Разбираемся, зачем компании собирают согласия на обработку персональных данных, можно ли их отозвать, для чего эта информация мошенникам и как снизить риск утечки личных данных.
Что такое персональные данные
Конкретного перечня таких данных нет. В зависимости от своей деятельности разные организации собирают некоторые объемы информации о своих клиентах или работниках — данные, которые обрабатываются в компаниях, и относят к персональным. Однако федеральный закон «О персональных данных» выделяет виды данных:
- Общие. Это базовая информация о человеке: ФИО, место регистрации, информация об образовании, о месте работы, контактные данные.
- Специальные. Информация о личности: национальность, политические и религиозные убеждения, философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.
- Биометрические. Физиологические или биологические особенности человека: фотографии, отпечатки пальцев, анализ ДНК, группа крови, рост, цвет глаз, вес и так далее.
- Иные. Все остальное — например, уровень зарплаты, количество отпускных дней или членство в фитнес-клубе.
Когда человек регистрируется на онлайн-сервисах и указывает эти данные, этот шаг не делает эту информацию общедоступной. Для ее хранения и обработки сайты должны получать согласие.
Почему утечка персональных данных опасна
Информацией пользуются мошенники. С помощью скомпрометированных банковских данных они могут вывести деньги клиентов или оплачивать покупки, хотя таких возможностей становится меньше. Кроме того, мошенники могут подобрать пароль в соцсетях и выпрашивать деньги от лица жертвы.
Наконец, личные данные человека помогают мошенникам втереться в доверие с помощью социальной инженерии. Намного проще усыпить бдительность жертвы, если лжесотрудник службы безопасности банка знает фамилию и имя человека, его адрес проживания или место работы.
В интернете также продаются базы данных контактной информации. Причем если несколько лет назад это были просто номера плюс имя владельца, то теперь продается расширенная информационная база: номер телефона, место жительства, имя и так далее. Помимо мошенников такой информацией пользуются компании для рекламы своих услуг. Стоит помнить, что такие звонки незаконны, если человек не давал на них согласие.
Часто ли утекают данные из финансового сектора?
На самом деле нет. На утечки из банков приходится лишь 10–15% всех инцидентов.
Финансовый сектор — одна из самых защищенных сфер экономики. Например, в банках самые строгие правила допуска к персональным данным. Правда, такие инциденты становятся громкими, так как клиенты переживают за свои сбережения.
При этом финансовые институты отслеживают информацию об утечках, поэтому если данные клиента скомпрометированы, банки перевыпускают карты или переоформляют счета. Также поступают с данными, которые обманутые клиенты добровольно передают мошенникам через фишинговые сайты.
Что такое согласие на обработку персональных данных
Это добровольное решение человека передать свою личную информацию для тех целей, которые указаны в согласии. Поэтому важно читать эти документы, прежде чем их подписывать или ставить галочку в форме регистрации. Например, в согласии может быть указано, что персональные данные подписавшего могут быть переданы третьей стороне или использоваться для рекламных целей.
Существует заблуждение, что продавцы или компании могут отказать в покупке или услуге без согласия на обработку персональных данных. На самом деле это не так, и отказ клиента подписывать этот документ не может быть основанием для расторжения договора. Любая компания может использовать личную информацию человека без его согласия для того, чтобы исполнить договор. Чаще всего согласия клиентов собирают для перестраховки или разработки маркетинговых кампаний.
Государственные органы могут использовать персональные данные без согласия гражданина, но должны просить разрешения на их публикацию, если это требуется для их деятельности. По этой причине вузы собирают у абитуриентов согласие на публикацию личной информации на сайте университета — ФИО, баллы за экзамены, личные достижения и так далее.
Сколько действует согласие и можно ли его отозвать
Отозвать согласие на обработку персональных данных можно, а срок его действия зависит от конкретных условий, под которыми подписался человек. Закон никак не ограничивает срок действия документа, поэтому чаще всего в таких соглашениях указано «до дня отзыва».
Человек может отозвать согласие, обратившись в офис компании и оставив заявление лично. Также можно отправить запрос по электронной почте в виде документа, подписанного усиленной квалифицированной электронной подписью. Наименее простой, но надежный способ обращения — ценное письмо с извещением. Почтовые квитанции и извещения подтвердят факт запроса на отзыв согласия.
У компании можно потребовать как полностью блокировать персональные данные, так и уничтожить часть из них. Например, клиент магазина не против получать рекламные рассылки по электронной почте, но при оформлении бонусной карты указывал также место жительства. В этом случае можно потребовать уничтожить и больше не хранить лишь эту информацию, так как по факту магазину она не требуется для рекламы, а также никак не влияет на преференции по бонусной карте клиента.
После обращения у компании есть 30 дней, чтобы прекратить обработку персональных данных. Если запрос проигнорирован, то дальше следует жалоба в Роскомнадзор или в суд. Приоритетнее первый вариант, так как на сайтах региональных отделений ведомства достаточно лишь заполнить форму жалобы на бездействие компании. Еще через 30 дней Роскомнадзор должен ответить, что специалисты ведомства лично убедились в том, что компания перестала обрабатывать данные клиента.
