенников, получивших доступ к персональной информации, велика. Разбираем правила защиты со специалистом в области расследований Никитой Артемовым.
Персональные данные — спорный термин. Под ним могут подразумеваться базы данных социальных сетей, списки сотрудников организаций, информация о клиентах интернет-магазинов и многое другое. И эти базы данных из разных компаний периодически «утекают».
В связи с этим у обычного человека возникают вопросы:
Разберемся по порядку.
Почему наши данные «утекают»
Утечки персональных данных из банков случаются намного реже, чем из небанковских организаций. Банки могут позволить себе ставить дорогостоящее программное обеспечение, которое сильно снижает риски утечек.
Многие считают, что банки подвергаются только атакам извне и всему виной хакеры. На самом деле обойти защищенный информационный периметр банка сложно и потому безумно дорого. Особенно когда конечной целью является получение базы данных клиентов. Результаты расследований самых крупных инцидентов утечек говорят о том, что данные «утекают» именно по вине рядового персонала, который допускает ошибку либо осознанно продает информацию. Поэтому демонизировать «страшных хакеров» не стоит.
Какая информация может быть в утечках
Ценность любой «уплывшей» базы зависит от конкретных данных, которые в ней содержатся. Сведения о номерах карт или счетов клиентов в связке с Ф. И. О. по понятным причинам считаются очень ценными. Также в базе могут содержаться данные об остатках средств на счетах клиентов, что тоже полезно для реализации многих мошеннических действий в дальнейшем. А вот ценность базы, которая содержит, например, только контактные данные (почта и номер телефона), название банка и Ф. И. О. клиентов, будет на порядок ниже.
Самую большую опасность несут «обогащенные» базы данных. Предположим, «утекли» данные из какого-нибудь банка и крупного интернет-магазина. Злоумышленник может дополнить общий «цифровой профиль» конкретного человека, используя данные двух баз, так как объект может одновременно находиться в обеих. В этом случае из одной базы можно получить контактную информацию, а из другой — платежную.
В чем опасность
Векторов атак, доступных злоумышленникам после получения на руки базы персональных данных, не так много, как может казаться. Ключевой тип атаки — социальная инженерия. Рассмотрим два самых частых сценария.
1. Массовая фишинговая рассылка. Составляется письмо, внутри которого будет ссылка, ведущая на вредоносный ресурс (например, сайт, который просит ввести данные банковской карты или нечто подобное). Эффективность этого метода до сих пор составляет порядка 10—12%. Это довольно большая цифра при условии того, что все слышали про такой тип мошенничества. «Второе дыхание» у фишинга открылось в последний год благодаря пандемии.
2. Вишинг. Это «легендированный прозвон», задача которого — сделать так, чтобы жертва сама сообщила нужную злоумышленнику информацию. Для увеличения доверия к мошеннику используются персональные данные, полученные из той самой утечки. Соответственно, чем больше информации есть у злоумышленника, тем больше вероятность, что жертва поверит в «развод».
Полученные в результате фишинга и вишинга сведения могут быть использованы как для похищения денег со счетов, так и для оформления кредитов на жертву.
Пример из практики. В 2019 году один из моих клиентов случайно обнаружил у себя задолженность по платежам в нескольких кредитных организациях. Общая сумма долга составила более 350 тыс. рублей. Мошенники получили доступ к его персональным сведениям после утечки данных 900 тыс. человек клиентов Альфа-Банка, ОТП Банка и Хоум Кредит Банка в мае 2019 года. Все кредиты на клиента были оформлены в нескольких микрофинансовых организациях ровно через сутки после той самой утечки, причем он одновременно являлся клиентом ОТП Банка и Альфа-Банка. Примечательно, что кусок базы, относящийся к Альфа-Банку, был составлен по жителям Северо-Западного федерального округа, в котором как раз и проживал мой клиент. В той утечке были паспортные данные, сведения о месте работы и номера телефонов. Для многих кредитных организаций этих данных вполне достаточно, чтобы оформить кредит дистанционно. В тех организациях, где необходимо прислать фото паспорта, злоумышленники пользуются сервисами, которые генерируют сканы паспортов. Туда достаточно ввести данные паспорта жертвы.
К сожалению, для моего клиента эта история закончилась печально: доказать, что кредиты были оформлены без его ведома, не удалось, и ему пришлось самостоятельно погашать задолженность.
Как с этим бороться?
