Право

Защита персональных данных

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Защита персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту данных граждан. Регулируется Федеральным законом от 27.07.2006 № 152-ФЗ, ведомство, которое следит за защитой персональных данных - Роскомнадзор

Все материалы

В Сеть попали данные клиентов кредитного брокера «Альфа-Кредит», который собирает заявки на кредиты и помогает выбрать и получить заём в банке.

Они содержались в системе управления базами данных MongoDB с открытым кодом, используемой некоторыми компаниями для внутренних задач, пишет РБК.

База содержала более 44 тыс. записей. В каждой были указаны ФИО клиента, сумма и вид запрашиваемого кредита, номер телефона, адрес электронной почты, город и регион проживания. Несколько человек из базы подтвердили РБК, что подавали заявку на заем через «Альфа-Кредит». Источник РБК, близкий к брокеру, подтвердил утечку в компании.

Пресс-служба Альфа-Банка уже разослала информацию о том, что банк не имеет никакого отношения к ООО «Альфа-Кредит», в партнерских отношениях с этой компанией не состоит и никогда не состоял. Утечка данных клиентов "Альфа-Кредита"клиентам Альфа-Банка не угрожает.

242 МФО

На специализированном интернет-сайте выставлены на продажу данные клиентов микрофинансовых организаций (МФО). В базе содержатся данные более 1,2 млн клиентов МФО, входящей в топ-10 на рынке, уверяет ее продавец.

Продажу базы 2 февраля обнаружил РБК. Изучив её, агенство обнаружило там  сведения о клиентах компаний «Быстроденьги», «Займер», «еКапуста», «Лайм» и «Микроклад».

Клиеннты контактировали с МФО в период с 2017-го по конец 2019 года. Часть базы содержит неактуальные номера телефонов, уже не обслуживающихся или сменивших владельца. Некоторые участники базы подтвердили, что их данные в базе верны, но утверждали, что никогда не обращались за займами.

В «Быстроденьгах», изучив часть «пробника» (100 записей) в сравнении с собственной базой, сообщили, что уровень совпадения по строкам составляет 33%, но не по всем параметрам.

Источник, близкий к ЦБ, сказал РБК, что продаваемая база похожа на объединение данных клиентов МФО из разных источников, а не на утечку из одной компании. Грунтов считает, что база данных не может принадлежать МФО или банкам из-за ее непригодности для работы, так как там есть поля, которые содержат только номер телефона и почту. По его мнению, источником этих данных могут быть веб-мастера или лидогенераторы, которые собирают данные клиентов для дальнейшей перепродажи.

Депутаты доработали проект по созданию единой информационной системы проверки сведений об абонентах операторов связи (ЕИС ПСА) – юрлиц, индивидуальных предпринимателей и физлиц, которая должна сделать номер телефона полноценным идентификатором получателя в первую очередь финансовых услуг. Об этом пишет «Коммерсант».

Проект Госдума может рассмотреть во втором чтении уже в феврале. ЦБ и Минкомсвязь его поддерживают. Проблемой при использовании в качестве идентификатора номера телефона является то, что до 70% телефонных номеров используют не те, на кого они зарегистрированы, поясняет глава Национального совета по финансовому рынку Андрей Емелин. Поэтому предполагается ввести понятие пользователя абонентского номера не только для юрлиц, но и для граждан.

Для идентификации и получения удаленных финансовых услуг будет достаточно сверки с оператором связи через ЕИС ПСА Ф. И. О., номера паспорта и номера телефона, поясняет он.

Через два года к системе подключатся все банки и все операторы связи, которые по запросу будут проводить проверку номера. Максимальные тарифы за услугу будет устанавливать правительство. Оператор системы будет определяться уполномоченным федеральным органом исполнительной власти в области связи по согласованию с ЦБ.

Пользователями ЕИС ПСА станут ЦБ, Минкомсвязь, Росфинмониторинг, кредитные организации, операторы платежных систем, операторы услуг платежной инфраструктуры, а также операторы услуг информационного обмена, некредитные финансовые организации, операторы связи, коллекторы.

Владимир Путин подписал федеральный закон от 02.12.2019 № 405-ФЗ, предусматривающий введение штрафов за невыполнение требований о хранении персональных данных. 

Согласно принятым поправкам в ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных), операторам, не выполнившим требование о систематизации и хранении информации в базах данных России и использовавшим хранилища за рубежом, грозят штрафы.

