Право

Защита персональных данных

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Защита персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту данных граждан. Регулируется Федеральным законом от 27.07.2006 № 152-ФЗ, ведомство, которое следит за защитой персональных данных - Роскомнадзор

Все материалы

Налоговые органы вправе продолжить обработку персональных данных без согласия субъекта персональных данных. Об этом пишет ФНС в письме № ПА-3-24/4407 от 10.06.2020 г.

Органы исполнительной власти при осуществлении возложенных на них законодательством России функций, полномочий и обязанностей, достижения общественно значимых целей, вправе продолжить обработку персональных данных без соответствующего согласия на обработку персональных данных физических лиц (субъектов персональных данных). Об этом написано в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных».

ФНС является органом исполнительной власти, который как раз и выполняет такие функции. Поэтому налоговая имеет право обрабатывать данные налогоплательщиков без их согласия. И отозвать это право у них нельзя.

Паспортные данные оштрафованных за нарушение самоизоляции в Москве оказались доступны на сайтах для оплаты штрафов по номеру начисления, который можно подобрать перебором с помощью простейших программ.

По уникальному идентификатору начислений (УИН) штрафа за нарушение самоизоляции в Москве в сервисах их оплаты можно обнаружить персональные данные оштрафованного, в том числе фамилию, имя, отчество и паспортные данные. На это обратил внимание Telegram-канал «Нора Ежика», пишет «Коммерсант».

Вручную собрать персональные данные методом перебора УИН трудоемко и почти невозможно, зато программа в автоматизированном режиме сможет выполнить эту работу, говорят эксперты. Чтобы система была защищена от утечек, она должна блокировать попытки многократного введения УИН, а данные должны публиковаться в частично обезличенном виде. Но сайты для оплаты штрафов зачастую не имеют защиты от таких действий — ни ограничения числа запросов, ни даже «капчи».

Номер УИН в постановлении о назначении штрафа предназначен только для лица, привлеченного к административной ответственности, подчеркивают в пресс-службе департамента информационных технологий (ДИТ) Москвы. Если гражданин передает третьим лицам или выкладывает в интернет скриншоты постановления с УИН штрафа, это не означает нарушения законодательства о персональных данных контролирующим органом, настаивают в ДИТ. Проверка же по УИН начислений, которой пользуются интернет-сервисы, идет через Государственную информационную систему о государственных и муниципальных платежах (ГИС ГМП), что находится вне деятельности ДИТ, добавили там.

Прокуратура уже заинтересовалась информацией о возможной утечке и проводит проверку.

Методы, используемые для отслеживания перемещения инфицированных коронавирусом, не нарушают закон о персональных данных. Об этом сообщили в Минкомсвязи.

«Методики, используемые Минкосвязью России для отслеживания нарушений условий карантина и изоляции не нарушают требования 152-ФЗ „О персональных данных“. Все данные в созданной по поручению правительства РФ системе обрабатываются строго обезличено и исключительно на территории РФ. Права граждан соблюдаются в полном объеме», — говорится в сообщении, опубликованном в Телеграм-канале «Стопкоронавирус».

Поясним, речь идет о системе отслеживания граждан, находящихся в контакте с больными коронавирусом, на основе сведений мобильных операторов о геолокации телефонов.

ФНС не будет уничтожать персональные данные, даже если налогоплательщик потребует это сделать. Такой вывод сделан в письме от 23.03.2020 № БС-3-6/2293@.

Судя по тексту письма, кто-то обратился в налоговые органы с требованием уничтожить свои персональные данные в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». И налоговикам пришлось объяснять, почему они не должны этого делать.

В случае отзыва согласия на обработку персональных данных оператор вправе продолжить их обработку без согласия гражданина при наличии оснований, указанных в законе. Одно из таких оснований — исполнение полномочий федеральных органов исполнительной власти.

Обработка сведений о субъектах персональных данных осуществляется налоговыми органами для достижения целей, предусмотренных законодательством о налогах и сборах, и выполнения возложенных на налоговые органы функций, полномочий и обязанностей. Соответственно, налоговые органы вправе продолжить обработку персональных данных без согласия субъекта персональных данных.

