Право

Защита персональных данных

Все материалы

База данных туристического сервиса «Слетать.ру» была обнаружена в открытом доступе.

Сейчас база закрыта, пишет «Коммерсантъ», но ранее в ней были логины и пароли нескольких сотен подключенных к системе туристических агентств, паспортные данные клиентов и информация о билетах, а также не менее 11,7 тыс. клиентских e-mail. Вся информация датируется мартом 2018-го — маем 2019 года.

В «Слетать.ру» комментариев не дали, так же поступили и в Ассоциации туроператоров России. На сайте сервиса говорится, что он помогает в «поиске туров по всем туроператорам». По данным SimilarWeb, число посещений сайта в апреле составило 3,35 млн.

Несмотря на отсутствие в скомпрометированной базе платежных данных, хранилище могло представлять интерес для злоумышленников, считают опрошенные «Ъ» эксперты по кибербезопасности. Узнав подробные сведения о предстоящих поездках, злоумышленник может связаться с покупателем путевки, представившись сотрудником турагентства, и попросить провести дополнительную оплату, например, включив в тур новые услуги или сославшись на изменения в стоимости.

Кроме того, конкуренция в турбизнесе очень большая и клиентская база дорогого стоит.

В информационных системах госорганов — от реестра НКО Минюста до московского портала госзакупок — в открытом доступе размещены 360 тыс. записей с личными данными, в том числе сведения о бывших вице-премьерах правительства.

Об опубликованном исследовании председателя Ассоциации участников рынков данных Ивана Бегтина «Утечки персональных данных из открытых источников. Государственные информационные системы», пишет РБК.

Бегтин проанализировал данные с сайтов восьми информационных госсистем — реестра субсидий федерального бюджета Минфина (50 тыс. записей), реестра отчетов некоммерческих организаций Минюста (10 тыс.), реестра обращений граждан на портале «Онлайн Инспектор» Роструда (1 тыс.), информационной системы «Правовые акты ФАС России» (2 тыс.) и портала торгов по госимуществу ФАС (2 тыс.), портала управления многоквартирными домами Москвы (1–2 тыс.), столичного портала закупок (2,5 тыс.) и портала государственного и муниципального заказа федерального казначейства (300 тыс.).

Среди людей, информация о которых оказалась в открытом доступе, — бывшие вице-премьеры и вице-спикер Госдумы, утверждает Бегтин. На момент публикации, как убедился РБК, в реестре отчетов некоммерческих организаций Минюста среди отчетов «о деятельности некоммерческой организации и персональном составе ее руководящих органов» можно было найти документ фонда поддержки социальных, образовательных, инновационных и спортивных проектов «Ладья». В его президиум входят первый заместитель председателя Госдумы Александр Жуков (в 2004–2011 годах вице-премьер), сопредседатель фонда «Сколково», бывший вице-премьер Аркадий Дворкович, его жена Зумруд Рустамова, телеведущий Владимир Соловьев, представители руководства Нордеа Банка Ирина Мамхегова и Игорь Коган и губернатор Ивановской области Станислав Воскресенский. Их паспортные данные содержались в отчете фонда.

На сайте есть аналогичный отчет Фонда инфраструктурных и образовательных программ. В нем указаны паспортные данные председателя правления госкорпорации «Роснано», в прошлом вице-премьера Анатолия Чубайса и топ-менеджеров корпорации Андрея Свинаренко, Алексея Качая, Дмитрия Колесникова, Андрея Трапезникова и Юрия Удальцова.

Утечки возникают из-за ошибок в законодательстве, просчетов разработчиков и недостаточно продуманной работы регулирующих и контролирующих органов, считает Бегтин. «Причина — в нежелании официальных лиц что-либо делать, хотя они знают о ситуации и непрофессионализме при разработке ИТ-систем», — говорит исследователь.

Глава Роскомнадзора Александр Жаров на коллегии ведомства поручил своим сотрудникам проверить интернет-магазины на предмет выполнения требований закона «О персональных данных».

«Надо, очевидно, проверять тех, где больше всего страдают интересы граждан, переходить к контролю услуг», — цитирует Жарова РБК.