Повлиять на уменьшение числа утечек мы с вами не можем никак. Со стороны государства недавно начались подвижки в эту сторону за счет ужесточения ответственности и увеличения штрафов. Также в Госдуме недавно предложили законопроект, который позволит гражданам заранее отказываться от любых кредитов и не платить по ним, если их все-таки оформят. Правда, об эффективности этого проекта говорить пока сложно. Например, не ясно, на какие именно финансовые организации будет распространяться запрет. Также всегда остается риск недобросовестных действий со стороны сотрудников этих финансовых организаций. И наконец, мошенники могут посредством того же вишинга получить доступ к учетным записям граждан на «Госуслугах» и снять запрет. В общем, такая мера может снизить число пострадавших, но полностью проблему не решит.
Что можете сделать лично вы?
Главный способ минимизировать возможный ущерб — быть внимательным. Нужно сразу же вешать трубку в случае звонка из любого банка. Лучше перезвонить самому на официальный номер и спросить, звонили ли вам из банка. В 99% случаев вам скажут, что никто не звонил. То же касается и писем. Всегда проверяйте ссылки специальными сервисами, хотя бы банальным VirusTotal, а лучше вовсе не переходите ни на какие сайты с подозрительным содержанием. И в целом повышайте свой уровень знаний в области цифровой гигиены. В современных реалиях это стало одним из важнейших навыков.
Никита АРТЕМОВ для Banki.ru
\n \n\t\t\t \n\t\t\t \n\t\t \n\t»,»content»:»\t\t
Что делать, если просят копию паспорта?
Насколько я понимаю, любая организация, у которой есть копия моего паспорта или мои паспортные данные, становится обладателем моих персональных данных и обязана их хранить.
Могу ли я потребовать с организации письменное обязательство о неразглашении моих персональных данных?
Вы совершенно правы. В паспорте содержатся ваши персональные данные. Тот, кому вы их предоставляете, становится оператором персональных данных и должен соблюдать требования закона: использовать данные для конкретной цели, хранить в защищенном месте и не допускать утечки. Операторы сами должны запрашивать ваше согласие на обработку персональной информации.
Насторожитесь, когда копию паспорта делают без вашего согласия. Если паспортные данные окажутся у мошенников, вас могут ждать неприятные последствия.
Мы уже не раз писали про персональные данные. Но давайте еще раз вспомним главное.
По закону персональные данные — это любая информация, относящаяся к физическому лицу. Любой, кто получает и использует сведения о других людях, становится оператором персональных данных и должен соблюдать требования закона.
Нельзя обрабатывать, хранить и распространять информацию о человеке без его согласия.
Поэтому вы смело можете запросить у фирмы, которая получила копию вашего паспорта или паспортные данные, обязательство не разглашать эти данные. А лучше потребовать у компании соглашение на обработку данных. Оно обязательно должно быть.
По закону оператор должен получить письменное согласие на обработку персональных данных, если эти данные не нужны суду или гос. органам (ст. 6 Закона о персональных данных). В согласии должны быть прописаны данные, которые от вас требуются, и цель, для которой они нужны.
Если соглашения нет, возможно, вы имеете дело с мошенниками.
Чем грозит утечка паспортных данных
На ваше имя могут оформить кредит или микрозаем. Мошенникам достанутся деньги, а вам — звонки коллекторов и обязанность погасить долг. Конечно, такой кредит можно оспорить в суде, но вы потратите время и нервы.
Ваши данные могут использовать для незаконных финансовых операций. Чтобы снять ограничения в некоторых платежных системах, достаточно предъявить фото паспорта. В этом случае вы рискуете стать участником дел о незаконной торговле или финансировании терроризма.
Как обезопасить себя
Во-вторых, не давайте делать копии всех страниц паспорта. Первой страницы и страницы с пропиской обычно достаточно.
Наконец, по возможности напишите на копии паспорта, для какой фирмы она сделана. Либо замажьте или зачеркните какие-нибудь данные, например вашу подпись.
Если у вас есть вопрос о личных финансах, правах и законах, здоровье или образовании, пишите. На самые интересные вопросы ответят эксперты журнала.
Утечка персональных данных: последствия
Защита персональных данных
с помощью DLP-системы
У течки персональных данных нередки в работе компаний и государственных органов. Часто они связаны с недобросовестным отношением к их защите. Следствия утечек могут быть и очень серьезными, и незначительными. Защита от них должна стать задачей и операторов, и субъектов персональных данных.