Учитывая, что уничтожение персональных данных гражданина повлечет невозможность исполнения обязанностей, возложенных на ФНС, то требование об уничтожении персональных данных не может быть удовлетворено.

На форуме «Клерка» поделились информацией о вопиющем нарушении закона налоговыми органами. ИФНС рассылают файлы с тысячами персональных данных работников.

Организация получила письмо из московской налоговой, о том что в 2-НДФЛ за 2017 есть ошибки в персональных данных сотрудников. К письму приложен екселевский файл, в котором находятся почти 4,5 тыс. фамилий физлиц с ИНН и паспортными данными.

Т.е. налоговики, вместо того, чтобы выбрать работников этой конкретной организации и отправить данные по ним, просто отправляют одинаковый файл всем. Вероятно, некогда им.

В приложенном файле указаны: ИНН/КПП организации-работодателя (есть и госструктуры), номер справки физлица (можно примерно понять, сколько сотрудников в организации), дата сдачи отчета 2-НДФЛ, ИНН, ФИО физлица, номер и серия паспорта, а также дата рождения.

Заметим, что руководство ФНС неоднократно заявляло о том, что налоговое ведомство надежно хранит персональные данные граждан. И при этом его работники производят такие рассылки.

В Сеть попали данные клиентов кредитного брокера «Альфа-Кредит», который собирает заявки на кредиты и помогает выбрать и получить заём в банке.

Они содержались в системе управления базами данных MongoDB с открытым кодом, используемой некоторыми компаниями для внутренних задач, пишет РБК.

База содержала более 44 тыс. записей. В каждой были указаны ФИО клиента, сумма и вид запрашиваемого кредита, номер телефона, адрес электронной почты, город и регион проживания. Несколько человек из базы подтвердили РБК, что подавали заявку на заем через «Альфа-Кредит». Источник РБК, близкий к брокеру, подтвердил утечку в компании.

Пресс-служба Альфа-Банка уже разослала информацию о том, что банк не имеет никакого отношения к ООО «Альфа-Кредит», в партнерских отношениях с этой компанией не состоит и никогда не состоял. Утечка данных клиентов "Альфа-Кредита"клиентам Альфа-Банка не угрожает.

280 МФО

На специализированном интернет-сайте выставлены на продажу данные клиентов микрофинансовых организаций (МФО). В базе содержатся данные более 1,2 млн клиентов МФО, входящей в топ-10 на рынке, уверяет ее продавец.

Продажу базы 2 февраля обнаружил РБК. Изучив её, агенство обнаружило там  сведения о клиентах компаний «Быстроденьги», «Займер», «еКапуста», «Лайм» и «Микроклад».

Клиеннты контактировали с МФО в период с 2017-го по конец 2019 года. Часть базы содержит неактуальные номера телефонов, уже не обслуживающихся или сменивших владельца. Некоторые участники базы подтвердили, что их данные в базе верны, но утверждали, что никогда не обращались за займами.

В «Быстроденьгах», изучив часть «пробника» (100 записей) в сравнении с собственной базой, сообщили, что уровень совпадения по строкам составляет 33%, но не по всем параметрам.

Источник, близкий к ЦБ, сказал РБК, что продаваемая база похожа на объединение данных клиентов МФО из разных источников, а не на утечку из одной компании. Грунтов считает, что база данных не может принадлежать МФО или банкам из-за ее непригодности для работы, так как там есть поля, которые содержат только номер телефона и почту. По его мнению, источником этих данных могут быть веб-мастера или лидогенераторы, которые собирают данные клиентов для дальнейшей перепродажи.

Депутаты доработали проект по созданию единой информационной системы проверки сведений об абонентах операторов связи (ЕИС ПСА) – юрлиц, индивидуальных предпринимателей и физлиц, которая должна сделать номер телефона полноценным идентификатором получателя в первую очередь финансовых услуг. Об этом пишет «Коммерсант».

Проект Госдума может рассмотреть во втором чтении уже в феврале. ЦБ и Минкомсвязь его поддерживают. Проблемой при использовании в качестве идентификатора номера телефона является то, что до 70% телефонных номеров используют не те, на кого они зарегистрированы, поясняет глава Национального совета по финансовому рынку Андрей Емелин. Поэтому предполагается ввести понятие пользователя абонентского номера не только для юрлиц, но и для граждан.

Для идентификации и получения удаленных финансовых услуг будет достаточно сверки с оператором связи через ЕИС ПСА Ф. И. О., номера паспорта и номера телефона, поясняет он.

Через два года к системе подключатся все банки и все операторы связи, которые по запросу будут проводить проверку номера. Максимальные тарифы за услугу будет устанавливать правительство. Оператор системы будет определяться уполномоченным федеральным органом исполнительной власти в области связи по согласованию с ЦБ.

Пользователями ЕИС ПСА станут ЦБ, Минкомсвязь, Росфинмониторинг, кредитные организации, операторы платежных систем, операторы услуг платежной инфраструктуры, а также операторы услуг информационного обмена, некредитные финансовые организации, операторы связи, коллекторы.

Владимир Путин подписал федеральный закон от 02.12.2019 № 405-ФЗ, предусматривающий введение штрафов за невыполнение требований о хранении персональных данных. 

Согласно принятым поправкам в ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных), операторам, не выполнившим требование о систематизации и хранении информации в базах данных России и использовавшим хранилища за рубежом, грозят штрафы.

Для физлиц штраф за такое правонарушение составит от 30 тыс. до 50 тыс. руб., для должностных лиц — от 100 тыс. до 200 тыс. руб., для юрлиц — от 1 млн до 6 млн руб. При повторных нарушениях штрафы увеличатся. Для граждан они составят от 50 тыс. до 100 тыс. руб., для должностных лиц — от 500 тыс. до 800 тыс., для юридических лиц — от 6 млн до 18 млн руб.

Операторов связи также могут наказать за повторное неисполнение требования, согласно которому они должны уведомлять федеральные органы власти о запуске новых программ для приема и обработки данных. За это нарушение физлицам будет грозить штраф в размере от 5 тыс. до 10 тыс. руб. Для должностных лиц сумма штрафа составит от 50 тыс. до 100 тыс. руб., а для юридических — от 500 тыс. до 1 млн руб.

Закон «О персональных данных» вступил в силу 1 сентября 2015 года, напоминает РБК. Он обязывает иностранные и местные компании, в том числе операторов связи, хранить и обрабатывать личную информацию граждан России на ее территории. За неисполнение закона Роскомнадзор будет вносить сайты компаний в реестр нарушителей прав субъектов персональных данных. Кроме того, по решению суда, любой онлайн-ресурс может быть заблокирован.

Роскомнадзор готовит предложения по установлению административной ответственности за незаконное использование и распространение персональных данных.

Об этом на своей странице в Фейсбуке сообщил эксперт Максим Лагутин. Свой репортаж он ведет с конференции «Защита персональных данных», организованной Роскомнадзором.

Штрафы за нарушения по персональным данным есть и сейчас, но очевидно, речь идет о расширении перечня правонарушений.

Еще одна проблема, связанная с персональными данными – мошенничество. Первый замдиректора департамента информационной безопасности ЦБ Артем Сычев показал и объяснил, что делает ЦБ для предотвращения мошенничеств. Стало известно, что теперь меры по обеспечению безопасности лягут не только на банки, но и на небанковские организации, подотчетные ЦБ.

Данные держателей кредитных карт Альфа-банка, а также клиентов «АльфаСтрахования» оказались выставлены на продажу. Банк подтвердил утечку информации.

Продавец, опубликовавший соответствующее объявление на одном из специализированных форумов, заявил, что у него есть свежие данные примерно 3,5 тыс. клиентов Альфа-банка и около 3 тыс. клиентов «АльфаСтрахования». Об очередной утечке данных пишет РБК.

В бесплатном пробнике содержалось 13 договоров клиентов Альфа-банка и десять договоров клиентов «АльфаСтрахования». В договорах содержатся ФИО, номер мобильного телефона, паспортные данные, адрес регистрации, сумма кредитного лимита или оформленной страховки, предмет страхования, а также дата заключения договора. По словам продавца, все договоры Альфа-банка, которые есть у него в распоряжении, оформлены в октябре, а выгрузка базы произошла 22 октября. Договоры, заключенные в «АльфаСтраховании», оформлены в один день — 8 мая 2019 года.

