Право

Защита персональных данных

Все материалы

В интернете оказались персональные данные 703 тыс. сотрудников «Российских железных дорог». При этом злоумышленники добавили к публикации примечание: «Спасибо ОАО «РЖД» за предоставленную информацию путем бережного обращения с персональными данными своих сотрудников».

Данные работников РЖД были опубликованы на сайте «Инфач» под заголовком «Рабы РЖД». Позднее администратор сайта закрыл к нему доступ — при попытке зайти на сайт выдается ошибка 403, «доступ запрещен». Домен infach.me был зарегистрирован в феврале 2018 года, он позволял пользователям анонимно публиковать персональные данные других людей. Среди данных сотрудников РЖД, опубликованных на сайте, были их имена, номера телефонов, должности, фотографии в форме и снимки СНИЛС.

Об утечке сообщил основатель и технический директор компании DeviceLock Ашот Оганесян, пишет РБК. Он полагает, что украдена была база данных службы безопасности., поскольку судя по формату фотографий, это снимки на пропуска.

Еще в прошлом году РЖД объявили о запуске интернет-портала для сотрудников под названием my.rzd.ru, к которому планировалось подключить всех работников компании. В личном кабинете они могли заказывать справки, оформлять билеты на поезд, редактировать данные о себе. Судя по отзывам пользователей, в последнее время у них были проблемы с доступом к порталу (вход по номеру СНИЛС и паролю), что они связывали с его взломом. В РЖД не ответили на запрос РБК об утечке данных с этого портала

После появления информации об утечке персональных данных РЖД объявили о начале проверки.

Согласно поправкам к закону «О персональных данных» в России планируют разрешить использовать информацию о гражданах без их согласия.

Документ, с которым ознакомились «Известия», уже получил положительный отзыв кабмина.

В поправках говорится, что обладатель данных будет обязан обезличить их так, чтобы раскрыть человека не помогла никакая дополнительная информация.

Под информацией, которую можно обезличить, подразумеваются данные о местоположении человека, его пол, возраст, а также средний счет за сотовую связь.

Получить согласие десятков миллионов клиентов, абонентов и пользователей интернет-ресурсов просто невозможно, а обезличенные данные не ущемляют их прав и приносят пользу обществу и экономике, отмечают эксперты.

Нововведения станут драйвером развития рынка больших данных (Big Data) в России.

Массивы обезличенных данных о миллионах пользователей уже сейчас используют некоторые компании и госструктуры, но применение этой информации пока находится в «серой» зоне, не подпадающей под правовое регулирование.

363 ozon

Роскомнадзор заявил, что потребует от онлайн-магазина Ozon разъяснений из-за утечки адресов электронной почты и паролей своих пользователей. 

«Роскомнадзор выражает обеспокоенность действиями компании в ситуации, когда адреса электронных почт и пароли более 450 тыс. аккаунтов пользователей оказались в открытом доступе», — говорится в сообщении службы, поступившем в РБК.

В Роскомнадзоре добавили, что компания своевременно не предупредила об утечке, что ставит под угрозу безопасность всех пользователей Ozon. В Роскомнадзоре отметили, что доступ к аккаунту клиента позволяет несанкционировано получать дополнительную информацию о пользователе, а также совершать от его имени различные действия. В связи с этим служба направит интернет-магазину письмо для получения разъяснений.

Ранее РБК выяснил, что на днях на одном из сайтов выложили базу с адресами электронной почты и паролями более 450 тыс. пользователей Ozon.  В Ozon заявили, что уже видели эту базу с данными пользователей. Сразу после обнаружения файла компания сбросила пароли у тех учетных записей, которые принадлежали пользователям интернет-магазина. Утечка могла произойти из-за того, что пользователи использовали одинаковые пароли для разных сервисов или из-за вируса, атаковавшего их компьютеры, считают в Ozon.

Роскомнадзор ограничил доступ к интернет-форуму phreaker.pro, на котором были размещены для платного скачивания базы данных около 900 тыс. клиентов российских банков.

«В настоящее время операторы связи предпринимают действия по ограничению доступа к форуму на территории России», — цитирует сообщаение ведомства РИА Новости.