Кто может пострадать
Персональные данные – это любая информация о человеке, которая связана с ним, позволяет идентифицировать его в полной мере, получить иные сведения о нем, совершать какие-либо посягательства на тайну его личной жизни или на имущество. В группе риска утраты важной информации при проведении обработки персональных данных оказываются многие люди, среди них:
Причины утечек
Любая организация, которая в своей деятельности обрабатывает персональные данные, обязана предпринять комплекс организационных и технических мер, направленных на их защиту. Перечень этих мер и способов регламентируется для каждой группы данных. При разработке системы таких технических и административных решений используется модель угроз, в которой учитываются риски двух типов:
Первый тип угроз, представляющих собой неправомерное проникновение в защищенный информационный периметр организации-оператора, – хакерские атаки, которые в России редко становятся серьезными угрозами для жизни и здоровья граждан. Прекратились появления в Сети баз данных ЦБ РФ, ГИБДД, Пенсионного фонда – информационные системы защищены серьезно, а утечка массива сведений, защищенных средствами криптографической защиты, без возможности персонификации, не несет серьезных рисков. Сократилось и количество внешних атак на сайты банков.
Вторые реализуются наиболее часто. Гражданин предоставляет сведения о себе во множестве случаев в медицинском учреждении, в туристическом агентстве, в котором для оформлении визы он практически полностью раскрывает сведения о своем финансовом статусе. Согласие на обработку персональных данных зачастую не подписывается. Таким образом, паспортные данные, сведения о недвижимости, доходах, операциях по банковской карте оказываются в незащищенном виде в компьютере, на котором может не быть даже антивирусной защиты. В этом случае доступ к ним становится возможным:
Частые случаи, появляющиеся в судебной практике, в которых штрафуются или наказываются иным образом врачи или сотрудники банковских учреждений, допустившие утечку сведений, например, паспортных данных, говорят о существовании проблемы и ее серьезности.
Последствия утечек
Последствия утечек могут оказаться серьезными и для владельцев данных, и для операторов. Для первой группы существуют многочисленные риски стать жертвой злоумышленников. Они могут пострадать:
Минимальным риском станет неправомерная передача сведений, например, адреса электронной почты, каким-либо компаниям, которые начнут преследовать их обладателя рекламными объявлениями. Но даже это дает возможность возбудить дело и о неправомерной рекламе, и об утечке данных и приведет к штрафам, налагаемым на операторов, если источник утечки или спама удастся достоверно установить.
Операторы, в свою очередь, допустившие утечку персональных данных, понесут ответственность:
Пока серьезность исков о возмещении морального вреда, связанного с утечкой конфиденциальной информации, компаниями серьезно не рассматривается. Даже если судом установлен такой факт, размер присужденных сумм редко превышает несколько десятков тысяч рублей даже в столице. В регионе суд скорее откажет в удовлетворении требований, предъявляемых как к банкам, так и к интернет-магазинам. Более серьезными становятся ситуации, когда в спор вмешиваются регуляторы и доводят ситуацию до возбуждения уголовного дела.
Как избежать негативных последствий от утечек данных
Меры по защите информации требуют не только исполнения операторами обязанностей, установленных законом, но и осмотрительности от субъектов персональных данных. От первых потребуется максимально внимательно относиться к соблюдению требований закона, постановлений правительства РФ и нормативных актов ФСТЭК России, которыми определяется необходимый уровень технических средств, призванных защитить персональные данные от утечки. Это такие меры, как:
Все эти меры защиты от утечек данных требуют существенных средств, но они внедрены в большинстве государственных учреждений и крупных компаниях. В зоне риска продолжают оставаться небольшие фирмы, чаще работающие на рынке оказания услуг гражданам. Они далеко не всегда попадают в перечень проверок Роскомнадзора, так как не считают необходимым действием регистрацию в качестве операторов. Даже если это будет произведено, создание системы технической защиты информационных баз персональных данных является затратным мероприятием, которое не все могут себе позволить. Именно это требует проявления осмотрительности от граждан при выборе поставщика услуг и взаимодействиях с ним. Среди таких правил:
Соблюдение осторожности и операторами, и гражданами позволит минимизировать риски. Всегда нужно помнить, что полностью возместить материальный и моральный ущерб у гражданина не получится.
