персональные данные

Бухгалтеры получают неименные требования из ИФНС, в которых указывается на несоответствие персональных данных сотрудников в форме 2-НДФЛ их фактическим данным.

Такой документ, в частности, получила участница нашей группы «Красный уголок бухгалтера» на Фейсбуке.

1

В документе бухгалтера удивило многое:

Во-первых, требование адресовано руководителю неизвестно какой организации, то есть  по сути – «на деревню дедушке».

Во-вторых, в середине 2020 года налоговики проверяют данные 2-НДФЛ за 2018 год.

В-третьих, налоговики требуют предоставить им копии паспортов работников. Между тем некоторые из них могут быть давно уволены, а хранение копий паспортов не вписывается в нормы закона о защите персональных данных.

Участники обсуждения отмечают, что такое безымянное требование нужно просто игнорировать.

Обычно коллеги получают нечто подобное, но адресованное конкретной компании и с приложением таблицы с несоответствиями.

Как-то на «Клерке» писали, что налоговики якобы сливают персональные данные заявителей на регистрацию компаний банкам. Правда или нет, но люди жалуются.

И вот снова жалоба в «Красном уголке бухгалтера»:

«Подала документы на регистрацию ООО. Прошло 3 дня, налоговая мне ещё не сообщила об открытии, но звонки из банков в количестве 27 штук начались в пятницу вечером! То что я нахожусь во Владивостоке никого не интересовало! Можно и ночью звонить! Дело не в этом, а в том что на меня зарегистрировано три телефона, а звонили только по тому который я указала в заявлении! На мой звонок по единому номеру в ИФНС и вопрос кто слил мои персональные данные, оператор завис и через 5 минут она мне сообщила что у них нет таких данных! Разбираться с этим они не намерены! Телефон звонит всю пятницу, субботу и понедельник! Что делать, не знаю!».

Понятно, что могло быть совпадением, но если человек номер больше нигде не оставлял — на совпадение не похоже.

А вот что пишут в комментариях:

«Они всегда сливают сведения по вновь зарегистрированным ЮЛ и ИП».

Ну, прям так уж категорично, наверное, не стоит. Но слухами земля полнится.,

«Такая же история. И потом этот телефон появился во всех базах Спарка и в интернете. Уже несколько лет так живу. Поставила #whocalls, чтобы видеть, кто из массового обзвона звонит. Когда звоню в Контур, мне говорят что я из фирмы, в которой несколько лет не работаю (телефон, да)».

А вот еще:

«Это известная вещь. Из налоговой сливают номера и первые три дня, как минимум просто ад. Надо быть готовым к этому. Действительно может стоит давать номер, который можете смело отключить на несколько дней».

Кто-то даже провели эксперимент:

«Я пыталась разобраться с налоговой в этом вопросе и не раз, мне отвечали что налоговая ничего не сливает, решила им доказать, новый клиент, регистрирую ООО, указываю номер новый, даже симку приобрела для этого, когда начались звонки встретилась с налоговой, сами предложили написать заявление в уголовку, скорее всего это делает тот кто обслуживает общую базу налоговой и от этого нам никуда не деться, поэтому вежливо „посылаем в лес“».

Вот что советуют:

«Для регистрации надо оформлять новый номер и почту. Когда начинаются звонки, то предлагаете каждому банку прислать персональное пердложение с указанием этого номера. После собираете все это в кучу и пишите в прокуратуру заяву-жалобу на ФНС на нарушение 152-ФЗ, с приложением предложений и заявления о регистрации компании с датой. И том, что фирмы еще нет, и не факт, что будет, а счета уже почти есть. Потом и ФНС с вами по другому общается и банки тоже. Действует, как ушат холодной воды на них».

Правда, вообще не факт, что все это делает кто-то из налоговиков. И вот почему:

«Кроме этого, налоговая при регистрации исполняет функцию „одно окно“. То есть, регистрирует ООО или ИП, и отправляет сразу, и в ПФ, и в ФОМС, и в ФСС, и в Фонд занятости, и в Росстат, данные заявления о регистрации. Где утечка может быть, вариантов много. И не факт, что из налоговой. В не которых из перечисленных служб, нет служб информационной безопасности, от слова — совсем».