В Роскомнадзоре подчеркнули, что на сайте phreaker.pro не было информации о согласии клиентов банков на размещение и обработку их персональных данных.

Об утечке данных клиентов ОТП-банка, Альфа-банка и банка «Хоум Кредит» сообщил 10 июня «Коммерсант».

 

 

База данных туристического сервиса «Слетать.ру» была обнаружена в открытом доступе.

Сейчас база закрыта, пишет «Коммерсантъ», но ранее в ней были логины и пароли нескольких сотен подключенных к системе туристических агентств, паспортные данные клиентов и информация о билетах, а также не менее 11,7 тыс. клиентских e-mail. Вся информация датируется мартом 2018-го — маем 2019 года.

В «Слетать.ру» комментариев не дали, так же поступили и в Ассоциации туроператоров России. На сайте сервиса говорится, что он помогает в «поиске туров по всем туроператорам». По данным SimilarWeb, число посещений сайта в апреле составило 3,35 млн.

Несмотря на отсутствие в скомпрометированной базе платежных данных, хранилище могло представлять интерес для злоумышленников, считают опрошенные «Ъ» эксперты по кибербезопасности. Узнав подробные сведения о предстоящих поездках, злоумышленник может связаться с покупателем путевки, представившись сотрудником турагентства, и попросить провести дополнительную оплату, например, включив в тур новые услуги или сославшись на изменения в стоимости.

Кроме того, конкуренция в турбизнесе очень большая и клиентская база дорогого стоит.

Семинары по теме Защита персональных данных
Все семинары

В информационных системах госорганов — от реестра НКО Минюста до московского портала госзакупок — в открытом доступе размещены 360 тыс. записей с личными данными, в том числе сведения о бывших вице-премьерах правительства.

Об опубликованном исследовании председателя Ассоциации участников рынков данных Ивана Бегтина «Утечки персональных данных из открытых источников. Государственные информационные системы», пишет РБК.

Бегтин проанализировал данные с сайтов восьми информационных госсистем — реестра субсидий федерального бюджета Минфина (50 тыс. записей), реестра отчетов некоммерческих организаций Минюста (10 тыс.), реестра обращений граждан на портале «Онлайн Инспектор» Роструда (1 тыс.), информационной системы «Правовые акты ФАС России» (2 тыс.) и портала торгов по госимуществу ФАС (2 тыс.), портала управления многоквартирными домами Москвы (1–2 тыс.), столичного портала закупок (2,5 тыс.) и портала государственного и муниципального заказа федерального казначейства (300 тыс.).

Среди людей, информация о которых оказалась в открытом доступе, — бывшие вице-премьеры и вице-спикер Госдумы, утверждает Бегтин. На момент публикации, как убедился РБК, в реестре отчетов некоммерческих организаций Минюста среди отчетов «о деятельности некоммерческой организации и персональном составе ее руководящих органов» можно было найти документ фонда поддержки социальных, образовательных, инновационных и спортивных проектов «Ладья». В его президиум входят первый заместитель председателя Госдумы Александр Жуков (в 2004–2011 годах вице-премьер), сопредседатель фонда «Сколково», бывший вице-премьер Аркадий Дворкович, его жена Зумруд Рустамова, телеведущий Владимир Соловьев, представители руководства Нордеа Банка Ирина Мамхегова и Игорь Коган и губернатор Ивановской области Станислав Воскресенский. Их паспортные данные содержались в отчете фонда.

На сайте есть аналогичный отчет Фонда инфраструктурных и образовательных программ. В нем указаны паспортные данные председателя правления госкорпорации «Роснано», в прошлом вице-премьера Анатолия Чубайса и топ-менеджеров корпорации Андрея Свинаренко, Алексея Качая, Дмитрия Колесникова, Андрея Трапезникова и Юрия Удальцова.

Утечки возникают из-за ошибок в законодательстве, просчетов разработчиков и недостаточно продуманной работы регулирующих и контролирующих органов, считает Бегтин. «Причина — в нежелании официальных лиц что-либо делать, хотя они знают о ситуации и непрофессионализме при разработке ИТ-систем», — говорит исследователь.