Позднее в кулуарах Александр Жаров пояснил РБК, что в Роскомнадзор поступает много жалоб на интернет-магазины. По его словам, ведомство намерено запросить у компаний, работающих в сфере интернет-торговли, как они обрабатывают персональные данные.

Если Роскомнадзор выявит в их работе «злонамеренные действия» с персональными данными россиян, то вместе с компетентными органами служба намерена «предпринять исчерпывающие действия», рассказал глава надзорной службы.

«Если учесть, что, по разным оценкам, от 5 млн до 7 млн компаний предоставляют российским гражданам услугу электронной коммерции, там поле непаханое. Поэтому я сконцентрировал внимание коллег на этой деятельности», — сказал Жаров.

Роскомнадзор намерен также контролировать исполнение закона «О персональных данных» зарубежными интернет-магазинами, добавил глава надзорной службы. При этом, по словам Жарова, ведомство уже начало эту работу, и даже «кого-то наказали». Ответить на вопрос, о какой компании речь, и уточнить другие детали по этому вопросу глава Роскомнадзора не смог.

632 facebook

Мировой суд Таганского района Москвы назначил Facebook штраф в три тысячи рублей за отказ предоставить информацию о локализации персональных данных российских пользователей сервиса на территории РФ.

Речь идет о правонарушении по ст. 19.7 КоАП РФ (непредставление сведений/информации), пишет «Интерфакс».

Представители Facebook во второй раз не явились на заседание и, по данным суда, не направляли ходатайств о переносе разбирательства. В этой связи дело было рассмотрено без них.

Согласно материалам дела, оглашенным в суде, в ходе переписки Facebook и Роскомнадзора компания поясняла регулятору, что инфраструктура сервисов соцсети устроена таким образом, что «данные не сегментированы по географическому признаку».

Роскомнадзор 17 января получил от Twitter и Facebook ответы на запрос о локализации данных россиян на территории РФ. Глава регулятора Александр Жаров заявил, что ответы не содержали конкретики. В феврале в отношении сервисов были составлены административные протоколы.

Ранее на три тысячи рублей был оштрафован Twitter.

Закон о локализации персональных данных россиян на серверах внутри РФ был подписан 31 декабря 2014 года и вступил в силу 1 сентября 2015 года.

По данным Роскомнадзора, кредитные организации лидируют по количеству жалоб от россиян в связи с обработкой персональных данных.

«С начала 2019 года в управление Роскомнадзора по защите прав субъектов персональных данных поступило 400 жалоб граждан на действия банков, кредитных организаций и коллекторских агентств. Все обращения были переданы через специальную электронную форму на сайте Роскомнадзора. Сфера кредитования является лидером по количеству жалоб от граждан в связи с обработкой персональных данных», — приводит РИА Новости сообщение РКН.

Как отмечает ведомство, по результатам первых проверок нарушения законодательства подтвердились в 1,75% случаев. Материалы будут переданы в суд для привлечения нарушителей к административной ответственности.

Предметом жалоб в 2019 году стали ситуации, в которых банки использовали паспортные данные граждан для незаконного оформления микрозаймов на других лиц, поручали обработку данных другому лицу в целях взыскания кредитной задолженности, а также не предоставляли информацию об обработке по требованию субъекта. Также эти организации продолжали обрабатывать персональные данные даже в случаях отзыва согласия субъекта на обработку их личной информации.

Правительство РФ утвердило «Правила проведения проверок операторов персональных данных». Постановление № 146 от 13.02.2019 г. опубликовано на официальном портале правовых документов.

Постановление устанавливает:

  • порядок проведения плановых и внеплановых проверок;
  • права и обязанности должностных лиц при осуществлении государственного контроля;
  • особенности проведения документарных проверок;
  • правила проведения выездных проверок;
  • порядок оформления результатов проверок;
  • перечень мер, принимаемых в отношении фактов нарушения требований;
  • порядок организации и проведения мероприятий по контролю без взаимодействия с операторами;
  • порядок организации и проведения мероприятий по профилактике нарушений требований;
  • досудебный (внесудебный) порядок обжалования решений и действий (бездействия) должностных лиц в ходе проведения проверок.
Напомним, что операторами данных являются все работодатели. Кто из них может попасть под проверку и в каком случае, можно узнать из этого постановления.

