Право

Защита персональных данных

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Защита персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту данных граждан. Регулируется Федеральным законом от 27.07.2006 № 152-ФЗ, ведомство, которое следит за защитой персональных данных - Роскомнадзор

Все материалы

Ошибки в работе сотрудников банков, различных ведомств и министерств являются основными причинами утечки без данных россиян в интернете. Об этом сообщил руководитель отдела по расследованию киберпреступлений и преступлений в сфере высоких технологий СК РФ Константин Комарда в интервью ТАСС.

Он отметил, что вопрос утечки в «даркнет» сведений о паролях от личных кабинетов, данные банковских карт, счетах и остатках денежных средств на них, паспортах, номерах мобильных телефонов стоит сейчас остро.

«Низкий уровень компьютерной грамотности населения является благоприятной средой для деятельности злоумышленников. Добавить к этому недостаточное принятие мер компаниями по защите от внутренних и внешних киберугроз, ошибки в работе сотрудников, производящих утечки информации либо умышленное хищение баз данных, — и сведения о миллионах наших граждан оказываются в глобальной сети», — сказал Комарда.

Все слитые базы данных в основном продаются на специальных ресурсах в «даркнете». «Это уже неоднократно продемонстрировали материалы наших расследований, когда слитые в сеть персональные данные использовались для подготовки и совершения особо тяжких преступлений. Для решения этой проблемы нужен комплексный подход, в том числе на законодательном уровне», — сказал глава отдела, отметив, что Следственный комитет участвует в этой работе.

Госдума приняла в третьем и окончательном чтении закон о запрете распространения персональных данных граждан без их специального согласия.

В новом законе прописана процедура обязательного согласия на обработку персональных данных россиян любым оператором данных. Документ запрещает получение согласия на обработку персональных данных по умолчанию и при бездействии их владельца, пишет «Интерфакс»https://www.interfax.ru/russia/742592.

Соглашение на обработку таких общедоступных данных должно содержать информацию об их владельце и самом операторе, категории принимаемых данных и цели их обработки, срок действия согласия и перечень сайтов, на которых оператору разрешается публиковать общедоступные персональные данные. В соглашении также может быть прописан запрет на передачу данных «неограниченному кругу лиц» и обработку ими персональных данных. При этом оператор не может отказаться от предложенных запретов и условий, прописанных в данной инициативе.

Владелец данных также имеет право в любой момент отозвать свое согласие, после чего оператор будет обязан приостановить их использование.

Принятые поправки также обязывают всех лиц, осуществлявших обработку данных гражданина, «предоставить доказательства законности их последующего распространения или иной обработки» в случае, если такие данные оказались в открытом доступе вследствие правонарушения или обстоятельств непреодолимой силы.

Государственная дума приняла в первом чтении законопроект, который расширяет основания для сокрытия личных данных о военных, сотрудниках правоохранительных и контрольных органов, членах их семей.

Запретить выдачу информации третьим лицам сможет орган, «обеспечивающий безопасность». Исключение составят только расследования уголовных дел, проверка на коррупцию или личное согласие человека.

Кроме того, предлагается запретить несанкционированное разглашение сведений из запросов силовиков, направляемых гражданам и организациям в процессе оперативно-разыскной деятельности.

Законопроект был внесен 8 декабря, его авторами выступила группа депутатов во главе с председателем комитета по безопасности и противодействию коррупции Василием Пискаревым. Проект вносит изменения в законы «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов» и «Об оперативно-розыскной деятельности».

В пояснительной записке авторы инициативы отметили, что в последнее время в интернете и телекоммуникационных сетях стала чаще появляться информация о фактах, событиях и обстоятельствах частной жизни силовиков, судей и военнослужащих. «Что негативно влияет на осуществление ими своих полномочий, препятствует отправлению правосудия, борьбе с преступлениями и другими правонарушениями», —цитирует пояснительную записку РБК.

Утечка персональных данных москвичей, переболевших коронавирусом, произошла вследствие человеческого фактора, сообщил руководитель департамента информационных технологий Москвы Эдуард Лысенко.