Глава Роскомнадзора Александр Жаров на коллегии ведомства поручил своим сотрудникам проверить интернет-магазины на предмет выполнения требований закона «О персональных данных».

«Надо, очевидно, проверять тех, где больше всего страдают интересы граждан, переходить к контролю услуг», — цитирует Жарова РБК.

Позднее в кулуарах Александр Жаров пояснил РБК, что в Роскомнадзор поступает много жалоб на интернет-магазины. По его словам, ведомство намерено запросить у компаний, работающих в сфере интернет-торговли, как они обрабатывают персональные данные.

Если Роскомнадзор выявит в их работе «злонамеренные действия» с персональными данными россиян, то вместе с компетентными органами служба намерена «предпринять исчерпывающие действия», рассказал глава надзорной службы.

«Если учесть, что, по разным оценкам, от 5 млн до 7 млн компаний предоставляют российским гражданам услугу электронной коммерции, там поле непаханое. Поэтому я сконцентрировал внимание коллег на этой деятельности», — сказал Жаров.

Роскомнадзор намерен также контролировать исполнение закона «О персональных данных» зарубежными интернет-магазинами, добавил глава надзорной службы. При этом, по словам Жарова, ведомство уже начало эту работу, и даже «кого-то наказали». Ответить на вопрос, о какой компании речь, и уточнить другие детали по этому вопросу глава Роскомнадзора не смог.

1121 facebook

Мировой суд Таганского района Москвы назначил Facebook штраф в три тысячи рублей за отказ предоставить информацию о локализации персональных данных российских пользователей сервиса на территории РФ.

Речь идет о правонарушении по ст. 19.7 КоАП РФ (непредставление сведений/информации), пишет «Интерфакс».

Представители Facebook во второй раз не явились на заседание и, по данным суда, не направляли ходатайств о переносе разбирательства. В этой связи дело было рассмотрено без них.

Согласно материалам дела, оглашенным в суде, в ходе переписки Facebook и Роскомнадзора компания поясняла регулятору, что инфраструктура сервисов соцсети устроена таким образом, что «данные не сегментированы по географическому признаку».

Роскомнадзор 17 января получил от Twitter и Facebook ответы на запрос о локализации данных россиян на территории РФ. Глава регулятора Александр Жаров заявил, что ответы не содержали конкретики. В феврале в отношении сервисов были составлены административные протоколы.

Ранее на три тысячи рублей был оштрафован Twitter.

Закон о локализации персональных данных россиян на серверах внутри РФ был подписан 31 декабря 2014 года и вступил в силу 1 сентября 2015 года.

По данным Роскомнадзора, кредитные организации лидируют по количеству жалоб от россиян в связи с обработкой персональных данных.

«С начала 2019 года в управление Роскомнадзора по защите прав субъектов персональных данных поступило 400 жалоб граждан на действия банков, кредитных организаций и коллекторских агентств. Все обращения были переданы через специальную электронную форму на сайте Роскомнадзора. Сфера кредитования является лидером по количеству жалоб от граждан в связи с обработкой персональных данных», — приводит РИА Новости сообщение РКН.

Как отмечает ведомство, по результатам первых проверок нарушения законодательства подтвердились в 1,75% случаев. Материалы будут переданы в суд для привлечения нарушителей к административной ответственности.

Предметом жалоб в 2019 году стали ситуации, в которых банки использовали паспортные данные граждан для незаконного оформления микрозаймов на других лиц, поручали обработку данных другому лицу в целях взыскания кредитной задолженности, а также не предоставляли информацию об обработке по требованию субъекта. Также эти организации продолжали обрабатывать персональные данные даже в случаях отзыва согласия субъекта на обработку их личной информации.

Правительство РФ утвердило «Правила проведения проверок операторов персональных данных». Постановление № 146 от 13.02.2019 г. опубликовано на официальном портале правовых документов.

Постановление устанавливает:

  • порядок проведения плановых и внеплановых проверок;
  • права и обязанности должностных лиц при осуществлении государственного контроля;
  • особенности проведения документарных проверок;
  • правила проведения выездных проверок;
  • порядок оформления результатов проверок;
  • перечень мер, принимаемых в отношении фактов нарушения требований;
  • порядок организации и проведения мероприятий по контролю без взаимодействия с операторами;
  • порядок организации и проведения мероприятий по профилактике нарушений требований;
  • досудебный (внесудебный) порядок обжалования решений и действий (бездействия) должностных лиц в ходе проведения проверок.
Напомним, что операторами данных являются все работодатели. Кто из них может попасть под проверку и в каком случае, можно узнать из этого постановления.