Подытожим:

«Все давно знают, что в данной форме (Р11001) не следует указывать свой личный телефон. Для этих целей вполне подойдет иная симка либо номер коммутатора».

Вот и лайфхак — регистрируете фирму или ИП, купите новую симку, и ее номер укажите в форме для регистрации. Чтобы потом не доставали звонками.

Штрафы за утечку персональных данных могут вырасти, следует из проекта новой редакции КоАП, который был разработан Минюстом России и 29 мая был выложен на обсуждение на портале общественного обсуждения. 

  • Для юридических лиц с 50 тыс. до 500 тыс. руб.
  • Для ИП с 20 тыс. до 300 тыс. руб.,
  • Для должностных лиц — с 10 тыс. до 100 тыс. руб.,
  • Для остальных граждан — с 2 тыс. до 20 тыс. руб.
Член Генерального совета Партии Роста, глава «Агентства кибербезопасности» Евгений Лифшиц считает, что для обеспечения персональных данных штрафы необходимо кратно увеличить:

«Звучит внушительно — "увеличили в 10 раз", но, если посмотреть на абсолютные величины этих штрафов и сравнить их, например, с размерами европейских штрафов за утечку по GDPR, это просто смешно. Если их поднять еще в 10 раз, тогда это имело бы смысл, или, например если штрафовать не за инцидент, а суммировать за данные одного человека. А пока это несерьезно, и утечки будут продолжаться. особенно на фоне грядущих новых массивов данных — "цифрового профиля россиян" и так далее.

Утечек будет становиться больше, потому что персональные данные стали товаром, который пользуется повышенным спросом. Наблюдать мы это будем, пока на государственном уровне кратно не повысятся штрафы. Только это заставит компании отнестись всерьез к повышению уровня информационной безопасности.

Решение, которое очень хотелось бы увидеть воплощенным в реальность, это единый реестр, например, на базе госуслуг, где можно было бы четко увидеть, где, кому и на каких условиях давали согласие на обработку персональных данных. И отозвать свое согласие одним нажатием. Что-то подобное уже обсуждалось с прошлым составом правительства. В сегодняшней ситуации, когда личными данными может владеть кто угодно на непрозрачных условиях, неудивительно, что эти данные периодически "утекают" и людям звонят мошенники и отправляют фишинговые ссылки вам на личную почту».

Глава Минкомсвязи пообещал удалить все персональные данные, которые были внесены при получении цифровых пропусков. После карантина.

«Цифровые пропуска являются во многом таким обязательным элементом, потому что без цифрового пропуска, соответственно, в регионах у нас невозможно выйти из дома, их проверяют, поэтому это является услугой обязательной. Изначально мы сразу продекларировали, что цифровые пропуска – это временная мера, которая действует в период карантина и самоизоляции. И после ослабления соответствующих мер все персональные данные будут удалены», – сказал министр.

Интересно, все поверили?

Шадаев напомнил, что Московская область приняла решение с 23 мая отменить цифровые пропуска.

«И вот на этой неделе мы все персональные данные [жителей региона], за исключением тех учетных записей, которые были созданы пользователями на портале госуслуг <...> все персональные данные, связанные с перемещениями, с адресами, с целями выхода – все будет удалено, уничтожено. Соответственно, не останется у нас в государственных информационных системах», – добавил министр.

По материалам «ТАСС».

171 МФО

Роскомнадзор направит запрос в компанию «Юником24» по поводу возможной утечки персональных данных россиян, оформивших микрозаймы в 2017-2019 годах, с целью прояснить ситуацию.

«При наличии оснований будут приняты меры, установленные законом», – добавили в федеральной службе.

На «Клерке» сегодня писали об утечке персональных данных 12 млн заемщиков в МФО.

Использованы материалы РБК.

ФНС не будет уничтожать персональные данные, даже если налогоплательщик потребует это сделать. Такой вывод сделан в письме от 23.03.2020 № БС-3-6/2293@.

Судя по тексту письма, кто-то обратился в налоговые органы с требованием уничтожить свои персональные данные в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». И налоговикам пришлось объяснять, почему они не должны этого делать.

