Что такое персональные данные и как можно их защитить — в материале “Ъ”.
Фото: Александр Казаков, Коммерсантъ
Фото: Александр Казаков, Коммерсантъ
Что такое персональные данные
Согласно федеральному закону от 27 июля 2006 года 152-ФЗ «О персональных данных», это любая информация, относящаяся к определенному или определяемому на основе такой информации физическому лицу (субъекту персональных данных). Конкретного перечня данных в законе нет, что оставляет некоторый простор для толкования. Поэтому каждая организация в зависимости от целей своего функционирования самостоятельно определяет тот перечень данных, которые она собирает у клиентов или сотрудников и которые и будут считаться персональными.
Персональные данные (ПДн) разделяются законом на четыре вида: общие, специальные, биометрические и иные. К общим относятся базовые личные данные: ФИО, место регистрации, информация об образовании, о месте работы, номер телефона, e-mail. Специальная категория — сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни и т. п. Биометрические ПДн определяются как биологические и физиологические особенности человека, на основе которых можно установить его личность (фото- и видеоизображения, физиологические параметры). К иным относят все данные, которые нельзя отнести к другим видам, например, принадлежность к какой-либо социальной группе.
Как собирают и хранят персональные данные
Когда сайт или приложение собирает информацию о пользователях, то владелец ресурса считается оператором персональных данных. Оператором ПДн могут быть как органы власти, так и юридические и физические лица. Они определяют, какие данные будут обрабатывать и с какой целью.
Согласно закону, собирать ПДн можно только с разрешения пользователя в форме письменного согласия (в интернете письменную форму заменяют на электронную). Существуют исключения: разрешение не требуется, если информация необходима для исполнения полномочий госорганов, для сбора общедоступных данных, обезличенной статистики, СМИ и работодателям, когда они собирают данные у сотрудников для соблюдения Трудового кодекса и т. п.
С 1 сентября 2015 года в России вступило в силу положение, которое обязывает операторов обрабатывать и хранить ПДн россиян в интернете с использованием баз данных, размещенных на территории РФ. К хранению ПДн существует много требований со стороны закона:
— информация должна храниться так, чтобы можно было определить субъекта (человека, чьи персональные данные использует оператор);
— если данных не хватает или они неточные, то оператор обязан их уточнить или удалить;
— если есть базы данных с разными ПДн, собранные для разных целей, их нельзя объединять;
— после обработки ПДн должны быть уничтожены или обезличены;
— при передаче ПДн в другую страну необходимо удостовериться, что там есть подходящая система защиты, а субъект дал на это отдельное согласие.
Субъект имеет право в любой момент запросить у оператора какие данные на него есть, где и кем хранятся. В случае, если информация неточная или старая, он может потребовать ее удалить.
В начале 2021 года Госдума приняла в первом чтении поправки в закон, которые позволяют гражданам давать согласие на обработку ПДн сразу для нескольких целей и нескольким организациям. Это должно облегчить «инновационному бизнесу» доступ к данным пользователей, однако, по мнению экспертов, нововведение грозит частичной потерей контроля над личной информацией.
Ответственность за нарушение правил хранения и использования ПДн
Оператор отвечает за все, что происходит с персональными данными, даже если привлекает для их обработки сторонних лиц. Например, если банк собрал базу копий паспортов клиентов, а она попала к мошенникам — ответственность лежит на банке.
Призвать к ответственности нарушителей прав о защите персональных данных можно. По словам партнера практики IP/IT юридической фирмы Tomashevskaya & Partners Романа Янковского, ответственность зависит от того, кто нарушил права и насколько серьезно нарушение.
«Например, сотрудника, допустившего нарушение, могут уволить; организацию, которая не защитила данные своих клиентов, оштрафовать (правда, суммы штрафов там небольшие). Есть и возможность возмещения морального вреда, но практики по ней немного (случаи, когда, к примеру, из-за утечки данных на человека взяли кредит и он потратил много времени, доказывая свою непричастность к этому). Есть даже статья в Уголовном кодексе (незаконное собирание или распространение сведений о частной жизни лица), но на практике я не сталкивался, чтобы ее применяли к ненамеренному распространению персональных данных».
По подсчетам аналитиков компании SearchInform, в 2020 году более 90% российских организаций столкнулись с утечками личных данных клиентов. В большинстве случаев такое произошло по вине сотрудников, которые сделали это намеренно. Во всех остальных — из-за невнимательности и наивности. По данным МВД, только 17% пострадавших из-за интернет-мошенников обращаются в правоохранительные органы.
Как защитить персональные данные
Партнер практики IP/IT юридической фирмы Tomashevskaya & Partners Роман Янковский:
«Если данные попали в доступ на крупной площадке (например, на Facebook или в Telegram), стоит связаться с администрацией сайта или мессенджера; есть вероятность, что они удалят соответствующие посты. Вы можете ссылаться на закон "О персональных данных" и прямо угрожать, что обратитесь в Роскомнадзор или в суд, если администрация не начнет действовать. По моему опыту, это обычно работает. Если администрация не проявляет себя или сайт откровенно "пиратский", стоит сразу обращаться в Роскомнадзор. Присылайте им перечень данных, сайт и страницу, на которой вы их нашли, а также свои контакты. Роскомназдор может действовать медленно, но зато у него есть целый набор действенных мер — он может заблокировать сайт на территории РФ, убрать его из выдачи поисковиков и т. п.
В некоторых случаях используют и физические меры. Например, я сталкивался с ситуацией, когда клиент сделал несколько «зеркал» пиратского сайта, чтобы понизить его в выдаче Google и таким образом сделать свои данные менее доступными. Если сайт привязан к российскому домену, можно попробовать разделегировать домен через суд. Но это уже требует определенных ресурсов и времени».
Попавшие в открытый доступ данные практически невозможно полностью из него удалить. Например, если Telegram закроет канал, торгующий вашими данными, а Роскомнадзор заблокирует соответствующий сайт, их все равно смогут продавать в даркнете, в закрытых группах и т. п. Если в открытый доступ утекли чувствительные данные, можно задуматься о смене документов — например, заявить о пропаже паспорта, чтобы по нему не могли обратиться за кредитом. Несколько советов о том, как обезопасить ПДн:
— ограничьте объем информации о себе, находящейся в открытом доступе. Удалите лишние фото, адреса, телефонные номера, сведения о родных и близких и т. п.
— используйте в качестве паролей сложные комбинации букв, чисел и специальных знаков — разные для разных учетных записей и сервисов. Периодически меняйте пароли;
— остерегайтесь банковских мошенников. Не сообщайте никому пин-коды от банковских карт, пароли от интернет-банка, а также коды подтверждения, присылаемые банками: реальные банки никогда не запрашивают эти сведения;
— установите в компьютерной системе брандмауэр, чтобы гарантировать безопасную работу в локальных сетях, а также эффективное антивирусное программное обеспечение;
— осторожно относитесь к ссылкам и интернет-адресам, присланным в не запрашиваемых вами электронных письмах или текстовых сообщениях. Заведите себе два адреса электронной почты — частный, для приватной переписки, и публичный, для открытой деятельности.