По данным Всемирного банка общая задолженность россиян по банковским кредитам на конец 2018 года достигла исторического максимума. Разумеется, не все могут реально рассчитать свои силы в нелегком деле возврата долгов, и тогда это становится головной болью бухгалтеров.

«Что сказать кредиторам бывшего сотрудника, залегшего на дно, сохранив при этом рабочее время, эмоциональную стабильность и не нарушив закон?» — это стало темой обсуждения в нашем сообществе в Фейсбук.

Когда заемщик перестает платить по кредиту и исчезает с радаров банка или коллекторского агентства, его начинают разыскивать. В первую очередь по телефону, указанному в справке 2-НДФЛ должника. Чаще всего это телефон бухгалтерской службы компании и если сотрудник уволился, то бухгалтер вынужден вести переговоры с настойчивыми кредиторами.

Участники сообщества рассказали, что чаще всего в таких случаях стараются беседовать благожелательно — ведь звонящие просто выполняют свою работу.

Было такое.Ответила, что гражданин Н. у нас работал, уволился. Справку выдавали. Суммы могут проверить в ИФНС. Созаемщиками не являемся; а телефон можно указать в заявлении любой, хоть приёмной президента. И что дальше? Хотите поговорить? Давайте я расскажу вам о проблемах налогового учёта. А ещё могу про личные проблемы рассказать. Ну прям готова поговорить, трубку положили, и больше не звонили,
— Rimma Luzanova

Однако частота звонков и настойчивость по сути неизвестных собеседников, пытающихся получить персональную информацию, рано или поздно устраняют любое желание вежливого общения.

Так они же по сто раз на дню звонили. Сначала, действительно, с пониманием относились, а потом уже всё, терпенья не хватало,
— Елена Осипова

Чтобы сэкономить рабочее время и нервы нужно сразу сообщать звонящим о том, что все вопросы нужно прислать в виде официального письма. Без этого никакой информации предоставляться не будет.

Я просто на такие вопросы отвечаю, что вам необходимо все ваши вопросы оформить в виде письменного запроса и выслать на наш адрес... и тогда может быть появится и ответ... все зависит от вопроса.. Ответственность за персональные данные никто не отменял,
— Наталия Ефимова

Выяснилось, что звонки коллекторов на рабочий телефон — это еще цветочки! Иногда бывшие сотрудники умудряются указать личный номер телефона бухгалтера при получении займа и перестают вовремя вносить платежи. Стоит ли говорить, что на этом спокойная жизнь работника бухгалтерской службы заканчивается.

Один из бывших сотрудников умудрился мой личный номер телефона дать, как контактный при взятии кредита, ещё и пару раз. Какой-то банк отстал от меня после угрозы написать жалобу в ЦБ. А Кредит 911 звонит раз-два в неделю уже 2 года. Разговаривать за это время пробовала уже по-всякому, даже пыталась использовать их неизбежные звонки как тренировку собственной выдержки,
— Алена Виноградова

 

Одна из основных задач ПФР – обеспечить полную конфиденциальность персональных данных граждан.

Сегодня в базе данных персонифицированного учета хранится огромный массив важных сведений – место работы, стаж, заработок и т.д., требующих ежесекундной защиты, которую обеспечивают специлизированные структуры как на уровне региональных отделений, так и на федеральном уровне в целом, отметили в отделении ПФР по Омской области.

Пенсионный фонд сотрудничает с ведущими разработчиками средств антивирусной защиты информации, которые позволяют успешно отражать хакерские атаки – а их в год случаются не одна и не две.

Контроль за доступом к базам данных персонифицирован – у каждого специалиста ПФР доступ к личным сведениям граждан строго ограничен выполнением служебных обязанностей, вход в базу, поиск информации фиксируется. У всех сотрудников – индивидуальные пароли, ключи идентификации, средства криптографической защиты, опечатанный системный блок с блокировкой ввода – вывода информации. Все базы данных включены в локальные сети без доступа в Интернет.

