Как избежать утечки персональных данных?

Как обычно происходят утечки персональных данных

Утечки персональных данных происходят в основном из-за недобросовестных действий сотрудника компании, который намеренно выгружает какую-либо базу с подобными данными в пользу третьих лиц, иными словами – продает. Таких примеров можно встретить немало. Например, в 2019 году произошла крупная утечка персональных данных клиентов «Сбербанка». Впоследствии было установлено, что причиной стали действия сотрудника, который таким образом решил заработать.

Другой распространенной причиной может быть воздействие третьих лиц (кибератаки). В качестве примера можно назвать утечку данных пользователей сайта «РЖД Бонус». Данные утекли в результате взлома. Примечательно, что в случае с «РЖД Бонус» имел место человеческий фактор, который упростил задачу взломщикам.

В этой связи можно сделать вывод, что слив персональных данных в большинстве случаев происходит по вине сотрудника – оператора персональных данных (проще говоря, самого сервиса, которым мы пользуемся), действующего как умышлено, так и неумышленно.

Так, в случае с «Яндекс Едой» многочисленные источники со ссылкой на представителей сервиса указывают на недобросовестные действия сотрудника службы доставки, как на причину произошедшей утечки.

Особенно серьезно проблема утечки персональных данных угрожает пользователям сервисов, которые собирают данные о большом количестве людей, и у которых наблюдается большая текучка кадров среди сотрудников, имеющих доступ к таким данным. Например, на черном рынке фиксировалась продажа данных клиентов «Альфа-банка». Многие издательства сообщают о том, что утечка произошла в конце 2014 года после массового увольнения регионального IT-отдела.

Где могут быть использованы утекшие персональные данные

Персональные данные (номер телефона, адрес электронной почты и адреса проживания) чаще всего используются для таргетированных или нетаргетированных рекламных предложений. Более злостные действия могут заключаться в мошеннических действиях. Например, достаточно распространенный вариант – обзвон клиентов банка под видом службы безопасности данного банка, с целью убедить перевести денежные средства на «безопасный» счет. Также цель может состоять в нанесении репутационных потерь.

Утекшие базы обычно продаются заинтересованным лицам в частном порядке или через теневой сегмент интернета.

Что делать при обнаружении своих персональных данных в свободном доступе

К сожалению, извлечь утекшие в свободный доступ персональные данные практически невозможно. Конечно, всегда можно попробовать обратиться к владельцу сайта с требованием удалить информацию. Однако, это, во-первых, может быть небезопасно, а, во-вторых, вряд ли эффективно.

Что касается принудительных мер, то действующим законодательством предусмотрен, так называемый, «Реестр нарушителей прав субъектов персональных данных», который ведет Роскомнадзор. Проверить информацию о том, внесен ли тот или иной ресурс в такой реестр можно на официальном сайте Роскомнадзора.

Стоит учесть, что порядок внесения сайта, распространяющего персональные данные, в такой Реестр весьма непрост, так как, требует вступившего в законную силу судебного акта (ст. 15.5 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).

На сайте самого Роскомнадзора содержится рекомендация субъектам персональных данных по защите нарушенных прав в сети Интернет:

• Обратиться к владельцу сайта в сети Интернет, на котором размещена информация, нарушающая права субъектов персональных данных, с запросом об удалении незаконно размещенной информации.
• В случае непринятия мер владельцем сайта в сети Интернет по удалению информации, нарушающей прав субъекта персональных данных, обратиться за защитой прав субъектов персональных данных в суд либо по месту жительства истца, либо по месту жительства ответчика.
• После вступления в силу решения суда, обратиться в Роскомнадзор с заявлением посредством заполнения формы.

Обращение в суд требует от пользователя правильного составления заявления, а также соблюдения всей необходимой процессуальной формы, что может быть осуществлено в случае обращения к профессиональным юристам. 

Это достаточно трудоемкий процесс, требующий определенных затрат, что неудобно для большинства рядовых пользователей различных сервисов.

Судя по тому, что мы видим на практике, крупные сервисы самостоятельно стремятся как можно более оперативно заблокировать распространение персональных данных своих клиентов для сохранения своей репутации, что, в каком-то смысле, облегчает жизнь пользователям. На примере «Яндекс Еды» мы видим, что сам сервис предпринимает непрерывные действия по блокировке сайтов-распространителей. В этой связи, первое, что действительно стоит сделать – обратиться в сам сервис, из которого произошла утечка, с требованием о содействии в решении данной проблемы. Кроме того, государственные органы не остаются безучастны и стремятся защитить персональные данные граждан.

В случае с «Яндекс Едой», сайт, распространяющий персональные данные, уже заблокирован. Отмечается, что блокировка произошла в соответствии со ст. 15.5 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» на основании судебного акта, вынесенного по делу №02-0892/22, рассматриваемому Таганским районным судом города Москвы. Если мы посмотрим карточку данного дела на официальном сайте Мосгорсуда, то увидим, что истцом является сам Роскомнадзор, а также неопределенный круг лиц.