По данным Всемирного банка общая задолженность россиян по банковским кредитам на конец 2018 года достигла исторического максимума. Разумеется, не все могут реально рассчитать свои силы в нелегком деле возврата долгов, и тогда это становится головной болью бухгалтеров.

«Что сказать кредиторам бывшего сотрудника, залегшего на дно, сохранив при этом рабочее время, эмоциональную стабильность и не нарушив закон?» — это стало темой обсуждения в нашем сообществе в Фейсбук.

Когда заемщик перестает платить по кредиту и исчезает с радаров банка или коллекторского агентства, его начинают разыскивать. В первую очередь по телефону, указанному в справке 2-НДФЛ должника. Чаще всего это телефон бухгалтерской службы компании и если сотрудник уволился, то бухгалтер вынужден вести переговоры с настойчивыми кредиторами.

Участники сообщества рассказали, что чаще всего в таких случаях стараются беседовать благожелательно — ведь звонящие просто выполняют свою работу.

Было такое.Ответила, что гражданин Н. у нас работал, уволился. Справку выдавали. Суммы могут проверить в ИФНС. Созаемщиками не являемся; а телефон можно указать в заявлении любой, хоть приёмной президента. И что дальше? Хотите поговорить? Давайте я расскажу вам о проблемах налогового учёта. А ещё могу про личные проблемы рассказать. Ну прям готова поговорить, трубку положили, и больше не звонили,
— Rimma Luzanova

Однако частота звонков и настойчивость по сути неизвестных собеседников, пытающихся получить персональную информацию, рано или поздно устраняют любое желание вежливого общения.

Так они же по сто раз на дню звонили. Сначала, действительно, с пониманием относились, а потом уже всё, терпенья не хватало,
— Елена Осипова

Чтобы сэкономить рабочее время и нервы нужно сразу сообщать звонящим о том, что все вопросы нужно прислать в виде официального письма. Без этого никакой информации предоставляться не будет.

Я просто на такие вопросы отвечаю, что вам необходимо все ваши вопросы оформить в виде письменного запроса и выслать на наш адрес... и тогда может быть появится и ответ... все зависит от вопроса.. Ответственность за персональные данные никто не отменял,
— Наталия Ефимова

Выяснилось, что звонки коллекторов на рабочий телефон — это еще цветочки! Иногда бывшие сотрудники умудряются указать личный номер телефона бухгалтера при получении займа и перестают вовремя вносить платежи. Стоит ли говорить, что на этом спокойная жизнь работника бухгалтерской службы заканчивается.

Один из бывших сотрудников умудрился мой личный номер телефона дать, как контактный при взятии кредита, ещё и пару раз. Какой-то банк отстал от меня после угрозы написать жалобу в ЦБ. А Кредит 911 звонит раз-два в неделю уже 2 года. Разговаривать за это время пробовала уже по-всякому, даже пыталась использовать их неизбежные звонки как тренировку собственной выдержки,
— Алена Виноградова

 

Одна из основных задач ПФР – обеспечить полную конфиденциальность персональных данных граждан.

Сегодня в базе данных персонифицированного учета хранится огромный массив важных сведений – место работы, стаж, заработок и т.д., требующих ежесекундной защиты, которую обеспечивают специлизированные структуры как на уровне региональных отделений, так и на федеральном уровне в целом, отметили в отделении ПФР по Омской области.

Пенсионный фонд сотрудничает с ведущими разработчиками средств антивирусной защиты информации, которые позволяют успешно отражать хакерские атаки – а их в год случаются не одна и не две.

Контроль за доступом к базам данных персонифицирован – у каждого специалиста ПФР доступ к личным сведениям граждан строго ограничен выполнением служебных обязанностей, вход в базу, поиск информации фиксируется. У всех сотрудников – индивидуальные пароли, ключи идентификации, средства криптографической защиты, опечатанный системный блок с блокировкой ввода – вывода информации. Все базы данных включены в локальные сети без доступа в Интернет.