Для физлиц штраф за такое правонарушение составит от 30 тыс. до 50 тыс. руб., для должностных лиц — от 100 тыс. до 200 тыс. руб., для юрлиц — от 1 млн до 6 млн руб. При повторных нарушениях штрафы увеличатся. Для граждан они составят от 50 тыс. до 100 тыс. руб., для должностных лиц — от 500 тыс. до 800 тыс., для юридических лиц — от 6 млн до 18 млн руб.

Операторов связи также могут наказать за повторное неисполнение требования, согласно которому они должны уведомлять федеральные органы власти о запуске новых программ для приема и обработки данных. За это нарушение физлицам будет грозить штраф в размере от 5 тыс. до 10 тыс. руб. Для должностных лиц сумма штрафа составит от 50 тыс. до 100 тыс. руб., а для юридических — от 500 тыс. до 1 млн руб.

Закон «О персональных данных» вступил в силу 1 сентября 2015 года, напоминает РБК. Он обязывает иностранные и местные компании, в том числе операторов связи, хранить и обрабатывать личную информацию граждан России на ее территории. За неисполнение закона Роскомнадзор будет вносить сайты компаний в реестр нарушителей прав субъектов персональных данных. Кроме того, по решению суда, любой онлайн-ресурс может быть заблокирован.

Роскомнадзор готовит предложения по установлению административной ответственности за незаконное использование и распространение персональных данных.

Об этом на своей странице в Фейсбуке сообщил эксперт Максим Лагутин. Свой репортаж он ведет с конференции «Защита персональных данных», организованной Роскомнадзором.

Штрафы за нарушения по персональным данным есть и сейчас, но очевидно, речь идет о расширении перечня правонарушений.

Еще одна проблема, связанная с персональными данными – мошенничество. Первый замдиректора департамента информационной безопасности ЦБ Артем Сычев показал и объяснил, что делает ЦБ для предотвращения мошенничеств. Стало известно, что теперь меры по обеспечению безопасности лягут не только на банки, но и на небанковские организации, подотчетные ЦБ.

Данные держателей кредитных карт Альфа-банка, а также клиентов «АльфаСтрахования» оказались выставлены на продажу. Банк подтвердил утечку информации.

Продавец, опубликовавший соответствующее объявление на одном из специализированных форумов, заявил, что у него есть свежие данные примерно 3,5 тыс. клиентов Альфа-банка и около 3 тыс. клиентов «АльфаСтрахования». Об очередной утечке данных пишет РБК.

В бесплатном пробнике содержалось 13 договоров клиентов Альфа-банка и десять договоров клиентов «АльфаСтрахования». В договорах содержатся ФИО, номер мобильного телефона, паспортные данные, адрес регистрации, сумма кредитного лимита или оформленной страховки, предмет страхования, а также дата заключения договора. По словам продавца, все договоры Альфа-банка, которые есть у него в распоряжении, оформлены в октябре, а выгрузка базы произошла 22 октября. Договоры, заключенные в «АльфаСтраховании», оформлены в один день — 8 мая 2019 года.

РБК проверил клиентов Альфа-банка. При попытке перевести им деньги через мобильное приложение по номеру телефона в 11 случаях из 13 имена, отчества и первые буквы фамилий в приложении совпали с теми, что указаны в договоре, у оставшихся двух номера телефонов к карте банка не привязаны. Дозвониться удалось до девяти клиентов: большинство из них, в том числе те, кого не удалось проверить через мобильное приложение, подтвердили, что недавно оформляли кредитную карту в Альфа-банке. Одному из клиентов уже успели позвонить мошенники, он заблокировал карту.

Представитель Альфа-банка подтвердил РБК факт распространения персональных данных небольшого числа клиентов. «На данный момент достоверно известно о незаконном распространении персональных данных 15 клиентов», — сказал он. Банк проводит внутреннее расследование «по выявлению масштаба инцидента и обстоятельств, в результате которых такие данные стали доступны третьим лицам». Утечка не подвергает опасности средства на счетах клиентов, так как не содержит никаких данных, необходимых для доступа к счетам, утверждают в банке. Однако мошенники могут воспользоваться купленной информацией, чтобы, например, позвонить клиенту под видом банка и выяснить необходимые сведения для кражи денег. Банки при общении с клиентами никогда не запрашивают подобную информацию. Если такой звонок поступает, то необходимо перезвонить в банк по номеру, указанному на сайте или на карте.

В соответствии с абзацем вторым пункта 3 статьи 361.1 НК, в случае, если документы, подтверждающие право налогоплательщика на налоговую льготу, в налоговом органе отсутствуют, в том числе не представлены налогоплательщиком самостоятельно, налоговый орган по информации, указанной в заявлении налогоплательщика о предоставлении налоговой льготы, запрашивает эти сведения у органов и иных лиц, у которых имеются эти сведения.