Информационное взаимодействие с организациями – социальными партнерами ПФР (ЗАГС, Минтруд, ЦЗН и т.п.) также осуществляется только по защищенным каналам связи. В постоянном режиме ведется резервное копирование информации.

Как отметили в ПФР, это очень неполный перечень средств, с помощью которых фонд осуществляет защиту персональных данных россиян и  справляется с этой задачей вполне успешно.

Правительство решило расширить список нарушений в сфере защиты персональных данных, за которые будут установлены наказания в виде штрафов. Соответствующий документ опубликован на едином портале для опубликования нормативно-правовых актов, рассказал ИПБ России в блоге компании.

Законопроект подразумевает внесение трех дополнений в статью 13.11 КоАП. И предусматривает введение административной ответственности для оператора за ненадлежащий контроль за действиями лица, осуществляющего по его поручению обработку персональных данных – предупреждение или наложение административного штрафа:

  • на граждан в размере от 1 до 2 тысяч рублей;
  • на должностных лиц – от 3 до 6 тысяч рублей;
  • на ИП – от 5 до 10 тысяч рублей;
  • на юридических лиц – от 10 до 30 тысяч рублей.
За нарушение лицом, осуществляющим обработку персданных по поручению оператора, законодательства РФ в области персональных данных, отделаться предупреждением не получится. Штрафы для оператора, поручившего этому лицу обработку персональных данных, в этом случае предусматриваются такие:

  • на граждан в размере от 3 до 5 тысяч рублей;
  • на должностных лиц – от 5 до 15 тысяч рублей;
  • на ИП – от 10 до 20 тысяч рублей;
  • на юридических лиц – от 15 до 30 тысяч рублей.
Кроме того, будет предусмотрено наказание для создающих общедоступные источники персональных данных, содержащих сведения из государственных или муниципальных источников персданных. Кроме предупреждения предусмотрены штрафные санкции.

О них узнайте здесь.

 

1973 ИНН

Каждому налогоплательщику присваивается единый на всей территории РФ по всем видам налогов и сборов ИНН.

ИНН формируется как цифровой код, состоящий из последовательности цифр, характеризующих код налогового органа (4 знака), порядковый номер записи о лице в ЕГРН (6 знаков) и контрольное число (2 знака).

Таким образом, ИНН фактически является номером записи о лице в Едином государственном реестре налогоплательщиков.

ИНН не является информацией, входящей в перечень персональных данных, применяется исключительно в целях упорядочения учета налогоплательщиков внутри системы налоговых органов, а также служит только для ускорения обработки огромного потока информации в интересах соблюдения прав налогоплательщиков.

Такое разъяснение дает Минфин в письме № 03-01-11/76554 от 25.10.2018.

Минкомсвязи разработало проект с поправками в КоАП, который вводит административную ответственность для операторов и обработчиков персональных данных за утечку информации, а также за создание общедоступных баз.

Если оператор не «осуществляет надлежащий контроль» над тем, кто обрабатывает персональные данные, то ему грозит штраф:

  • 1-2 тыс. руб. на физлицо;
  • 3-6 тыс. руб. на должностное лицо;
  • 5-10 тыс. руб. на ИП;
  • 10-30 тыс. руб. для юрлица.
Если обрабатывающий персональные данные нарушит закон, то получит штраф:

  •  3-5 тыс. руб. на физлицо;
  •  5-10 тыс. руб. на должностное лицо;
  • 10-20 тыс. руб. на ИП;
  • 15-30 тыс. руб. на юрлицо.
Если же нарушитель создаст «общедоступный источник, содержащий сведения из государственных и муниципальных информационных систем персональных данных», то ему грозит штраф:

  • 1-2 тыс. руб. на физлицо;
  • 3-5 тыс. руб. на должностное лицо;
  • 5-10 тыс. руб. на ИП;
  • 10-30 тыс. руб. на юрлицо.
Законопроект разработан в целях повышения защищенности персональных данных граждан РФ при осуществлении обработки персональных данных лицом, действующим по поручению оператора.