Ответственность за нарушение закона о персональных данных
Лицам, нарушившим требования закона о персональных данных, в зависимости от конкретных обстоятельств и серьезности деяния может грозить не только административная и уголовная ответственность, но также гражданско-правовая и даже дисциплинарная (таблица 1). При этом административная ответственность с 1 июля 2017 года ужесточилась – вместо одного состава правонарушения ст. 13.11 КоАП РФ теперь предусматривает семь, а максимальный штраф составляет 75 тыс. руб.
Таблица 1. «Виды ответственности за нарушение закона о персональных данных»
Вид ответственности
Нарушение
Санкция
Норма
Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации
Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб.
Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных
Предупреждение или административный штраф:
Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие
Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных
Предупреждение или административный штраф:
Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных
Предупреждение или административный штраф:
Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки)
Предупреждение или административный штраф:
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них
Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов
Предупреждение или наложение административного штрафа на должностных лиц в размере от 3 тыс. до 6 тыс. руб.
Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде
Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ
То же деяние, совершенное с использованием служебного положения
Незаконное публичное распространение информации, указывающей на личность лица, не достигшего 16 лет, по уголовному делу, либо информации, содержащей описание полученных им в связи с преступлением физических или нравственных страданий
Ш траф от 100 тыс. до 300 тыс. руб., либо лишение права занимать определенные должности на срок от трех до пяти лет, либо принудительны е работ ы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет или без такового ), либо арест на срок до шести месяцев, либо лишение свободы на срок до пяти лет ( с лишением права занимать определенные должности на срок до шести лет )
Неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам граждан
Ш траф до 200 тыс. руб., либо лишение права занимать определенные должности на срок от двух до пяти лет
Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование
Причинение лицу убытков в результате нарушения правил обработки его персональных данных.
Под убытками при этом понимаются:
Причинение гражданину морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных
Компенсация морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков)
Разглашение одним работником персональных данных другого, если они стали известны ему в связи с исполнением трудовых обязанностей
Иные нарушения в области персональных данных при их обработке
Персональные данные: как их защищать и чем опасны утечки
Вспомним несколько недавних происшествий, связанных с массовыми утечками ПДн.
В апреле 2019 стало известно о том, что некоторые электронные торговые площадки выкладывают в открытый доступ персональные данные участников закупок. Скомпрометировано более двух миллионов записей, в том числе номера СНИЛС, паспортов и сведений о трудоустройстве.
В апреле Следственный комитет сообщил о начале проверки информации об обнаружении в открытом доступе в интернете базы данных пациентов скорой помощи нескольких подмосковных городов (Мытищи, Дмитров, Долгопрудный, Королев и Балашиха). В открытом доступе оказались имена, адреса, телефоны и сведения о состоянии здоровья обратившихся к врачам.
Месяцем позже стало известно, что в результате утечек из государственных информационных систем в открытом доступе находятся записи реестра субсидий федерального бюджета Минфина, реестра отчётов некоммерческих организаций Минюста, реестра обращений граждан на портале Роструда «Электронный Инспектор», информационной системы «Правовые акты ФАС России», портала торгов по госимуществу ФАС, портала управления многоквартирными домами Москвы, московского портала закупок и портала государственного и муниципального заказа федерального казначейства.
Также в СМИ появилась информация о том, что одна из крупных российских платформ для продажи билетов на развлекательные мероприятия хранит десятки тысяч уже проданных электронных билетов в открытом доступе. Любой человек может получить доступ к персональным данным пользователей платформы, в том числе к паролям клиентов.
Систематически в масштабных утечках персональной информации обвиняются социальные сети, в частности Facebook.
Что такое персональные данные
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Так указано в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», этот федеральный закон регулирует обработку персональных данных.
Также согласно 152-ФЗ, оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
К персональным данным могут быть отнесены фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Главное условие — по этим данным должно быть возможно однозначно определить, к какому конкретно человеку она относится.
Например, информация вида «Иванов Иван Иванович» сама по себе не позволяет определить, к кому она относится. Но информация вида «Иванов Иван Иванович, родившийся 01.01.1901 в г. Керчь» уже дает возможность однозначно идентифицировать человека.
Вместе с тем если сочетание фамилии, имени и отчества является настолько редким, что явно указывает только на одного человека, такая информация уже будет считаться персональными данными.
Чем опасны утечки персональных данных
Утечка персональных данных может произойти по объективным причинам, например из-за технического сбоя, или по субъективным, к которым относятся небрежность сотрудников, хакерские атаки или корыстные цели персонала.