Информационное взаимодействие с организациями – социальными партнерами ПФР (ЗАГС, Минтруд, ЦЗН и т.п.) также осуществляется только по защищенным каналам связи. В постоянном режиме ведется резервное копирование информации.

Как отметили в ПФР, это очень неполный перечень средств, с помощью которых фонд осуществляет защиту персональных данных россиян и  справляется с этой задачей вполне успешно.

Правительство решило расширить список нарушений в сфере защиты персональных данных, за которые будут установлены наказания в виде штрафов. Соответствующий документ опубликован на едином портале для опубликования нормативно-правовых актов, рассказал ИПБ России в блоге компании.

Законопроект подразумевает внесение трех дополнений в статью 13.11 КоАП. И предусматривает введение административной ответственности для оператора за ненадлежащий контроль за действиями лица, осуществляющего по его поручению обработку персональных данных – предупреждение или наложение административного штрафа:

  • на граждан в размере от 1 до 2 тысяч рублей;
  • на должностных лиц – от 3 до 6 тысяч рублей;
  • на ИП – от 5 до 10 тысяч рублей;
  • на юридических лиц – от 10 до 30 тысяч рублей.
За нарушение лицом, осуществляющим обработку персданных по поручению оператора, законодательства РФ в области персональных данных, отделаться предупреждением не получится. Штрафы для оператора, поручившего этому лицу обработку персональных данных, в этом случае предусматриваются такие:

  • на граждан в размере от 3 до 5 тысяч рублей;
  • на должностных лиц – от 5 до 15 тысяч рублей;
  • на ИП – от 10 до 20 тысяч рублей;
  • на юридических лиц – от 15 до 30 тысяч рублей.
Кроме того, будет предусмотрено наказание для создающих общедоступные источники персональных данных, содержащих сведения из государственных или муниципальных источников персданных. Кроме предупреждения предусмотрены штрафные санкции.

О них узнайте здесь.

 

2317 ИНН

Каждому налогоплательщику присваивается единый на всей территории РФ по всем видам налогов и сборов ИНН.

ИНН формируется как цифровой код, состоящий из последовательности цифр, характеризующих код налогового органа (4 знака), порядковый номер записи о лице в ЕГРН (6 знаков) и контрольное число (2 знака).

Таким образом, ИНН фактически является номером записи о лице в Едином государственном реестре налогоплательщиков.

ИНН не является информацией, входящей в перечень персональных данных, применяется исключительно в целях упорядочения учета налогоплательщиков внутри системы налоговых органов, а также служит только для ускорения обработки огромного потока информации в интересах соблюдения прав налогоплательщиков.

Такое разъяснение дает Минфин в письме № 03-01-11/76554 от 25.10.2018.

Минкомсвязи разработало проект с поправками в КоАП, который вводит административную ответственность для операторов и обработчиков персональных данных за утечку информации, а также за создание общедоступных баз.

Если оператор не «осуществляет надлежащий контроль» над тем, кто обрабатывает персональные данные, то ему грозит штраф:

  • 1-2 тыс. руб. на физлицо;
  • 3-6 тыс. руб. на должностное лицо;
  • 5-10 тыс. руб. на ИП;
  • 10-30 тыс. руб. для юрлица.
Если обрабатывающий персональные данные нарушит закон, то получит штраф:

  •  3-5 тыс. руб. на физлицо;
  •  5-10 тыс. руб. на должностное лицо;
  • 10-20 тыс. руб. на ИП;
  • 15-30 тыс. руб. на юрлицо.
Если же нарушитель создаст «общедоступный источник, содержащий сведения из государственных и муниципальных информационных систем персональных данных», то ему грозит штраф:

  • 1-2 тыс. руб. на физлицо;
  • 3-5 тыс. руб. на должностное лицо;
  • 5-10 тыс. руб. на ИП;
  • 10-30 тыс. руб. на юрлицо.
Законопроект разработан в целях повышения защищенности персональных данных граждан РФ при осуществлении обработки персональных данных лицом, действующим по поручению оператора.