Россияне смогут взыскивать компенсацию за несанкционированное использование их персональных данных, по примеру выплат правообладателям возмещения за нарушение авторских прав. Возможность предоставления гражданам такого права обсудили на «круглом столе» в Аналитическом центре при правительстве РФ, рассказал ИПБ России в блоге компании со ссылкой на «Российскую газету»

На сегодняшний день компании, использующие персональные данные граждан без их согласия могут быть привлечены к административной ответственности в виде штрафа. За 9 месяцев текущего года организации оштрафовали на 2,647 млн. рублей. Россияне, страдающие от навязчивых рекламных звонков и посланий, чьи данные были незаконно переданы третьи лицам, не получили ничего.

Особо остро стоит проблема сохранения неприкосновенности персональных данных в интернете — программы собирают данные пользователей, а затем эти сведения выставляются на торги на профильных биржах США и Азии.

Таким образом нарушается конституционное право пользователя на неприкосновенность частной жизни. Эту ситуацию должен изменить новый закон о данных россиян. Сейчас в плане регулирования цифровой экономики есть только общие слова о правилах оборота общедоступных данных.

Подробности читайте здесь.

В нацпрограмме «Цифровая экономика» может появиться положения, позволяющее пользователям получать вознаграждение за сбор и использование информации о них.

Правовой режим монетизации пользовательских данных может быть похож на регулирование интеллектуальной собственности, когда «авторы получают блага от использования своих произведений» третьими лицами, пишет РБК.

Разработкой концепции занимается группа по нормативному регулированию АНО «Цифровая экономика». Работу планируется завершить до конца года.

Один из вариантов — создание маркетплейса (площадки электронной торговли) с данными, который бы мог связать напрямую продавца, то есть пользователя, и покупателя, то есть бизнес.

В каком именно виде будут получать поощрение пользователи (денежное вознаграждение, бонусы, скидки или что-то другое), решит бизнес-сообщество при участии представителей государства.

Как рассказал РБК менеджер по развитию бизнеса Aidata Сергей Плашкевич, проблемы создания инструмента монетизации данных для пользователя заключаются в том, что большинство из них не знают, что за их данные вообще могут заплатить, а механизмы, с помощью которых можно было бы это реализовать в полном объеме, отсутствуют. ​Плашкевич считает, что создать такую систему можно было бы, например, на базе портала «Госуслуги», так как у российских пользователей уже сложилась традиция пользования этим сервисом, а сам сервис является крупным агрегатором персональных данных.
 

На компьютерах общего доступа в МФЦ обнаружено множество скан-копий паспортов и других документов, к которым может получить доступ любой желающий, пишет «Коммерсантъ».

Дело в том, что каждом МФЦ есть компьютер общего пользования, подключенный к сканеру. И любой посетитель МФЦ может самостоятельно его использовать, например, для загрузки копий документов на портал госуслуг.

Журналисты посетили МФЦ в Москве и выяснили, что на этих компьютерах в общем доступе хранятся сотни разных документов: копии паспортов, СНИЛС, анкет с указанием мобильных телефонов, реквизитов счетов в банках.

Граждане загрузив их, забыли удалить файлы. В итоге эти сканы любой желающий может скачать на флешку или же отправить себе по почте.

Мошенники могут использовать эти данные как для рекламной рассылки, так и для получения микрозаймов.

Между тем в пресс-службе центров госуслуг Москвы на запрос журналистов «Коммерсанта» сообщили, что компьютеры в зоне электронных услуг не имеют полного доступа к интернету, администраторы центров госуслуг Москвы, согласно внутренним правилам, раз в день очищают рабочий стол и корзину компьютеров.

 

Вправе ли организация на своем сайте опубликовать список работников, уволенных по статьям: утрата доверия, совершение хищения, неоднократное неисполнение трудовых обязанностей?

Разъяснения по этому вопросу дал Минтруд в письме № 14-2/В-803 от 08.10.2018.

В соответствии с пунктом 1 статьи 3 Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физлицу (субъекту персональных данных), в том числе его ФИО, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Согласно пункту 1 части 1 статьи 86 ТК обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

По общему правилу, изложенному в статье 88 ТК, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, и в случаях, установленных ТК и иными федеральными законами.

По мнению Минтруда, опубликование на официальном сайте работодателя персональных данных работников, а также информации о причинах их увольнения не будет соответствовать нормам трудового законодательства.