В любом случае, если паспортные или другие персональные данные в результате окажутся в руках злоумышленников, они могут использоваться в преступных целях.
Используя ПДн, можно получить доступ к средствам на банковских картах жертвы, а также взять кредиты в нескольких банках на имя пострадавшего. В дальнейшем взыскивать долг по ним коллекторы будут именно с того лица, на которое оформлен заём, до тех пор, пока лицо не добьется своего признания жертвой мошенничества.
Получив доступ к персональным данным, можно совершать и другие юридические действия: незаконные манипуляции с чужой недвижимостью, перевод долгов, открытие так называемых фирм-однодневок.
Как защитить персональные данные
Операторы персональных данных должны принимать меры для их защиты. Конкретного списка нет, каждый оператор самостоятельно решает, какие именно меры и в каком объеме он будет применять.
Часть мероприятий прописана в законе №152-ФЗ «О персональных данных»: в организации необходимо утвердить политику в отношении обработки персональных данных, назначить ответственного за организацию обработки персональных данных, утвердить перечень работников, имеющих доступ к персональным данным, и заключить с ними соглашение о неразглашении этих данных.
Однако просто подписать приказы и соглашения недостаточно. В зависимости от категории персональных данных и способа их обработки (в электронном виде или на бумажном носителе) потребуется также обеспечить их физическую безопасность. Например, хранить документы в сейфе, ограничить доступ к помещению посторонних лиц, вместо мусорной корзины использовать измельчитель документов и так далее.
Чтобы надлежащим образом организовать защиту электронных персональных данных, потребуется изучить ряд нормативных актов, в том числе:
Сейчас нарушение российского законодательства о персональных данных обходится дешевле, чем его исполнение. Расходы на приобретение технических средств защиты информации и их обслуживание могут оказаться в десятки раз дороже, чем уплата штрафа. В лучшем случае российские компании размещают на официальном сайте политику обработки персональных данных. Но даже этот локальный акт может оказаться декларативным, поскольку механизмы, необходимые для реальной защиты и контроля за обработкой персональных данных, например разграничение прав доступа или режим хранения, зачастую попросту отсутствуют.
Что делать, если вы узнали об утечке своих данных
Во-первых, необходимо обратиться в суд за возмещением морального вреда.
Так, житель Владивостока смог взыскать 10 тысяч рублей с ПФР за то, что его сотрудники разместили на стенде в качестве образца заявление о выдаче дубликата страхового свидетельства, заполненное на имя этого гражданина с указанием его персональных данных: ФИО, даты рождения, адреса, паспортных данных и СНИЛС (определение Приморского краевого суда от 14.07.2014 по делу № 33-5960).
В другом случае житель Башкирии обнаружил, что юрист, представляющий его интересы в деле о смерти сестры, в составе рекламы своих услуг в интернете разместил персональные данные умершей: фамилию, инициалы и дату смерти. Поскольку согласие на это брат не давал, суд взыскал в его пользу 7 тысяч рублей (апелляционное определение Верховного суда Республики Башкортостан от 18.05.2017 по делу № 33-10180/2017).
Собственница квартиры в Выборге задолжала за коммунальные услуги. Управляющая компания наняла фирму для взыскания долга. За то, что персональные данные собственницы были переданы фирме без её согласия, управляющая компания заплатила пострадавшей 5 тысяч рублей (апелляционное определение Ленинградского областного суда от 21.02.2018 № 33-337/2018 по делу № 2-2350/2017).
Заёмщик из Чувашии получил 3 тысячи рублей за то, что банк отправил письмо, адресованное ему и содержащее сведения о его кредитной карте, не по адресу, указанному в заявлении на получение кредитной карты, а по месту работы, где оно было вскрыто как служебное письмо (апелляционное определение Верховного суда Чувашской Республики по делу № 33-1265/2017).
Москвичка смогла доказать, что её персональными данными воспользовались мошенники и оформили на её имя договор, задолженность по которому с неё начала взыскивать микрофинансовая компания. В результате эта компания вынуждена была выплатить 5 тысяч рублей в качестве компенсации морального вреда за неправомерную обработку персональных данных (апелляционное определение Московского городского суда от 12.12.2018 по делу № 33-54443/2018).