В случае отзыва согласия на обработку персональных данных оператор вправе продолжить их обработку без согласия гражданина при наличии оснований, указанных в законе. Одно из таких оснований — исполнение полномочий федеральных органов исполнительной власти.

Обработка сведений о субъектах персональных данных осуществляется налоговыми органами для достижения целей, предусмотренных законодательством о налогах и сборах, и выполнения возложенных на налоговые органы функций, полномочий и обязанностей. Соответственно, налоговые органы вправе продолжить обработку персональных данных без согласия субъекта персональных данных.

Учитывая, что уничтожение персональных данных гражданина повлечет невозможность исполнения обязанностей, возложенных на ФНС, то требование об уничтожении персональных данных не может быть удовлетворено.

На форуме «Клерка» поделились информацией о вопиющем нарушении закона налоговыми органами. ИФНС рассылают файлы с тысячами персональных данных работников.

Организация получила письмо из московской налоговой, о том что в 2-НДФЛ за 2017 есть ошибки в персональных данных сотрудников. К письму приложен екселевский файл, в котором находятся почти 4,5 тыс. фамилий физлиц с ИНН и паспортными данными.

Т.е. налоговики, вместо того, чтобы выбрать работников этой конкретной организации и отправить данные по ним, просто отправляют одинаковый файл всем. Вероятно, некогда им.

В приложенном файле указаны: ИНН/КПП организации-работодателя (есть и госструктуры), номер справки физлица (можно примерно понять, сколько сотрудников в организации), дата сдачи отчета 2-НДФЛ, ИНН, ФИО физлица, номер и серия паспорта, а также дата рождения.

Заметим, что руководство ФНС неоднократно заявляло о том, что налоговое ведомство надежно хранит персональные данные граждан. И при этом его работники производят такие рассылки.

Twitter не смог оспорить в суде штраф в 4 млн рублей за отказ хранить данные пользователей в России.

Таганский суд Москвы в понедельник признал законным решение о назначении административного штрафа в размере 4 млн рублей компании Twitter Inc. за нарушение российского законодательства в области персональных данных. Об этом сообщил корреспондент ТАСС из зала суда.

В ходе заседания представители оштрафованной компании заявили, что письма Роскомнадзора до нее не доходили, а назначенное ей наказание несоразмерно велико. «Скриншоты сайта составляют единственную доказательную базу в протоколе об административном правонарушении», — отметил представитель Twitter в суде.

13 февраля суд постановил признать Twitter виновным по ч. 8 ст. 13.11 КоАП («Нарушение законодательства Российской Федерации в области персональных данных») и назначить компании административный штраф в размере 4 млн рублей. Аналогичное решение было принято в отношении компании Facebook, которая штраф пока не обжаловала. Требования об отчете о локализации баз персональных данных российских пользователей в РФ Twitter и Facebook были направлены Роскомнадзором в конце декабря 2018 года, но ведомство конкретного ответа не получило.

12460 АПК РФ

В исковом заявлении или заявлении на выдачу судебного приказа с 30 марта будет необходимо указывать идентифицирующие данные должника.

Это могут быть (если ответчик «физик»):

  • серия и номер паспорта;
  • серия и номер водительского удостоверения;
  • номер СНИЛС;
  • ИНН;
  • серия и номер свидетельства о регистрации транспортного средства.
Если ответчик компания, то кроме наименования и адреса, нужно указать ИНН и ОГРН. Но эти-то сведения в открытом доступе можно легко найти.

При отсутствии таких данных, заявление судом будет оставлено без движения, суд потребует эти сведения предоставить к определенному сроку. Не будет предоставлено – суд вернет исковое заявителю.

Сделано это с той целью, чтобы исключить взыскание с полных тезок. На данный момент достаточно указать ФИО ответчика и его известное место жительства. Можно указать дату и место рождения, если такие сведения есть.

Не совсем понятно, где брать эти данные, если они истцу не известны, а ответчик их не предоставляет. К примеру, сосед машину поцарапал, причинил имущественный вред. Знаем его только по имени, можно постараться выяснить ФИО. Документы не дает. Тем более, часть указанных сведений совершенно точно являются персональными данными.