Ранее об утечке данных москвичей сообщил Telegram-канал Readovka. Канал сообщил, что нашел ссылки на рабочие чаты московских больниц и станций скорой помощи и вместе с ними списки переболевших коронавирусом.

«В онлайн-документах доступны ФИО больных, адрес проживания и регистрации, а также вся информация о течении болезни и заборах анализов», — говорилось в сообщении канала.

«Утечка произошла вследствие человеческого фактора: сотрудники, которые занимались обработкой служебных документов, допустили передачу этих файлов третьим лицам», — приводятся слова Лысенко в Telegram-канале столичного оперштаба.

Проверка данного инцидента продолжается, при необходимости будут приняты меры, утверждает представитель московской мэрии.

Расскажем, как заполнять бумаги и организовать защиту персданных, чтобы не налететь на гигантские штрафы РКН.

Новый онлайн-курс от Центра обучения «Клерка» научит, как разобраться в такой непростой теме.

Штрафы за нарушения по персональным данным огромные. Вы знали, что, к примеру, что компанию оштрафуют, если на взяли согласие на обработку данных на 75 тысяч, а если нет замка на шкафу в кадрах или бухгалтерии — на 50 тыс руб.

Посмотрите первое видео курса.

О курсе

Курс будет полезен всем тем, кому в компаниях приходится работать с защитой персональных данных сотрудников и клиентов. Кроме директора и ИП, на передовой, конечно, находятся бухгалтеры и кадровики.

  • Разберем требования закона 152-ФЗ. И главное, как привести свою организацию в соответствии с этими требованиями.
  • Расскажем, какие документы РКН обязательно посмотрит при проверке и какие штрафы ждут тех, кто относится к защите персональных данных спустя рукава. Спойлер: штрафы огромные.
Записывайтесь на курс или оставляйте контакты ниже, и наши менеджеры предоставят вам скидку в 50 %:  

Тема защиты персональных данных будет со временем все более актуальной. Роскомнадзор готовит поправки в закон.

Эксперты сходятся в том, что штрафы будут расти, а проверки, во время которых их будут накладывать, будут все более походить на трудовые и налоговые.

Курс основан на проработке теории и практическом опыте автора.

Чему научитесь

  • разбираться в том, что относится к персональным данным. А это, поверьте, не так-то просто
  • понимать, считается ли компания оператором персональных данных
  • получать согласие на обработку данных
  • точно знать, надо ли вам «сдаваться» в Роскомнадзор
  • составлять бумаги, которые проверит РКН
  • быть готовым к проверкам Роскомнадзора

Кому подойдёт этот курс

Кадровикам. Именно на них скидывают работу по 152-ФЗ чаще всего.

Бухгалтерам. Если в компании нет отдельной и сильной кадровой службы, им придется самим разрабатывать документы по защите персданных.

Директорам. Они обязательно попадают под прицел РКН.

Записывайтесь. Сейчас на курс 50 % скидка. В конце обучения получите сертификат.

РЖД допустили утечку информации о более чем 1,3 млн участников программы «РЖД бонус».

Файл с базой данных сотрудники компании оставили прямо в корневом каталоге сервера этой программы, и он получил очень широкое распространение в интернете, пишет CNews.

В Сеть попала резервная копия MySQL-дампа этой базы данных (БД). Объем слитого файла составил 2,4 ГБ, и изначально он был выложен администратором сайта «РЖД Бонус» прямо в корневом каталоге.

Вместе с самой базой были доступны для скачивания приватный ключ RSA и bash-скрипт с прописанным в нем путем к дампу БД и логином и паролем пользователя.

Утечка произошла 6 ноября 2020 г. около 15:00 по Москве. Файлы были неоднократно скачаны прежде, чем их удалили из корневого каталога, в котором они находились приблизительно до 19:00 того же дня по Москве.

Утекшая база данных программы «РЖД бонус» содержит информацию о более чем 1,36 млн ее пользователей. В таблице «b_user» есть сведения об их логинах и хэшированных паролях (MD5). Вместе с этим присутствуют сведения о датах их регистрации в системе и последней авторизации в ней, плюс приведен адрес электронной почты, указанный при регистрации. В таблице также есть поля с ФИО, но для многих пользователей они оставлены пустыми.

