Москва, Старый Петровско-Разумовский пр., 1/23, стр. 1, этаж 3
г. Москва
Это ваш регион?
8 800 250-8-265
Звонок бесплатный
8 800 250-0-265
Техподдержка 24/7

Персональные данные: как их защищать и чем опасны утечки

Сообщения о массовых утечках персональных данных участились, в связи с этим тема защиты персональных данных вызывает всё больше внимания. Рассказываем, чем грозит виновнику утечка данных в настоящее время и какие меры ответственности планируется ввести дополнительно.
Ольга Колчушкина
16 Июля 2019
Юрист

Вспомним несколько недавних происшествий, связанных с массовыми утечками ПДн.

В апреле 2019 стало известно о том, что некоторые электронные торговые площадки выкладывают в открытый доступ персональные данные участников закупок. Скомпрометировано более двух миллионов записей, в том числе номера СНИЛС, паспортов и сведений о трудоустройстве.

В апреле Следственный комитет сообщил о начале проверки информации об обнаружении в открытом доступе в интернете базы данных пациентов скорой помощи нескольких подмосковных городов (Мытищи, Дмитров, Долгопрудный, Королев и Балашиха). В открытом доступе оказались имена, адреса, телефоны и сведения о состоянии здоровья обратившихся к врачам.

Месяцем позже стало известно, что в результате утечек из государственных информационных систем в открытом доступе находятся записи реестра субсидий федерального бюджета Минфина, реестра отчётов некоммерческих организаций Минюста, реестра обращений граждан на портале Роструда «Электронный Инспектор», информационной системы «Правовые акты ФАС России», портала торгов по госимуществу ФАС, портала управления многоквартирными домами Москвы, московского портала закупок и портала государственного и муниципального заказа федерального казначейства.

Также в СМИ появилась информация о том, что одна из крупных российских платформ для продажи билетов на развлекательные мероприятия хранит десятки тысяч уже проданных электронных билетов в открытом доступе. Любой человек может получить доступ к персональным данным пользователей платформы, в том числе к паролям клиентов.

Систематически в масштабных утечках персональной информации обвиняются социальные сети, в частности Facebook.

Что такое персональные данные

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Так указано в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», этот федеральный закон регулирует обработку персональных данных.

Также согласно 152-ФЗ, оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

К персональным данным могут быть отнесены фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Главное условие — по этим данным должно быть возможно однозначно определить, к какому конкретно человеку она относится.

Например, информация вида «Иванов Иван Иванович» сама по себе не позволяет определить, к кому она относится. Но информация вида «Иванов Иван Иванович, родившийся 01.01.1901 в г. Керчь» уже дает возможность однозначно идентифицировать человека.

Вместе с тем если сочетание фамилии, имени и отчества является настолько редким, что явно указывает только на одного человека, такая информация уже будет считаться персональными данными.

Чем опасны утечки персональных данных

Утечка персональных данных может произойти по объективным причинам, например из-за технического сбоя, или по субъективным, к которым относятся небрежность сотрудников, хакерские атаки или корыстные цели персонала.

В любом случае, если паспортные или другие персональные данные в результате окажутся в руках злоумышленников, они могут использоваться в преступных целях.

Используя ПДн, можно получить доступ к средствам на банковских картах жертвы, а также взять кредиты в нескольких банках на имя пострадавшего. В дальнейшем взыскивать долг по ним коллекторы будут именно с того лица, на которое оформлен заём, до тех пор, пока лицо не добьется своего признания жертвой мошенничества.

Получив доступ к персональным данным, можно совершать и другие юридические действия: незаконные манипуляции с чужой недвижимостью, перевод долгов, открытие так называемых фирм-однодневок.

Как защитить персональные данные

Операторы персональных данных должны принимать меры для их защиты. Конкретного списка нет, каждый оператор самостоятельно решает, какие именно меры и в каком объеме он будет применять.

Часть мероприятий прописана в законе №152-ФЗ «О персональных данных»: в организации необходимо утвердить политику в отношении обработки персональных данных, назначить ответственного за организацию обработки персональных данных, утвердить перечень работников, имеющих доступ к персональным данным, и заключить с ними соглашение о неразглашении этих данных.