Можно сделать предположение, что пользователям крупных сервисов, чьи персональные данные были распространены, можно не предпринимать вообще никаких мер (или просто обратиться в Роскомнадзор), так как сам сервис и государственные органы сделают все сами. Но нужно помнить, что все описанное выше лишь блокирует распространение информации, но не изымает ее из cети. К сожалению, в данный момент говорить о способах принудительного и полного удаления утраченных персональных данных из просторов интернета не приходится.

В какой момент пользователь сервиса дает согласие 

Согласие можно дать любым способом, позволяющим подтвердить факт дачи такого согласия (кроме случаев, предусмотренных законом). Что имеется ввиду? Как правило, мы даем согласие на обработку персональных данных в том или ином сервисе, когда проходим регистрацию, заполняем данные для оплаты товаров или услуг и т. д.

Надо понимать, что задача любого сервиса – соблюсти законодательство в области обработки персональных данных, что означает необходимость получить такое согласие прежде, чем пользователь введет хоть какую-то информацию. Следовательно, практически любой сервис запросит согласие на обработку персональных данных в момент введения пользователем имени, фамилии, номера телефона, адреса электронной почты и т. д. Известный всем способ – это проставление галочки в поле «Даю согласие на обработку своих персональных данных». С того момента, как пользователь поставил такую галочку и продолжил заполнение формы, согласие на обработку персональных данных дано.

Описанный выше механизм, пожалуй, можно назвать самым распространенным. Также дача согласия может быть и в ином виде, но суть в том, что вам понятно, что вы даете такое согласие, а сервис впоследствии может доказать, что вы совершили эти действия.

Можно ли отозвать свое согласие

Отозвать свое согласие можно в любой момент. Сложно сказать, есть ли в этом смысл в контексте защиты своих персональных данных.

Дело в том, что данные пользователей собираются в ту или иную базу, которая в том или ином виде находится в доступе у того или иного сотрудника сервиса. В случае недобросовестных действий такого сотрудника, отзыв вашего согласия никакого влияния не окажет. Наглядное тому подтверждение – описанный выше пример про массовое увольнение IT-отдела «Альфа-банка».

Кроме этого, надо понимать, что даже отзыв согласия позволяет оператору персональных данных продолжать их обработку в определенных случаях (например, в случаях, предусмотренных законодательством о противодействии терроризму, об оперативно-розыскной деятельности и т. д.). Таким образом, отзыв согласия сам по себе не означает полное удаление персональных данных из баз того или иного сервиса.

Можно ли отследить цепочку утечки и незаконного использования персональных данных

Отследить атаки хакеров сложно технически. А если речь идет о действиях сотрудников, то эти цепочки (если тут вообще можно говорить о цепочках), вероятно, известны, но сведения о них не разглашаются в интересах обеспечения безопасности правонарушителей и в интересах тайны расследования. Дойти до «приобретателей» украденных персональных данных вряд ли возможно, если учесть, что такие сведения распространяются в основном в теневом сегменте интернета.

Рекомендации для операторов персональных данных

В связи с последними утечками, вопрос о защите персональных данных встает в обществе особо остро. Мы видим это и по активности нашего законодателя, который вносит или планирует внести ряд законодательных изменений (например, Минцифры РФ анонсировало идею о введении оборотных штрафов для компаний, в которых произошла утечка).

В связи с этим, бизнесу, которому приходится обрабатывать персональные данные своих пользователей, стоит повысить внимание к этому вопросу. Рекомендуется предпринять ряд мер. Среди них:

• Разработать и выложить в публичный доступ политику по обработке персональных данных или иной документ, регулирующий данный вопрос, в котором будут указаны цели, способы, основания обработки персональных данных. Рекомендации по составлению данного документа есть на сайте Роскомнадзора.
• Предусмотреть форму дачи согласия на обработку персональных данных на сайте.
• Обеспечить техническую составляющую защиты персональных данных.
• Предусмотреть усиленные меры взысканий для своих сотрудников за нарушение законодательства в области обработки и хранения персональных данных (в рамках, допустимых законом).

Примеры, которые мы наблюдаем последнее время, дают нам понять, что вопрос о сохранности персональных данных клиентов бизнеса носит скорее технический, нежели юридический характер.

1 мая 2022 года в закон о защите прав потребителей внесены изменения, согласно которым, продавец (исполнитель, владелец агрегатора) не вправе отказывать потребителю в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные, за исключением случаев, если обязанность предоставления таких данных предусмотрена законодательством Российской Федерации или непосредственно связана с исполнением договора с потребителем.

Такая формулировка вполне способна породить проблему юридической квалификации отношений между клиентом и сервисом в части «непосредственной связанности с исполнением договора с потребителем».

Закон не дает нам исчерпывающий перечень персональных данных, сбор которых разрешен в каждой конкретной ситуации, в связи с чем, бизнесу придется самостоятельно определять связанность с исполнением договора с потребителем. Главная идея такой нормы права видится в запрете на необоснованный сбор «лишних» персональных данных.

Читайте также: