В прошлом посте мы задались вопросами, что же такое персональные данные, относятся ли к ним номера телефонов, фотографии, никнеймы из соцсетей, и так ли опасна их утечка? Свой ответ подготовил для вас руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев.
№ 152-ФЗ говорит нам о том, что персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. Ниже можно увидеть наглядное разделение по видам персданных согласно Постановлению правительства №1119.
Картинка: «СёрчИнформ». Источник информации: https://mcs.mail.ru/blog/.
Мобильный телефон, email, фотографии – при определенных обстоятельствах могут относиться к персональным данным, но в целом сама по себе фотография, а также абстрактная почта или номер телефона (без привязки друг к другу) не являются персданным, так как сложно понять, кому они точно принадлежат. Но если эти данные объединить или добавить к другим - вроде ФИО владельца - то они становятся персональными. Поэтому, если из базы компании утекают целые строки с определенным набором информации о клиентах/ пользователях, то это уже утечка персданных. Из свежих примеров – слив данных клиентов mail.ru.
Мы разобрались, что определение «персональности» информации происходит согласно федеральному закону, однако это не единственный регулирующий документ, более того, в прикладном смысле даже не самый важный. За прикладные аспекты отвечает Федеральная служба по надзору в сфере связи, информационных технологий и массовых (Роскомнадзор), именно туда следует идти с жалобой потерпевшим, а компаниям (операторам ПД) – с отчетом об утечках. Кстати, требования с прошлого года существенно ужесточились, любой оператор персданных обязан сообщить о факте утечки или разглашения ПД в РКН в течении 24 часов, еще через 48 часов должен последовать отчет о внутреннем расследовании. За требования и практику отвечает еще один регулятор – ФСТЭК (Федеральная служба по техническому и экспортному контролю). Именно она описывает требования и рекомендации по прикладным мерам по защите персональных данных, которые следует выполнять операторам.
Кто такой оператор персональных данных или распространяется ли на меня ответственность?
Согласно определению, оператор ПД – это государственный, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. При этом указанные органы и лица являются операторами независимо от того, включены ли они в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.
Это было определение из законодательства, если говорить простыми словами – оператором ПД является любая организация или даже физлицо, хранящее и обрабатывающая любые персональные данные на постоянной основе.
Является ли турагентсво оператором ПД? – Да, безусловно.
Магазин, предлагающий скидочные карты в обмен на ваше ФИО и телефон? – Да, также является.
Являетесь ли вы оператором ПДн, если приятель отправил вам в Телеграм фото своего паспорта (факт хранения), чтобы вы помогли ему с онлайн билетами (факт обработки)? – Нет, не являетесь.
Надеюсь, суть понятна.
Стоит ли опасаться утечки своих данных?
Да, ведь они могут заинтересовать мошенников. В первую очередь опасными являются утечки платежных и медицинских данных, информации о месте фактического проживания пользователя, доступы к аккаунтам с критичной информацией, например, к госуслугам. И, конечно, опасно, если утечет база, содержащая наибольшее количество данных (ФИО, номер, адрес, паспортные данные и т.д.). В этом случае, если мошенники получат такие данные, они смогут организовать изощренную атаку. Например, позвонить жертве и выдать себя за представителя той или иной службы, усыпив бдительность подробностями из ее жизни. Таким образом, ничего не подозревающая жертва переведет деньги киберпреступнику и останется ни с чем.
Как предотвратить или минимизировать риски
Оставляйте на сайтах минимально достаточное количество данных. Например, в приложениях для онлайн-заказов можно использовать «псевдоним» вместо фамилии – так вы не только спасете себя от телефонных мошенников, но и сможете предположить, из какого сервиса произошла утечка. Во-вторых, не указывайте лишний раз свою дату рождения, даже если за это вам полагаются какие-то бонусы. В-третьих, для проведения онлайн-платежей полезно завести виртуальную карту банка – переводите на нее сумму необходимой покупки, тогда основной счет в случае мошенничества не пострадает. Еще одна рекомендация – завести вторую симку для того, чтобы «не светить» личный номер при онлайн-заказах.
И в целом, старайтесь не разбрасываться своими данными на подозрительных сайтах. Есть большая вероятность подарить информацию или деньги преступникам, особенно, если сайт окажется фишинговым. Подробнее о подобных случаях со всеми рекомендациями, как определить поддельный сайт, мы писали ранее. Например, «Как не потерять 400 тысяч рублей на фальшивых билетах Евро-2020».
моя телефонная книжка - кладезь персданных всех категорий и хранится в моём кармане, нонсенс