Право

Защита персональных данных

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Защита персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту данных граждан. Регулируется Федеральным законом от 27.07.2006 № 152-ФЗ, ведомство, которое следит за защитой персональных данных - Роскомнадзор

Все материалы

Паспортные данные оштрафованных за нарушение самоизоляции в Москве оказались доступны на сайтах для оплаты штрафов по номеру начисления, который можно подобрать перебором с помощью простейших программ.

По уникальному идентификатору начислений (УИН) штрафа за нарушение самоизоляции в Москве в сервисах их оплаты можно обнаружить персональные данные оштрафованного, в том числе фамилию, имя, отчество и паспортные данные. На это обратил внимание Telegram-канал «Нора Ежика», пишет «Коммерсант».

Вручную собрать персональные данные методом перебора УИН трудоемко и почти невозможно, зато программа в автоматизированном режиме сможет выполнить эту работу, говорят эксперты. Чтобы система была защищена от утечек, она должна блокировать попытки многократного введения УИН, а данные должны публиковаться в частично обезличенном виде. Но сайты для оплаты штрафов зачастую не имеют защиты от таких действий — ни ограничения числа запросов, ни даже «капчи».

Номер УИН в постановлении о назначении штрафа предназначен только для лица, привлеченного к административной ответственности, подчеркивают в пресс-службе департамента информационных технологий (ДИТ) Москвы. Если гражданин передает третьим лицам или выкладывает в интернет скриншоты постановления с УИН штрафа, это не означает нарушения законодательства о персональных данных контролирующим органом, настаивают в ДИТ. Проверка же по УИН начислений, которой пользуются интернет-сервисы, идет через Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП), что находится вне деятельности ДИТ, добавили там.

Прокуратура уже заинтересовалась информацией о возможной утечке и проводит проверку.

Методы, используемые для отслеживания перемещения инфицированных коронавирусом, не нарушают закон о персональных данных. Об этом сообщили в Минкомсвязи.

«Методики, используемые Минкосвязью России для отслеживания нарушений условий карантина и изоляции не нарушают требования 152-ФЗ „О персональных данных“. Все данные в созданной по поручению правительства РФ системе обрабатываются строго обезличено и исключительно на территории РФ. Права граждан соблюдаются в полном объеме», — говорится в сообщении, опубликованном в Телеграм-канале «Стопкоронавирус».

Поясним, речь идет о системе отслеживания граждан, находящихся в контакте с больными коронавирусом, на основе сведений мобильных операторов о геолокации телефонов.

ФНС не будет уничтожать персональные данные, даже если налогоплательщик потребует это сделать. Такой вывод сделан в письме от 23.03.2020 № БС-3-6/2293@.

Судя по тексту письма, кто-то обратился в налоговые органы с требованием уничтожить свои персональные данные в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». И налоговикам пришлось объяснять, почему они не должны этого делать.

В случае отзыва согласия на обработку персональных данных оператор вправе продолжить их обработку без согласия гражданина при наличии оснований, указанных в законе. Одно из таких оснований — исполнение полномочий федеральных органов исполнительной власти.

Обработка сведений о субъектах персональных данных осуществляется налоговыми органами для достижения целей, предусмотренных законодательством о налогах и сборах, и выполнения возложенных на налоговые органы функций, полномочий и обязанностей. Соответственно, налоговые органы вправе продолжить обработку персональных данных без согласия субъекта персональных данных.

Учитывая, что уничтожение персональных данных гражданина повлечет невозможность исполнения обязанностей, возложенных на ФНС, то требование об уничтожении персональных данных не может быть удовлетворено.

На форуме «Клерка» поделились информацией о вопиющем нарушении закона налоговыми органами. ИФНС рассылают файлы с тысячами персональных данных работников.

Организация получила письмо из московской налоговой, о том что в 2-НДФЛ за 2017 есть ошибки в персональных данных сотрудников. К письму приложен екселевский файл, в котором находятся почти 4,5 тыс. фамилий физлиц с ИНН и паспортными данными.