В дополнение к перечисленному слитый дамп БД содержит массу сведений о пользователях — к примеру, в нем есть IP-адреса устройств, с которых они подключались к системе, версия операционной системы и др. Эта информация охватывает период с 7 августа по 8 октября 2020 г.

В РЖД считают, что утечка БД программы «РЖД бонус» связана с попыткой взлома, обнаруженной специалистами компании. Представители РДЖ заявили, что злоумышленнику удалось получить доступ только к служебному файлу, содержащему в зашифрованном виде адреса электронной почты пользователей. По их мнению, инцидент не угрожает сохранности личных данных пользователей, а также баллов на счетах клиентов.

Яндекс впервые опубликовал статистику по выдаче данных россиян органам власти: 15 тысяч запросов за шесть месяцев. Такие данные опубликованы на сайте компании.

Яндекс регулярно получает запросы от органов государственной власти, касающиеся пользовательских данных. Компания рассматривает те из них, которые пришли по официальным каналам и соответствуют всем формальным требованиям. В ответ на запрос компания предоставляет ровно столько информации, сколько необходимо для ответа. А если запрос не соответствует требованиям закона, Яндекс его отклоняет. Запросы, пришедшие по неофициальным каналам, например по электронной почте или по телефону, не получают ответа и не учитываются в статистике.

Информацию властям предоставили по 12,9 тысячам запросов, по остальным отказали из-за несоответствия требованиям закона. Органы власти чаще всего запрашивали информацию по пользователям сервисов «Паспорт» и «Почта», далее идут «Такси» и «Драйв».

«Яндекс» уточнил, что в «Паспорте» хранятся основные регистрационные данные пользователя, поэтому часто силовикам нужны данные оттуда. «Это может быть запрос о пользователе, который использовал один из сервисов для мошенничества»», — уточнила компания. В сообщении также сказано, что доступ к содержимому почтового ящика или переписке в мессенджере предоставляется только по судебному решению, ограничивающему право человека на тайну переписки, а не по запросу органов власти.

В Минцифры заявили, что считают законным распоряжение мэра Москвы Сергея Собянина, которое обязует работодателей еженедельно передавать данные своих работников (номера телефонов, автомобилей, транспортных карт) в мэрию.

«Считаем, что запрашиваемая информация может быть отнесена к персональным данным, но вместе с тем на основании п. 4 ч. 1 ст. 6 закона «О персональных данных» с учетом указа президента «Об определении порядка продления действия мер по обеспечению санитарно-эпидемиологического благополучия населения в субъектах Российской Федерации в связи с распространением новой коронавирусной инфекции» и ст. 11 ФЗ-68 от 21 декабря 1994 данная информация может быть обработана без согласия субъекта персональных данных«,— сообщил «Коммерсанту» представитель министерства.

Как ранее сообщал «Ъ», три крупнейшие российские IT-ассоциации (Ассоциация предприятий компьютерных и информационных технологий (АПКИТ), ассоциация разработчиков программных продуктов «Отечественный софт» и «Руссофт») пожаловались главе Минцифры Максуту Шадаеву на решение мэра Москвы Сергея Собянина, обязавшего работодателей предоставлять мэрии номера телефонов и автомобилей сотрудников на удаленке. Ассоциации уверены, что без согласия людей давать такую информацию незаконно.

340 Uber

«Яндекс.Такси» и Uber нарушают регламент о защите персональных данных. Сервис заказа автомобилей Wheely пожаловался голландскому регулятору на это. 

По мнению Wheely, его конкуренты неправомерно делятся информацией о клиентах со столичным Дептрансом, пишет Forbes.

MLU — совместное предприятие «Яндекса» и Uber, зарегистрированное в Нидерландах, которое образовалось после слияния сервисов в феврале 2018 года. После сделки MLU управляет сервисами «Яндекс.Такси», «Яндекс.Еда» и «Яндекс.Лавка», а также службой заказа такси Uber в России.

По мнению Wheely, сотрудничество конкурентов с московскими властями противоречит регламенту Евросоюза о защите персональных данных (General Data Protection Regulation, GDPR), который действует с мая 2018 года. За нарушение GDPR компания может получить штраф до €20 млн или 4% глобальной выручки нарушителя за предыдущий год. Максимальный штраф непосредственно от DDPA ниже — €1 млн, утверждает Forbes со ссылкой на исследование консультантов Dentons.