А как это коррелирует с законом о защите персональных данных?

Все нормально, ответила ФНС в письме № БС-4-21/21672@ от 22.10.2019.

Отсутствие у налогового органа согласия налогоплательщика на обработку его персональных данных не может рассматриваться основанием для ненаправления налоговым органом запроса, предусмотренного абзацем вторым пункта 3 статьи 361.1 НК с целью подтверждения права налогоплательщика на налоговую льготу.

Более миллиона кредитных историй россиян оказались в открытом доступе. Утечка произошла из базы микрофинансовой организации 28 августа, однако обнаружена была только 10 октября. Так что вероятность того, что база попала в руки мошенников весьма велика.

Руководитель проекта Security Discovery Боб Дяченко сообщил об обнаруженном сервере онлайн-кредитора, на котором находились кредитные истории более миллиона россиян, полученные из бюро кредитных историй (БКИ) «Эквифакс», а также c данными сотовых операторов.

«Коммерсантъ» изучил информацию, которая потенциально могла оказаться в руках злоумышленников. Название базы данных отсылает к микрофинансовой компании «ГринМани», выдававшей онлайн-займы. IP-адрес сервера ведет на служебную страницу сайта компании, использовавшуюся для тестирования. Основной объем информации — свыше миллиона записей — приходился на БКИ «Эквифакс». В базе были указаны паспортные данные заемщиков, адреса регистрации и фактического места жительства, номера телефонов, а также информация о кредитах и скоринговом балле.

МФК «ГринМани», по данным «Эксперт РА», по итогам первого полугодия 2019 года занимала 13-е место по общему размеру портфеля микрозаймов. Однако 12 сентября ЦБ исключил ее из реестра МФО за многочисленные нарушения, связанные как с отношениями с заемщиками, так и с предоставлением недостоверной отчетности регулятору.

Директор «ГринМани» Андрей Луцык заявил «Коммерсанту» о начале проверки из-за базы. По его словам, до окончания этой проверки «преждевременно говорить, что произошла какая-либо утечка». В «Эквифакс» заверили, что оттуда данные не утекали.

Работник написал заявление о выплате ему материальной помощи при рождении ребенка. Предоставил заявление на выплату и копию свидетельства о рождении.

Работодатель сделал приказ. В приказе написано: «основание — заявление и копия свидетельства о рождении». При этом согласия в письменной форме субъекта персональных данных на хранение нет.

Что делать работодателю в этой ситуации? Вернуть копию под роспись? А как бы в случае проверки ИФНС, ведь надо как-то доказать, что матпомощь — необлагаемая?

Ответ на все эти вопросы дал Роструд на портале «Онлайнинспекция.рф».

Трудинспекторы сообщили, что копию свидетельства о рождениии можно просто вернуть работнику, не собирая доказательств о том, что она возвращена.

А что касается возможных проблем с ИФНС — то это в компетенцию Роструда не входит. Разбирайтесь с ними сами...

В интернете оказались персональные данные 703 тыс. сотрудников «Российских железных дорог». При этом злоумышленники добавили к публикации примечание: «Спасибо ОАО «РЖД» за предоставленную информацию путем бережного обращения с персональными данными своих сотрудников».

Данные работников РЖД были опубликованы на сайте «Инфач» под заголовком «Рабы РЖД». Позднее администратор сайта закрыл к нему доступ — при попытке зайти на сайт выдается ошибка 403, «доступ запрещен». Домен infach.me был зарегистрирован в феврале 2018 года, он позволял пользователям анонимно публиковать персональные данные других людей. Среди данных сотрудников РЖД, опубликованных на сайте, были их имена, номера телефонов, должности, фотографии в форме и снимки СНИЛС.

Об утечке сообщил основатель и технический директор компании DeviceLock Ашот Оганесян, пишет РБК. Он полагает, что украдена была база данных службы безопасности., поскольку судя по формату фотографий, это снимки на пропуска.

Еще в прошлом году РЖД объявили о запуске интернет-портала для сотрудников под названием my.rzd.ru, к которому планировалось подключить всех работников компании. В личном кабинете они могли заказывать справки, оформлять билеты на поезд, редактировать данные о себе. Судя по отзывам пользователей, в последнее время у них были проблемы с доступом к порталу (вход по номеру СНИЛС и паролю), что они связывали с его взломом. В РЖД не ответили на запрос РБК об утечке данных с этого портала

После появления информации об утечке персональных данных РЖД объявили о начале проверки.