Однако суды не единодушны в решениях по таким делам. Например, житель Санкт-Петербурга, на которого мошенники оформили кредит, ничего не смог получить от банка, незаконно требовавшего с него кредитный долг через коллекторов (апелляционное определение Санкт-Петербургского городского суда от 04.07.2018 № 33-13352/2018 по делу № 2-4806/2017).
Если нравственные страдания истцам по таким делам в большинстве случаев удается компенсировать, то доказать, что утечка персональных данных повлекла вред здоровью (физические страдания), значительно сложнее.
Так, жительница Санкт-Петербурга утверждала, что её самочувствие ухудшилось и ей пришлось обращаться к дерматологу и неврологу из-за судебных тяжб с банком, который пытался взыскать с неё задолженность по кредиту, оформленному на её имя мошенниками. По делу была назначена судебная экспертиза, согласно заключению которой имеющиеся у истицы заболевания в виде акне и невралгии седалищного нерва не были признаны следствием действий банка по взысканию несуществующего долга. В итоге суд взыскал с банка 10 тысяч рублей за нравственные страдания, причинённые неправомерной обработкой персональных данных (апелляционное определение Санкт-Петербургского городского суда от 16.08.2018 № 33-17089/2018 по делу № 2-293/2018).
Во-вторых, помимо морального вреда, в суде можно потребовать возмещения убытков, причинённых утечкой персональных данных. Чтобы добиться компенсации материального ущерба, потребуется доказать наличие этих убытков.
В-третьих, потребовать удалить сведения из публичного доступа. Для этого можно обратиться в суд, но чтобы более оперативно устранить утечку, сначала лучше обратиться напрямую к нарушителю.
Что грозит нарушителю
Публикация паспортных или иных персональных данных лица без его согласия нарушает законодательство в области персональных данных.
Размеры штрафов за неисполнение требований в области персональных данных указаны в КоАП в ст. 13.11. Максимальный из них — 75 тысяч рублей.
Однако сейчас нарушителей наказывают не за утечку данных, а за невыполнение формальных требований. Чтобы устранить этот пробел, в 2018 году Минкомсвязь разработала соответствующие дополнения в закон «О персональных данных» и Кодекс об административных правонарушениях.
Как упорядочивают оборот данных
Минкомсвязь разместила для общественного обсуждения два законопроекта, ужесточающих ответственность в сфере персональных данных.
Законопроекты запрещают компаниям и частным лицам создавать общедоступные базы с персональными данными, собранными из государственных и муниципальных информационных систем. Нарушение этого запрета повлечёт предупреждение или штраф в размере:
Также согласно законопроектам, операторам, которые поручают обработку персональных данных другому лицу, придется контролировать своего подрядчика и отвечать за его действия. Как именно вести такой контроль, решит сам оператор. За невыполнение обязанности по контролю оператору вынесут предупреждение или штраф:
Подрядчика ждет более суровое наказание:
Оба законопроекта по состоянию на конец мая 2019 года еще не внесены в Госдуму.
Почему утечки продолжаются
Предложенные нормы призваны стимулировать операторов персональных данных отвечать за действия подрядчиков, чтобы те не нарушали законодательство. Но эти меры могут не сработать, поскольку штрафы незначительны: чтобы законопроекты принесли результат, уплата штрафа должна обходиться дороже, чем внедрение системы защиты информации.
Такого подхода придерживались в Евросоюзе при разработке Общего регламента по защите данных (GDPR), который вступил в силу в мае 2018 года. Его исполнение обязательно для всех организаций, в том числе российских, при обработке персональной информации граждан, находящихся на территории ЕС.
В первую очередь GDPR касается компаний, которые имеют представительства в странах ЕС. Кроме того, озаботиться соответствием требованиям GDPR также должны российские компании, сайты которых переведены на язык хотя бы одной страны — члена Евросоюза или принимают через сайт платежи в валюте стран ЕС.
Максимальный штраф за нарушения положений GDPR составляет 20 миллионов евро или 4% от оборота компании (в зависимости от того, какая сумма больше).
Кроме того, серьезным стимулом для операторов ЕС обеспечивать безопасность персональных данных не на бумаге, а на деле, является обязанность уведомлять надзорный орган об утечке персональных данных.
При установлении наказания за утечку персональных данных в России целесообразно было бы учитывать подход, разработанный в ЕС, который включает в себя оценку множества параметров: набор данных, объём утечки, применяемые организацией защитные меры, последствия и так далее.