Т.е. налоговики, вместо того, чтобы выбрать работников этой конкретной организации и отправить данные по ним, просто отправляют одинаковый файл всем. Вероятно, некогда им.

В приложенном файле указаны: ИНН/КПП организации-работодателя (есть и госструктуры), номер справки физлица (можно примерно понять, сколько сотрудников в организации), дата сдачи отчета 2-НДФЛ, ИНН, ФИО физлица, номер и серия паспорта, а также дата рождения.

Заметим, что руководство ФНС неоднократно заявляло о том, что налоговое ведомство надежно хранит персональные данные граждан. И при этом его работники производят такие рассылки.

В Сеть попали данные клиентов кредитного брокера «Альфа-Кредит», который собирает заявки на кредиты и помогает выбрать и получить заём в банке.

Они содержались в системе управления базами данных MongoDB с открытым кодом, используемой некоторыми компаниями для внутренних задач, пишет РБК.

База содержала более 44 тыс. записей. В каждой были указаны ФИО клиента, сумма и вид запрашиваемого кредита, номер телефона, адрес электронной почты, город и регион проживания. Несколько человек из базы подтвердили РБК, что подавали заявку на заем через «Альфа-Кредит». Источник РБК, близкий к брокеру, подтвердил утечку в компании.

Пресс-служба Альфа-Банка уже разослала информацию о том, что банк не имеет никакого отношения к ООО «Альфа-Кредит», в партнерских отношениях с этой компанией не состоит и никогда не состоял. Утечка данных клиентов "Альфа-Кредита"клиентам Альфа-Банка не угрожает.

275 МФО

На специализированном интернет-сайте выставлены на продажу данные клиентов микрофинансовых организаций (МФО). В базе содержатся данные более 1,2 млн клиентов МФО, входящей в топ-10 на рынке, уверяет ее продавец.

Продажу базы 2 февраля обнаружил РБК. Изучив её, агенство обнаружило там  сведения о клиентах компаний «Быстроденьги», «Займер», «еКапуста», «Лайм» и «Микроклад».

Клиеннты контактировали с МФО в период с 2017-го по конец 2019 года. Часть базы содержит неактуальные номера телефонов, уже не обслуживающихся или сменивших владельца. Некоторые участники базы подтвердили, что их данные в базе верны, но утверждали, что никогда не обращались за займами.

В «Быстроденьгах», изучив часть «пробника» (100 записей) в сравнении с собственной базой, сообщили, что уровень совпадения по строкам составляет 33%, но не по всем параметрам.

Источник, близкий к ЦБ, сказал РБК, что продаваемая база похожа на объединение данных клиентов МФО из разных источников, а не на утечку из одной компании. Грунтов считает, что база данных не может принадлежать МФО или банкам из-за ее непригодности для работы, так как там есть поля, которые содержат только номер телефона и почту. По его мнению, источником этих данных могут быть веб-мастера или лидогенераторы, которые собирают данные клиентов для дальнейшей перепродажи.

Депутаты доработали проект по созданию единой информационной системы проверки сведений об абонентах операторов связи (ЕИС ПСА) – юрлиц, индивидуальных предпринимателей и физлиц, которая должна сделать номер телефона полноценным идентификатором получателя в первую очередь финансовых услуг. Об этом пишет «Коммерсант».

Проект Госдума может рассмотреть во втором чтении уже в феврале. ЦБ и Минкомсвязь его поддерживают. Проблемой при использовании в качестве идентификатора номера телефона является то, что до 70% телефонных номеров используют не те, на кого они зарегистрированы, поясняет глава Национального совета по финансовому рынку Андрей Емелин. Поэтому предполагается ввести понятие пользователя абонентского номера не только для юрлиц, но и для граждан.

Для идентификации и получения удаленных финансовых услуг будет достаточно сверки с оператором связи через ЕИС ПСА Ф. И. О., номера паспорта и номера телефона, поясняет он.

Через два года к системе подключатся все банки и все операторы связи, которые по запросу будут проводить проверку номера. Максимальные тарифы за услугу будет устанавливать правительство. Оператор системы будет определяться уполномоченным федеральным органом исполнительной власти в области связи по согласованию с ЦБ.