Кстати, те же вопросы задавала юридическая общественность полгода назад. Тогда вступление поправок в силу отложили, чтобы выработать механизмы получения этих персональных данных. Видимо, выработали.

Указанные изменения вносит Федеральный закон от 28 ноября 2018 года № 451-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», изменен Федеральным законом от 17 октября 2019 г. № 343-ФЗ.

В Сеть попали данные клиентов кредитного брокера «Альфа-Кредит», который собирает заявки на кредиты и помогает выбрать и получить заём в банке.

Они содержались в системе управления базами данных MongoDB с открытым кодом, используемой некоторыми компаниями для внутренних задач, пишет РБК.

База содержала более 44 тыс. записей. В каждой были указаны ФИО клиента, сумма и вид запрашиваемого кредита, номер телефона, адрес электронной почты, город и регион проживания. Несколько человек из базы подтвердили РБК, что подавали заявку на заем через «Альфа-Кредит». Источник РБК, близкий к брокеру, подтвердил утечку в компании.

Пресс-служба Альфа-Банка уже разослала информацию о том, что банк не имеет никакого отношения к ООО «Альфа-Кредит», в партнерских отношениях с этой компанией не состоит и никогда не состоял. Утечка данных клиентов "Альфа-Кредита"клиентам Альфа-Банка не угрожает.

Все уполномоченные сотрудники, ведущие оперативно-розыскную деятельность (ОРД), к 2024 году смогут получить доступ к различным типам данных о гражданах в режиме онлайн.

Речь идет о государственных данных, данных банков, операторов мобильной связи и интернет-сервисов, говорится в презентации нового министра связи Максута Шадаева на заседании рабочей группы Госсовета по направлению «Коммуникации, связь, цифровая экономика», пишут «Ведомости».

Как пояснили юристы, данные правоохранители получают как из собственных баз, так и из других, в том числе по решению суда, которое нужно, например, для получения доступа к записям телефонных переговоров, электронной почте, СМС, сообщениям в мессенджерах, для получения банковской информации. При этом воплотить инициативу Шадаева об онлайн-доступе без изменения законодательства и Конституции невозможно.

По словам экспертов, идея упростить получение данных правильная, суды и сейчас редко отказывают правоохранительным органам. Главный вопрос в том, как идея Шадаева будет исполнена, т. е. как будет предоставляться доступ к такой базе и кто его сможет получить. Доступ должен выдаваться, например, по личному идентификатору конкретного сотрудника правоохранительных органов, чтобы в базе можно было посмотреть, кто, когда и зачем к такой информации обращался, считают эксперты.

Часть презентации Шадаев посвятил цифровизации госуслуг и способам идентификации граждан: он считает, что главная цель цифровизации госуслуг – снижение времени, которое должен тратить каждый гражданин в год на общение с органами власти, оно не должно превышать трех часов.

Шадаев рассказал, что к 2024 году в личном кабинете госуслуг граждане получат доступ ко всем данным о себе, которые есть у государства, а также сведения о том, кому они были переданы. Отдельно Шадаев говорил о замене обычных паспортов на цифровой ID и использование биометрии.

Сегодня международный день защиты персональных данных. Роскомнадзор проводит публичный семинар для операторов персональных данных по итогам контрольно-надзорной деятельности ведомства за 2019 год.

Прямой эфир найдете по ссылке.

В зале присутствует Максим Лагутин, основатель и эксперт по защите персональных данных в Б-152. Вот некоторая информация о проверках на соблюдение privacy.

Плановых проверок стало меньше, а нарушений по обработке персональных данных больше.

Штрафы выросли на 38% по сравнению 2018 годом.

Количество жалоб от физических лиц выросло на 22,4% до 50 тыс. Люди стали больше стараться пользоваться своими правами, охраняющими персональные данные.

Вот на что люди жалуются в Роскомнадзор чаще всего: размещение списков должников в подъездах, отправка платежек без конвертов, перевод пенсионных накоплений в НПФ с использованием персданных, передача персональных данных от банков коллекторам, отсутствие политики конфиденциальности в соцсетях и сайтах и т.д.

Приводятся также примеры нарушений по статьям КоАП РФ.

В метро, в кафе и на автобусных остановках можно бесплатно зарядить свой телефон. Оказывается, это опасно.