Правда, уничтожить полностью персональные данные часть компаний не могут. Например, если у клиента есть действующий договор с оператором связи, то компания продолжит использовать личную информацию, чтобы оказывать свои услуги. Банки хранят персональные данные клиентов, даже если все отношения с ним были расторгнуты, так как Центральный банк рекомендует кредитным учреждениям не уничтожать информацию в течение пяти лет.
Как удалять личные данные в интернете
Если на каком-то сайте появились персональные данные без согласия человека, то следует вначале обратиться к администрации через форму обратной связи или по контактам в подвале сайта. Письмо осталось без ответа? Можно отправлять жалобу в Роскомнадзор, который вначале потребует удалить информацию, а если требование будет проигнорировано, заблокирует сайт.
Многие онлайн-сервисы подключили способы добровольного удаления личных данных. Например, после инцидента с «Яндекс.Едой», когда в интернете оказалась информация о заказах некоторых пользователей с суммами и адресами, сервис разрешил удалять данные в личном кабинете. VK принимает запросы на выгрузку архива, после чего можно лично удалить нужную информацию и медиафайлы. Соцсеть будет еще некоторое время хранить эти данные у себя, после чего удалит их с серверов.
Если у онлайн-сервиса нет таких функций, как у VK или «Яндекс.Еды», можно оставить запрос по электронной почте. У компании есть 30 дней на ответ, после чего клиент может обратиться в Роскомнадзор.
Как свести к нулю шанс утечки персональных данных
К сожалению, никак. Клиенты не могут повлиять на степень защиты информации в компаниях. Утечки чаще всего происходят из-за человеческой ошибки. Сотрудники случайно передают на фишинговых сайтах свои учетные данные мошенникам, после чего последние получают базу данных клиентов в свои руки, или сливают данные сами, желая заработать. Также мошенники сами собирают файлы с личной информацией, пользуясь тем, что пользователи в интернете по невнимательности публикуют фотографии своих документов, номера телефонов, реквизиты банковских карт.
Важно помнить о простых правилах информационной безопасности:
- Нигде не публиковать и никому не отправлять в интернете фотографии банковской карты и ее полные реквизиты. Достаточно номера карты или телефона, чтобы перевести деньги.
- Обязательно включить двухфакторную аутентификацию во всех сервисах и соцсетях. Это когда помимо ввода пароля пользователю также нужно подтвердить вход другим способом — например, ввести код, который пришел по СМС или через уведомление в приложении.
- Менять пароль хотя бы раз в год. Совсем хорошо — раз в три месяца. Причем чем сложнее пароль, тем эффективнее защита. Лучше избегать конструкций вроде 123QWE. Как и банковские данные, пароли нужно держать в секрете.
- Не хранить в соцсетях файлы с отсканированными документами. Даже если есть уверенность, что публичный доступ закрыт, личную страницу могут взломать. Лучше воспользоваться специальными приложениями, которые гарантируют защиту фотографий.
- Онлайн покупать только на тех сайтах, которые вызывают доверие. Можно ориентироваться на значок замочка в браузере — если он закрыт, значит сайт использует защищенное подключение. Перед оплатой лучше убедиться, что это не фишинговый сайт, который копирует сайты интернет-сервисов или банка.
- Не подписывать согласие на обработку персональных данных, не прочитав его.
Что делать, если персональные данные утекли в Сеть
Проверить, фигурируют ли данные в каких-то утекших базах с помощью Telegram-бота от сетевого сообщества Data1eaks. Введя номер телефона, пользователь видит, через какие сервисы утекли данные. В этом случае лучше сменить пароль и отвязать все банковские карты, если они были привязаны к аккаунту.
Банки следят за утечками банковской информации, поэтому самостоятельно перевыпускают банковские карты, но если этого не произошло, нужно заблокировать карту и выпустить новую. Также рекомендуется сменить пароли для входа в приложения банков, соцсети и почтовые сервисы.
В остальном остается только смириться с фактом утечки. В интернете можно встретить объявления, в которых якобы за деньги удалят любую информацию, но нет гарантий, что такой исполнитель просто не заблокирует клиента после того, как получит аванс.
Стоит ли подавать в суд на компанию?
Это возможно, но очень трудозатратно и без юриста почти невозможно. Сложно доказать, что владелец персональных данных понес убытки из-за утечки информации, а уж тем более, что ему был причинен моральный вред. Как минимум можно рассчитывать на штраф для компании, а как максимум — еще и на компенсацию. Суммы небольшие: до 1 млн рублей — штраф, порядка 10 000–150 000 рублей — компенсация.
Если же в интернете оказались фотографии или видео, публикации которых хотелось бы избежать, то следует обратиться в полицию. В этом случае речь идет уже не о нарушениях в области обработки персональных данных, а о нарушениях неприкосновенности личной жизни (ст. 137 УК) и тайны переписки (ст. 138 УК).