Согласно поправкам к закону «О персональных данных» в России планируют разрешить использовать информацию о гражданах без их согласия.

Документ, с которым ознакомились «Известия», уже получил положительный отзыв кабмина.

В поправках говорится, что обладатель данных будет обязан обезличить их так, чтобы раскрыть человека не помогла никакая дополнительная информация.

Под информацией, которую можно обезличить, подразумеваются данные о местоположении человека, его пол, возраст, а также средний счет за сотовую связь.

Получить согласие десятков миллионов клиентов, абонентов и пользователей интернет-ресурсов просто невозможно, а обезличенные данные не ущемляют их прав и приносят пользу обществу и экономике, отмечают эксперты.

Нововведения станут драйвером развития рынка больших данных (Big Data) в России.

Массивы обезличенных данных о миллионах пользователей уже сейчас используют некоторые компании и госструктуры, но применение этой информации пока находится в «серой» зоне, не подпадающей под правовое регулирование.

437 ozon

Роскомнадзор заявил, что потребует от онлайн-магазина Ozon разъяснений из-за утечки адресов электронной почты и паролей своих пользователей. 

«Роскомнадзор выражает обеспокоенность действиями компании в ситуации, когда адреса электронных почт и пароли более 450 тыс. аккаунтов пользователей оказались в открытом доступе», — говорится в сообщении службы, поступившем в РБК.

В Роскомнадзоре добавили, что компания своевременно не предупредила об утечке, что ставит под угрозу безопасность всех пользователей Ozon. В Роскомнадзоре отметили, что доступ к аккаунту клиента позволяет несанкционировано получать дополнительную информацию о пользователе, а также совершать от его имени различные действия. В связи с этим служба направит интернет-магазину письмо для получения разъяснений.

Ранее РБК выяснил, что на днях на одном из сайтов выложили базу с адресами электронной почты и паролями более 450 тыс. пользователей Ozon.  В Ozon заявили, что уже видели эту базу с данными пользователей. Сразу после обнаружения файла компания сбросила пароли у тех учетных записей, которые принадлежали пользователям интернет-магазина. Утечка могла произойти из-за того, что пользователи использовали одинаковые пароли для разных сервисов или из-за вируса, атаковавшего их компьютеры, считают в Ozon.

Роскомнадзор ограничил доступ к интернет-форуму phreaker.pro, на котором были размещены для платного скачивания базы данных около 900 тыс. клиентов российских банков.

«В настоящее время операторы связи предпринимают действия по ограничению доступа к форуму на территории России», — цитирует сообщаение ведомства РИА Новости.

В Роскомнадзоре подчеркнули, что на сайте phreaker.pro не было информации о согласии клиентов банков на размещение и обработку их персональных данных.

Об утечке данных клиентов ОТП-банка, Альфа-банка и банка «Хоум Кредит» сообщил 10 июня «Коммерсант».

 

 

База данных туристического сервиса «Слетать.ру» была обнаружена в открытом доступе.

Сейчас база закрыта, пишет «Коммерсантъ», но ранее в ней были логины и пароли нескольких сотен подключенных к системе туристических агентств, паспортные данные клиентов и информация о билетах, а также не менее 11,7 тыс. клиентских e-mail. Вся информация датируется мартом 2018-го — маем 2019 года.

В «Слетать.ру» комментариев не дали, так же поступили и в Ассоциации туроператоров России. На сайте сервиса говорится, что он помогает в «поиске туров по всем туроператорам». По данным SimilarWeb, число посещений сайта в апреле составило 3,35 млн.

Несмотря на отсутствие в скомпрометированной базе платежных данных, хранилище могло представлять интерес для злоумышленников, считают опрошенные «Ъ» эксперты по кибербезопасности. Узнав подробные сведения о предстоящих поездках, злоумышленник может связаться с покупателем путевки, представившись сотрудником турагентства, и попросить провести дополнительную оплату, например, включив в тур новые услуги или сославшись на изменения в стоимости.

Кроме того, конкуренция в турбизнесе очень большая и клиентская база дорогого стоит.

В информационных системах госорганов — от реестра НКО Минюста до московского портала госзакупок — в открытом доступе размещены 360 тыс. записей с личными данными, в том числе сведения о бывших вице-премьерах правительства.

Об опубликованном исследовании председателя Ассоциации участников рынков данных Ивана Бегтина «Утечки персональных данных из открытых источников. Государственные информационные системы», пишет РБК.