В «Яндекс.Такси» отказались комментировать претензии Wheely, в Дептрансе не смогли оперативно ответить на запрос Forbes. Ранее в «Яндекс.Такси» указывали, что передают в ЕРНИС лишь идентификатор водителя в системе, номер автомобиля, статус (свободен или на заказе) и периодически координаты местоположения машины. «Вся эта информация передается только по зашифрованным каналам и не содержит персональных данных пассажиров», — сообщали в компании.

Социальные сети Facebook и Twitter не получили отсрочку на перенос серверов от российских властей. Отсрочку дали только сервисам бронирования авиабилетов.

Это следует из нового Общенационального плана действий, о восстановлении занятости, доходов населения, роста экономики и долгосрочных структурных изменений. В нем указанную отсрочку предлагается ввести только для серверов, на которых хранятся персональные данные граждан страны, и другой инфраструктуры, входящих в комплекс автоматизированной информационной системы обеспечения воздушных перевозок (АИС ОВП), то есть на системы бронирования авиабилетов.

Требование закона «О персональных данных» о хранении данных только на территории России вступило в силу еще 1 сентября 2015 года. Однако указанным социальным сетям давалась отсрочка до начала 2020 года. Впоследствии их оштрафовали за несоблюдение российского законодательства на суммы по 4 млн рублей, блокировать не стали.

По словам гендиректора Института исследований интернета Карена Казаряна, Роскомнадзор может и дальше выписывать штрафы компаниям, нарушившим требование закона «О персональных данных», но, чтобы заблокировать кого-то, как это было с LinkedIn в 2016 году, нужно «политическое решение».

«Вряд ли после истории с Telegram, которая показала, что заблокировать полностью сервис на территории России не получится, кто-то сейчас решится на такое», — указал Казарян.

По материалам «РБК».

Налоговые органы вправе продолжить обработку персональных данных без согласия субъекта персональных данных. Об этом пишет ФНС в письме № ПА-3-24/4407 от 10.06.2020 г.

Органы исполнительной власти при осуществлении возложенных на них законодательством России функций, полномочий и обязанностей, достижения общественно значимых целей, вправе продолжить обработку персональных данных без соответствующего согласия на обработку персональных данных физических лиц (субъектов персональных данных). Об этом написано в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных».

ФНС является органом исполнительной власти, который как раз и выполняет такие функции. Поэтому налоговая имеет право обрабатывать данные налогоплательщиков без их согласия. И отозвать это право у них нельзя.

Паспортные данные оштрафованных за нарушение самоизоляции в Москве оказались доступны на сайтах для оплаты штрафов по номеру начисления, который можно подобрать перебором с помощью простейших программ.

По уникальному идентификатору начислений (УИН) штрафа за нарушение самоизоляции в Москве в сервисах их оплаты можно обнаружить персональные данные оштрафованного, в том числе фамилию, имя, отчество и паспортные данные. На это обратил внимание Telegram-канал «Нора Ежика», пишет «Коммерсант».

Вручную собрать персональные данные методом перебора УИН трудоемко и почти невозможно, зато программа в автоматизированном режиме сможет выполнить эту работу, говорят эксперты. Чтобы система была защищена от утечек, она должна блокировать попытки многократного введения УИН, а данные должны публиковаться в частично обезличенном виде. Но сайты для оплаты штрафов зачастую не имеют защиты от таких действий — ни ограничения числа запросов, ни даже «капчи».

Номер УИН в постановлении о назначении штрафа предназначен только для лица, привлеченного к административной ответственности, подчеркивают в пресс-службе департамента информационных технологий (ДИТ) Москвы. Если гражданин передает третьим лицам или выкладывает в интернет скриншоты постановления с УИН штрафа, это не означает нарушения законодательства о персональных данных контролирующим органом, настаивают в ДИТ. Проверка же по УИН начислений, которой пользуются интернет-сервисы, идет через Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП), что находится вне деятельности ДИТ, добавили там.

Прокуратура уже заинтересовалась информацией о возможной утечке и проводит проверку.