РБК проверил клиентов Альфа-банка. При попытке перевести им деньги через мобильное приложение по номеру телефона в 11 случаях из 13 имена, отчества и первые буквы фамилий в приложении совпали с теми, что указаны в договоре, у оставшихся двух номера телефонов к карте банка не привязаны. Дозвониться удалось до девяти клиентов: большинство из них, в том числе те, кого не удалось проверить через мобильное приложение, подтвердили, что недавно оформляли кредитную карту в Альфа-банке. Одному из клиентов уже успели позвонить мошенники, он заблокировал карту.

Представитель Альфа-банка подтвердил РБК факт распространения персональных данных небольшого числа клиентов. «На данный момент достоверно известно о незаконном распространении персональных данных 15 клиентов», — сказал он. Банк проводит внутреннее расследование «по выявлению масштаба инцидента и обстоятельств, в результате которых такие данные стали доступны третьим лицам». Утечка не подвергает опасности средства на счетах клиентов, так как не содержит никаких данных, необходимых для доступа к счетам, утверждают в банке. Однако мошенники могут воспользоваться купленной информацией, чтобы, например, позвонить клиенту под видом банка и выяснить необходимые сведения для кражи денег. Банки при общении с клиентами никогда не запрашивают подобную информацию. Если такой звонок поступает, то необходимо перезвонить в банк по номеру, указанному на сайте или на карте.

В соответствии с абзацем вторым пункта 3 статьи 361.1 НК, в случае, если документы, подтверждающие право налогоплательщика на налоговую льготу, в налоговом органе отсутствуют, в том числе не представлены налогоплательщиком самостоятельно, налоговый орган по информации, указанной в заявлении налогоплательщика о предоставлении налоговой льготы, запрашивает эти сведения у органов и иных лиц, у которых имеются эти сведения.

А как это коррелирует с законом о защите персональных данных?

Все нормально, ответила ФНС в письме № БС-4-21/21672@ от 22.10.2019.

Отсутствие у налогового органа согласия налогоплательщика на обработку его персональных данных не может рассматриваться основанием для ненаправления налоговым органом запроса, предусмотренного абзацем вторым пункта 3 статьи 361.1 НК с целью подтверждения права налогоплательщика на налоговую льготу.

Более миллиона кредитных историй россиян оказались в открытом доступе. Утечка произошла из базы микрофинансовой организации 28 августа, однако обнаружена была только 10 октября. Так что вероятность того, что база попала в руки мошенников весьма велика.

Руководитель проекта Security Discovery Боб Дяченко сообщил об обнаруженном сервере онлайн-кредитора, на котором находились кредитные истории более миллиона россиян, полученные из бюро кредитных историй (БКИ) «Эквифакс», а также c данными сотовых операторов.

«Коммерсантъ» изучил информацию, которая потенциально могла оказаться в руках злоумышленников. Название базы данных отсылает к микрофинансовой компании «ГринМани», выдававшей онлайн-займы. IP-адрес сервера ведет на служебную страницу сайта компании, использовавшуюся для тестирования. Основной объем информации — свыше миллиона записей — приходился на БКИ «Эквифакс». В базе были указаны паспортные данные заемщиков, адреса регистрации и фактического места жительства, номера телефонов, а также информация о кредитах и скоринговом балле.

МФК «ГринМани», по данным «Эксперт РА», по итогам первого полугодия 2019 года занимала 13-е место по общему размеру портфеля микрозаймов. Однако 12 сентября ЦБ исключил ее из реестра МФО за многочисленные нарушения, связанные как с отношениями с заемщиками, так и с предоставлением недостоверной отчетности регулятору.

Директор «ГринМани» Андрей Луцык заявил «Коммерсанту» о начале проверки из-за базы. По его словам, до окончания этой проверки «преждевременно говорить, что произошла какая-либо утечка». В «Эквифакс» заверили, что оттуда данные не утекали.