Через USB-входы злоумышленники могут получить доступ к данным, хранящимся в телефоне, загрузить вредоносное ПО, предупреждают опрошенные РИА Новости эксперты.

В Москве на сегодняшний день зарядить гаджеты можно в аэропортах и на вокзалах, в поездах метро и МЦД, автобусах, на остановках общественного транспорта. Стойки для зарядки с разъемами для разных гаджетов также расположены в МФЦ, торгово-развлекательных центрах. Как отметил замруководителя Лаборатории по компьютерной криминалистике компании Group-IB Сергей Никитин, в стандартных USB-кабелях находится четыре провода: два для передачи данных, один для подачи тока («фаза», обычно пять вольт) и еще один – «ноль».

«Фактически для того, чтобы заряжать любой гаджет от USB, достаточно двух проводков – «ноль» и пять вольт, а провода данных не должны даже использоваться. Проблема в том, что возможно злонамеренное воздействие, когда либо в кабель для зарядки встраивается специальное устройство, либо в само зарядное устройство могут добавить маленький компьютер. И когда вы подключаете ваш гаджет для зарядки, вы его подключаете к какому-то другому устройству», — предупредил он.

Злоумышленники могут получить, таким образом, доступ к вашему устройству. Тот маленький компьютер, который там стоит, заражает ваше устройство, передает на него зловредный код, исполняет его, и после этого злоумышленник имеет доступ к телефону. К примеру, злоумышленники могут скачать все фотографии с телефона с целью шантажа его владельца. Эксперты советуют пользователям по возможности избегать общественных станций для зарядки устройств.

«В современных телефонах стала появляться защитная функция, блокирующая передачу данных при подключении к новому устройству до подтверждения пользователем, однако она не сможет защитить от всех уязвимостей. Поэтому рекомендую не подключаться к неизвестным устройствам даже для зарядки телефона или использовать специальную защиту, например переходник, в котором есть контакты для зарядки, но отсутствуют контакты, отвечающие за передачу данных», – сказал Старостин из компании «Инфосистемы Джет».

Если вы планируете поездку, лучше заранее приобрести портативный блок питания или USB-кабели, в которых провода передачи данных были удалены, чтобы кабель мог только заряжать устройство. Если же ничего вышеперечисленного у вас нет, а зарядить телефон нужно, внимательно смотрите на уведомления: выбирайте опцию «только зарядка», чтобы он не передавал никаких данных.

Есть некоторые пауэрбанки, которые не передают данные через себя. Так можно поставить пауэрбанк на зарядку, а заряжать гаджет от него, — это будут два разных порта.

Если телефон современный, можно пользоваться беспроводной зарядкой. Просто подключаете к USB беспроводную зарядку, а через нее заряжаете телефон. Никакие данные при этом не передаются.

В стране существуют 73 сервиса, которые занимаются вербовкой инсайдеров в российских банках. Такой информацией поделился исследователь даркнета (скрытой сети, часто использующейся для незаконной деятельности) Антон Ставер.

«Большое количество групп, предоставляющих такие услуги, обусловлено тем объемом работы, которая на них сваливается», — объяснил «Известиям» Ставер.

По словам исследователя, сервисы, вербующие сотрудников банков, получают в день до 50 заказов, чего хватает для существования целой индустрии. Заказчиками данных обычно выступают конкуренты банков, ревнивые супруги клиентов, а также хакеры и мошенники. При этом вербовкой, по информации Ставера, чаще всего «занимаются специализированные структуры».

Специалист отметил, что вербовщики получают от заказчиков около 15 тысяч рублей за одного сотрудника банка. Время выполнения заказа колеблется от 5 до 7 суток, после чего заказчик получает сведения в одном из мессенджеров. С данными исследования согласен Павел Крылов, который руководит компанией, специализирующейся на расследовании киберпреступлений.

«Мошеннические схемы с использованием персональных данных сейчас успешны и эффективны, поэтому злоумышленники активно ищут инсайдеров в банках», – считает специалист.

Он также отметил, что схемы с вербовкой ради монетизации используют различные преступные группировки, пользующиеся возможностями по краже и выводу денег.