Пользователями ЕИС ПСА станут ЦБ, Минкомсвязь, Росфинмониторинг, кредитные организации, операторы платежных систем, операторы услуг платежной инфраструктуры, а также операторы услуг информационного обмена, некредитные финансовые организации, операторы связи, коллекторы.

Владимир Путин подписал федеральный закон от 02.12.2019 № 405-ФЗ, предусматривающий введение штрафов за невыполнение требований о хранении персональных данных. 

Согласно принятым поправкам в ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных), операторам, не выполнившим требование о систематизации и хранении информации в базах данных России и использовавшим хранилища за рубежом, грозят штрафы.

Для физлиц штраф за такое правонарушение составит от 30 тыс. до 50 тыс. руб., для должностных лиц — от 100 тыс. до 200 тыс. руб., для юрлиц — от 1 млн до 6 млн руб. При повторных нарушениях штрафы увеличатся. Для граждан они составят от 50 тыс. до 100 тыс. руб., для должностных лиц — от 500 тыс. до 800 тыс., для юридических лиц — от 6 млн до 18 млн руб.

Операторов связи также могут наказать за повторное неисполнение требования, согласно которому они должны уведомлять федеральные органы власти о запуске новых программ для приема и обработки данных. За это нарушение физлицам будет грозить штраф в размере от 5 тыс. до 10 тыс. руб. Для должностных лиц сумма штрафа составит от 50 тыс. до 100 тыс. руб., а для юридических — от 500 тыс. до 1 млн руб.

Закон «О персональных данных» вступил в силу 1 сентября 2015 года, напоминает РБК. Он обязывает иностранные и местные компании, в том числе операторов связи, хранить и обрабатывать личную информацию граждан России на ее территории. За неисполнение закона Роскомнадзор будет вносить сайты компаний в реестр нарушителей прав субъектов персональных данных. Кроме того, по решению суда, любой онлайн-ресурс может быть заблокирован.

Роскомнадзор готовит предложения по установлению административной ответственности за незаконное использование и распространение персональных данных.

Об этом на своей странице в Фейсбуке сообщил эксперт Максим Лагутин. Свой репортаж он ведет с конференции «Защита персональных данных», организованной Роскомнадзором.

Штрафы за нарушения по персональным данным есть и сейчас, но очевидно, речь идет о расширении перечня правонарушений.

Еще одна проблема, связанная с персональными данными – мошенничество. Первый замдиректора департамента информационной безопасности ЦБ Артем Сычев показал и объяснил, что делает ЦБ для предотвращения мошенничеств. Стало известно, что теперь меры по обеспечению безопасности лягут не только на банки, но и на небанковские организации, подотчетные ЦБ.

Данные держателей кредитных карт Альфа-банка, а также клиентов «АльфаСтрахования» оказались выставлены на продажу. Банк подтвердил утечку информации.

Продавец, опубликовавший соответствующее объявление на одном из специализированных форумов, заявил, что у него есть свежие данные примерно 3,5 тыс. клиентов Альфа-банка и около 3 тыс. клиентов «АльфаСтрахования». Об очередной утечке данных пишет РБК.

В бесплатном пробнике содержалось 13 договоров клиентов Альфа-банка и десять договоров клиентов «АльфаСтрахования». В договорах содержатся ФИО, номер мобильного телефона, паспортные данные, адрес регистрации, сумма кредитного лимита или оформленной страховки, предмет страхования, а также дата заключения договора. По словам продавца, все договоры Альфа-банка, которые есть у него в распоряжении, оформлены в октябре, а выгрузка базы произошла 22 октября. Договоры, заключенные в «АльфаСтраховании», оформлены в один день — 8 мая 2019 года.

РБК проверил клиентов Альфа-банка. При попытке перевести им деньги через мобильное приложение по номеру телефона в 11 случаях из 13 имена, отчества и первые буквы фамилий в приложении совпали с теми, что указаны в договоре, у оставшихся двух номера телефонов к карте банка не привязаны. Дозвониться удалось до девяти клиентов: большинство из них, в том числе те, кого не удалось проверить через мобильное приложение, подтвердили, что недавно оформляли кредитную карту в Альфа-банке. Одному из клиентов уже успели позвонить мошенники, он заблокировал карту.