Однако просто подписать приказы и соглашения недостаточно. В зависимости от категории персональных данных и способа их обработки (в электронном виде или на бумажном носителе) потребуется также обеспечить их физическую безопасность. Например, хранить документы в сейфе, ограничить доступ к помещению посторонних лиц, вместо мусорной корзины использовать измельчитель документов и так далее.

Чтобы надлежащим образом организовать защиту электронных персональных данных, потребуется изучить ряд нормативных актов, в том числе:

  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Сейчас нарушение российского законодательства о персональных данных обходится дешевле, чем его исполнение. Расходы на приобретение технических средств защиты информации и их обслуживание могут оказаться в десятки раз дороже, чем уплата штрафа. В лучшем случае российские компании размещают на официальном сайте политику обработки персональных данных. Но даже этот локальный акт может оказаться декларативным, поскольку механизмы, необходимые для реальной защиты и контроля за обработкой персональных данных, например разграничение прав доступа или режим хранения, зачастую попросту отсутствуют.

Что делать, если вы узнали об утечке своих данных

Во-первых, необходимо обратиться в суд за возмещением морального вреда.

Так, житель Владивостока смог взыскать 10 тысяч рублей с ПФР за то, что его сотрудники разместили на стенде в качестве образца заявление о выдаче дубликата страхового свидетельства, заполненное на имя этого гражданина с указанием его персональных данных: ФИО, даты рождения, адреса, паспортных данных и СНИЛС (определение Приморского краевого суда от 14.07.2014 по делу № 33-5960).

В другом случае житель Башкирии обнаружил, что юрист, представляющий его интересы в деле о смерти сестры, в составе рекламы своих услуг в интернете разместил персональные данные умершей: фамилию, инициалы и дату смерти. Поскольку согласие на это брат не давал, суд взыскал в его пользу 7 тысяч рублей (апелляционное определение Верховного суда Республики Башкортостан от 18.05.2017 по делу № 33-10180/2017).

Собственница квартиры в Выборге задолжала за коммунальные услуги. Управляющая компания наняла фирму для взыскания долга. За то, что персональные данные собственницы были переданы фирме без её согласия, управляющая компания заплатила пострадавшей 5 тысяч рублей (апелляционное определение Ленинградского областного суда от 21.02.2018 № 33-337/2018 по делу № 2-2350/2017).

Заёмщик из Чувашии получил 3 тысячи рублей за то, что банк отправил письмо, адресованное ему и содержащее сведения о его кредитной карте, не по адресу, указанному в заявлении на получение кредитной карты, а по месту работы, где оно было вскрыто как служебное письмо (апелляционное определение Верховного суда Чувашской Республики по делу № 33-1265/2017).

Москвичка смогла доказать, что её персональными данными воспользовались мошенники и оформили на её имя договор, задолженность по которому с неё начала взыскивать микрофинансовая компания. В результате эта компания вынуждена была выплатить 5 тысяч рублей в качестве компенсации морального вреда за неправомерную обработку персональных данных (апелляционное определение Московского городского суда от 12.12.2018 по делу № 33-54443/2018).

Однако суды не единодушны в решениях по таким делам. Например, житель Санкт-Петербурга, на которого мошенники оформили кредит, ничего не смог получить от банка, незаконно требовавшего с него кредитный долг через коллекторов (апелляционное определение Санкт-Петербургского городского суда от 04.07.2018 № 33-13352/2018 по делу № 2-4806/2017).

Если нравственные страдания истцам по таким делам в большинстве случаев удается компенсировать, то доказать, что утечка персональных данных повлекла вред здоровью (физические страдания), значительно сложнее.

Так, жительница Санкт-Петербурга утверждала, что её самочувствие ухудшилось и ей пришлось обращаться к дерматологу и неврологу из-за судебных тяжб с банком, который пытался взыскать с неё задолженность по кредиту, оформленному на её имя мошенниками. По делу была назначена судебная экспертиза, согласно заключению которой имеющиеся у истицы заболевания в виде акне и невралгии седалищного нерва не были признаны следствием действий банка по взысканию несуществующего долга. В итоге суд взыскал с банка 10 тысяч рублей за нравственные страдания, причинённые неправомерной обработкой персональных данных (апелляционное определение Санкт-Петербургского городского суда от 16.08.2018 № 33-17089/2018 по делу № 2-293/2018).