Бегтин проанализировал данные с сайтов восьми информационных госсистем — реестра субсидий федерального бюджета Минфина (50 тыс. записей), реестра отчетов некоммерческих организаций Минюста (10 тыс.), реестра обращений граждан на портале «Онлайн Инспектор» Роструда (1 тыс.), информационной системы «Правовые акты ФАС России» (2 тыс.) и портала торгов по госимуществу ФАС (2 тыс.), портала управления многоквартирными домами Москвы (1–2 тыс.), столичного портала закупок (2,5 тыс.) и портала государственного и муниципального заказа федерального казначейства (300 тыс.).

Среди людей, информация о которых оказалась в открытом доступе, — бывшие вице-премьеры и вице-спикер Госдумы, утверждает Бегтин. На момент публикации, как убедился РБК, в реестре отчетов некоммерческих организаций Минюста среди отчетов «о деятельности некоммерческой организации и персональном составе ее руководящих органов» можно было найти документ фонда поддержки социальных, образовательных, инновационных и спортивных проектов «Ладья». В его президиум входят первый заместитель председателя Госдумы Александр Жуков (в 2004–2011 годах вице-премьер), сопредседатель фонда «Сколково», бывший вице-премьер Аркадий Дворкович, его жена Зумруд Рустамова, телеведущий Владимир Соловьев, представители руководства Нордеа Банка Ирина Мамхегова и Игорь Коган и губернатор Ивановской области Станислав Воскресенский. Их паспортные данные содержались в отчете фонда.

На сайте есть аналогичный отчет Фонда инфраструктурных и образовательных программ. В нем указаны паспортные данные председателя правления госкорпорации «Роснано», в прошлом вице-премьера Анатолия Чубайса и топ-менеджеров корпорации Андрея Свинаренко, Алексея Качая, Дмитрия Колесникова, Андрея Трапезникова и Юрия Удальцова.

Утечки возникают из-за ошибок в законодательстве, просчетов разработчиков и недостаточно продуманной работы регулирующих и контролирующих органов, считает Бегтин. «Причина — в нежелании официальных лиц что-либо делать, хотя они знают о ситуации и непрофессионализме при разработке ИТ-систем», — говорит исследователь.

Глава Роскомнадзора Александр Жаров на коллегии ведомства поручил своим сотрудникам проверить интернет-магазины на предмет выполнения требований закона «О персональных данных».

«Надо, очевидно, проверять тех, где больше всего страдают интересы граждан, переходить к контролю услуг», — цитирует Жарова РБК.

Позднее в кулуарах Александр Жаров пояснил РБК, что в Роскомнадзор поступает много жалоб на интернет-магазины. По его словам, ведомство намерено запросить у компаний, работающих в сфере интернет-торговли, как они обрабатывают персональные данные.

Если Роскомнадзор выявит в их работе «злонамеренные действия» с персональными данными россиян, то вместе с компетентными органами служба намерена «предпринять исчерпывающие действия», рассказал глава надзорной службы.

«Если учесть, что, по разным оценкам, от 5 млн до 7 млн компаний предоставляют российским гражданам услугу электронной коммерции, там поле непаханое. Поэтому я сконцентрировал внимание коллег на этой деятельности», — сказал Жаров.

Роскомнадзор намерен также контролировать исполнение закона «О персональных данных» зарубежными интернет-магазинами, добавил глава надзорной службы. При этом, по словам Жарова, ведомство уже начало эту работу, и даже «кого-то наказали». Ответить на вопрос, о какой компании речь, и уточнить другие детали по этому вопросу глава Роскомнадзора не смог.

1323 facebook

Мировой суд Таганского района Москвы назначил Facebook штраф в три тысячи рублей за отказ предоставить информацию о локализации персональных данных российских пользователей сервиса на территории РФ.

Речь идет о правонарушении по ст. 19.7 КоАП РФ (непредставление сведений/информации), пишет «Интерфакс».

Представители Facebook во второй раз не явились на заседание и, по данным суда, не направляли ходатайств о переносе разбирательства. В этой связи дело было рассмотрено без них.

Согласно материалам дела, оглашенным в суде, в ходе переписки Facebook и Роскомнадзора компания поясняла регулятору, что инфраструктура сервисов соцсети устроена таким образом, что «данные не сегментированы по географическому признаку».

Роскомнадзор 17 января получил от Twitter и Facebook ответы на запрос о локализации данных россиян на территории РФ. Глава регулятора Александр Жаров заявил, что ответы не содержали конкретики. В феврале в отношении сервисов были составлены административные протоколы.

Ранее на три тысячи рублей был оштрафован Twitter.

Закон о локализации персональных данных россиян на серверах внутри РФ был подписан 31 декабря 2014 года и вступил в силу 1 сентября 2015 года.