Представитель Альфа-банка подтвердил РБК факт распространения персональных данных небольшого числа клиентов. «На данный момент достоверно известно о незаконном распространении персональных данных 15 клиентов», — сказал он. Банк проводит внутреннее расследование «по выявлению масштаба инцидента и обстоятельств, в результате которых такие данные стали доступны третьим лицам». Утечка не подвергает опасности средства на счетах клиентов, так как не содержит никаких данных, необходимых для доступа к счетам, утверждают в банке. Однако мошенники могут воспользоваться купленной информацией, чтобы, например, позвонить клиенту под видом банка и выяснить необходимые сведения для кражи денег. Банки при общении с клиентами никогда не запрашивают подобную информацию. Если такой звонок поступает, то необходимо перезвонить в банк по номеру, указанному на сайте или на карте.

В соответствии с абзацем вторым пункта 3 статьи 361.1 НК, в случае, если документы, подтверждающие право налогоплательщика на налоговую льготу, в налоговом органе отсутствуют, в том числе не представлены налогоплательщиком самостоятельно, налоговый орган по информации, указанной в заявлении налогоплательщика о предоставлении налоговой льготы, запрашивает эти сведения у органов и иных лиц, у которых имеются эти сведения.

А как это коррелирует с законом о защите персональных данных?

Все нормально, ответила ФНС в письме № БС-4-21/21672@ от 22.10.2019.

Отсутствие у налогового органа согласия налогоплательщика на обработку его персональных данных не может рассматриваться основанием для ненаправления налоговым органом запроса, предусмотренного абзацем вторым пункта 3 статьи 361.1 НК с целью подтверждения права налогоплательщика на налоговую льготу.

Более миллиона кредитных историй россиян оказались в открытом доступе. Утечка произошла из базы микрофинансовой организации 28 августа, однако обнаружена была только 10 октября. Так что вероятность того, что база попала в руки мошенников весьма велика.

Руководитель проекта Security Discovery Боб Дяченко сообщил об обнаруженном сервере онлайн-кредитора, на котором находились кредитные истории более миллиона россиян, полученные из бюро кредитных историй (БКИ) «Эквифакс», а также c данными сотовых операторов.

«Коммерсантъ» изучил информацию, которая потенциально могла оказаться в руках злоумышленников. Название базы данных отсылает к микрофинансовой компании «ГринМани», выдававшей онлайн-займы. IP-адрес сервера ведет на служебную страницу сайта компании, использовавшуюся для тестирования. Основной объем информации — свыше миллиона записей — приходился на БКИ «Эквифакс». В базе были указаны паспортные данные заемщиков, адреса регистрации и фактического места жительства, номера телефонов, а также информация о кредитах и скоринговом балле.

МФК «ГринМани», по данным «Эксперт РА», по итогам первого полугодия 2019 года занимала 13-е место по общему размеру портфеля микрозаймов. Однако 12 сентября ЦБ исключил ее из реестра МФО за многочисленные нарушения, связанные как с отношениями с заемщиками, так и с предоставлением недостоверной отчетности регулятору.

Директор «ГринМани» Андрей Луцык заявил «Коммерсанту» о начале проверки из-за базы. По его словам, до окончания этой проверки «преждевременно говорить, что произошла какая-либо утечка». В «Эквифакс» заверили, что оттуда данные не утекали.

Работник написал заявление о выплате ему материальной помощи при рождении ребенка. Предоставил заявление на выплату и копию свидетельства о рождении.

Работодатель сделал приказ. В приказе написано: «основание — заявление и копия свидетельства о рождении». При этом согласия в письменной форме субъекта персональных данных на хранение нет.

Что делать работодателю в этой ситуации? Вернуть копию под роспись? А как бы в случае проверки ИФНС, ведь надо как-то доказать, что матпомощь — необлагаемая?

Ответ на все эти вопросы дал Роструд на портале «Онлайнинспекция.рф».