Во-вторых, помимо морального вреда, в суде можно потребовать возмещения убытков, причинённых утечкой персональных данных. Чтобы добиться компенсации материального ущерба, потребуется доказать наличие этих убытков.

В-третьих, потребовать удалить сведения из публичного доступа. Для этого можно обратиться в суд, но чтобы более оперативно устранить утечку, сначала лучше обратиться напрямую к нарушителю.

Что грозит нарушителю

Публикация паспортных или иных персональных данных лица без его согласия нарушает законодательство в области персональных данных.

Размеры штрафов за неисполнение требований в области персональных данных указаны в КоАП в ст. 13.11. Максимальный из них — 75 тысяч рублей.

Однако сейчас нарушителей наказывают не за утечку данных, а за невыполнение формальных требований. Чтобы устранить этот пробел, в 2018 году Минкомсвязь разработала соответствующие дополнения в закон «О персональных данных» и Кодекс об административных правонарушениях.

Как упорядочивают оборот данных

Минкомсвязь разместила для общественного обсуждения два законопроекта, ужесточающих ответственность в сфере персональных данных.

Законопроекты запрещают компаниям и частным лицам создавать общедоступные базы с персональными данными, собранными из государственных и муниципальных информационных систем. Нарушение этого запрета повлечёт предупреждение или штраф в размере:

  • от 1 000 до 2 000 рублей — для физических лиц;
  • от 3 000 до 6 000 рублей — для должностных лиц;
  • от 5 000 до 10 000 рублей — для индивидуальных предпринимателей;
  • от 10 000 до 30 000 рублей — для юридических лиц.

Также согласно законопроектам, операторам, которые поручают обработку персональных данных другому лицу, придется контролировать своего подрядчика и отвечать за его действия. Как именно вести такой контроль, решит сам оператор. За невыполнение обязанности по контролю оператору вынесут предупреждение или штраф:

  • от 1 000 до 2 000 рублей — для физических лиц;
  • от 3 000 до 6 000 рублей — для должностных лиц;
  • от 5 000 до 10 000 рублей — для индивидуальных предпринимателей;
  • 10 000—30 000 рублей — для юридических лиц.

Подрядчика ждет более суровое наказание:

  • от 3 000 до 5 000 рублей — для физических лиц;
  • от 5 000 до 15 000 рублей — для должностных лиц;
  • от 10 000 до 20 000 рублей — для индивидуальных предпринимателей;
  • от 15 000 до 30 000 рублей — для юридических лиц.

Оба законопроекта по состоянию на конец мая 2019 года еще не внесены в Госдуму.

Почему утечки продолжаются

Предложенные нормы призваны стимулировать операторов персональных данных отвечать за действия подрядчиков, чтобы те не нарушали законодательство. Но эти меры могут не сработать, поскольку штрафы незначительны: чтобы законопроекты принесли результат, уплата штрафа должна обходиться дороже, чем внедрение системы защиты информации.

Такого подхода придерживались в Евросоюзе при разработке Общего регламента по защите данных (GDPR), который вступил в силу в мае 2018 года. Его исполнение обязательно для всех организаций, в том числе российских, при обработке персональной информации граждан, находящихся на территории ЕС.

В первую очередь GDPR касается компаний, которые имеют представительства в странах ЕС. Кроме того, озаботиться соответствием требованиям GDPR также должны российские компании, сайты которых переведены на язык хотя бы одной страны — члена Евросоюза или принимают через сайт платежи в валюте стран ЕС.

Максимальный штраф за нарушения положений GDPR составляет 20 миллионов евро или 4% от оборота компании (в зависимости от того, какая сумма больше).

Кроме того, серьезным стимулом для операторов ЕС обеспечивать безопасность персональных данных не на бумаге, а на деле, является обязанность уведомлять надзорный орган об утечке персональных данных.

При установлении наказания за утечку персональных данных в России целесообразно было бы учитывать подход, разработанный в ЕС, который включает в себя оценку множества параметров: набор данных, объём утечки, применяемые организацией защитные меры, последствия и так далее.