Трудинспекторы сообщили, что копию свидетельства о рождениии можно просто вернуть работнику, не собирая доказательств о том, что она возвращена.

А что касается возможных проблем с ИФНС — то это в компетенцию Роструда не входит. Разбирайтесь с ними сами...

В интернете оказались персональные данные 703 тыс. сотрудников «Российских железных дорог». При этом злоумышленники добавили к публикации примечание: «Спасибо ОАО «РЖД» за предоставленную информацию путем бережного обращения с персональными данными своих сотрудников».

Данные работников РЖД были опубликованы на сайте «Инфач» под заголовком «Рабы РЖД». Позднее администратор сайта закрыл к нему доступ — при попытке зайти на сайт выдается ошибка 403, «доступ запрещен». Домен infach.me был зарегистрирован в феврале 2018 года, он позволял пользователям анонимно публиковать персональные данные других людей. Среди данных сотрудников РЖД, опубликованных на сайте, были их имена, номера телефонов, должности, фотографии в форме и снимки СНИЛС.

Об утечке сообщил основатель и технический директор компании DeviceLock Ашот Оганесян, пишет РБК. Он полагает, что украдена была база данных службы безопасности., поскольку судя по формату фотографий, это снимки на пропуска.

Еще в прошлом году РЖД объявили о запуске интернет-портала для сотрудников под названием my.rzd.ru, к которому планировалось подключить всех работников компании. В личном кабинете они могли заказывать справки, оформлять билеты на поезд, редактировать данные о себе. Судя по отзывам пользователей, в последнее время у них были проблемы с доступом к порталу (вход по номеру СНИЛС и паролю), что они связывали с его взломом. В РЖД не ответили на запрос РБК об утечке данных с этого портала

После появления информации об утечке персональных данных РЖД объявили о начале проверки.

Согласно поправкам к закону «О персональных данных» в России планируют разрешить использовать информацию о гражданах без их согласия.

Документ, с которым ознакомились «Известия», уже получил положительный отзыв кабмина.

В поправках говорится, что обладатель данных будет обязан обезличить их так, чтобы раскрыть человека не помогла никакая дополнительная информация.

Под информацией, которую можно обезличить, подразумеваются данные о местоположении человека, его пол, возраст, а также средний счет за сотовую связь.

Получить согласие десятков миллионов клиентов, абонентов и пользователей интернет-ресурсов просто невозможно, а обезличенные данные не ущемляют их прав и приносят пользу обществу и экономике, отмечают эксперты.

Нововведения станут драйвером развития рынка больших данных (Big Data) в России.

Массивы обезличенных данных о миллионах пользователей уже сейчас используют некоторые компании и госструктуры, но применение этой информации пока находится в «серой» зоне, не подпадающей под правовое регулирование.

444 ozon

Роскомнадзор заявил, что потребует от онлайн-магазина Ozon разъяснений из-за утечки адресов электронной почты и паролей своих пользователей. 

«Роскомнадзор выражает обеспокоенность действиями компании в ситуации, когда адреса электронных почт и пароли более 450 тыс. аккаунтов пользователей оказались в открытом доступе», — говорится в сообщении службы, поступившем в РБК.

В Роскомнадзоре добавили, что компания своевременно не предупредила об утечке, что ставит под угрозу безопасность всех пользователей Ozon. В Роскомнадзоре отметили, что доступ к аккаунту клиента позволяет несанкционировано получать дополнительную информацию о пользователе, а также совершать от его имени различные действия. В связи с этим служба направит интернет-магазину письмо для получения разъяснений.

Ранее РБК выяснил, что на днях на одном из сайтов выложили базу с адресами электронной почты и паролями более 450 тыс. пользователей Ozon.  В Ozon заявили, что уже видели эту базу с данными пользователей. Сразу после обнаружения файла компания сбросила пароли у тех учетных записей, которые принадлежали пользователям интернет-магазина. Утечка могла произойти из-за того, что пользователи использовали одинаковые пароли для разных сервисов или из-за вируса, атаковавшего их компьютеры, считают в Ozon.