Глобализация и цифровизация стали главными трендами современного мира. Каждый день во всемирную сеть попадают все новые и новые терабайты информации, включая и персональные данные — далеко не всегда они оказываются в интернет-пространстве добровольно. В этой статье мы расскажем, как ваша конфиденциальная информация охраняется российскими законами, и что вам нужно делать, если она стала добычей чужих людей.
В декабре, выступая на международной конференции Artificial Intelligence Journey, президент Владимир Путин заявил о том, что при внедрении искусственного интеллекта и цифровых технологий в жизнь граждан России необходимо «исключить любые риски утечки персональных данных, персональной информации». Но на самом деле эта проблема гораздо шире и важнее того, что связано с искусственным интеллектом и «восстанием машин» (о котором российского лидера тоже спрашивали на этой конференции). Записываете ли вы ребенка в школу, подписываете ли трудовой договор при устройстве на новую работу или покупаете в «Эльдорадо» новый холодильник — вы везде предоставляете свои личные конфиденциальные данные, которые могут оказаться достоянием третьих лиц без вашего на то желания. Чтобы этого избежать, достаточно соблюдать несколько простых правил. Но для начала - давайте разберемся, что собой представляют персональные данные с точки зрения российского законодательства.
Персональные данные: что к ним относится по закону и кто может их обрабатывать?
С точки зрения Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", ими является любая информация, которая относится к прямо или косвенно определенному или определяемому субъекту этих данных. Проще говоря — все то, что позволит идентифицировать вас как конкретного человека: ФИО, паспортные данные, дата рождения, адрес и номер телефона, место работы, ИНН, СНИЛС, фото- и видеозаписи и многое другое. Кстати говоря, сведения о размере вашей зарплаты тоже являются персональными данными (так пояснил Роскомнадзор в одном из своих писем еще в 2014 году).
Закон также выделяет специальные категории персональных данных: ваша национальная или этническая принадлежность, вероисповедание, научные или философские взгляды, информация о состоянии здоровья или интимной жизни. Обрабатывать эту информацию закон разрешает только в строго определенных случаях — например, с письменного согласия или если она получена в ходе Всероссийской переписи населения, необходима для медицинского обследования и постановки нужного диагноза, или же предусмотрена международным договором РФ о реадмиссии (то есть приеме на свою территорию россиян, выдворенных из другой страны).
При соблюдении требований закона, получать и обрабатывать персональные данные может любой государственный или муниципальный орган, а также физическое или юридическое лицо, которому они стали доступны. Как разъяснил Роскомнадзор, даже если эти органы или лица не внесены в национальный реестр операторов обработки персональных данных, они все равно ими являются. Соответственно, если происходит утечка или «слив» ваших персональных данных, то в первую очередь ваши претензии должны быть направлены именно к тому оператору, кому эти данные были предоставлены.
Какие правила нужно соблюдать, чтобы сохранить ваши данные в неприкосновенности?
1
В первую очередь запомните: если иное не установлено законом, никто не может ни получать, ни обрабатывать ваши персональные данные без согласия (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ). Чаще всего это означает, что вам необходимо либо подписать соответствующий документ, либо заполнить форму на веб-сайте. Но иногда согласие может быть выражено и через конклюдентные действия.
Поэтому, прежде чем совершать какие-либо действия по отправке или предоставлению информации о вас (включая фотографии, видеозаписи, данные паспорта и т.д.) третьим лицам — убедитесь, что эти лица известны лично вам или обладают надежной репутацией. Если речь идет о каком-то государственном (муниципальном) органе власти или юридическом лице, то не лишним будет проверить, числится ли оно в Реестре операторов, осуществляющих обработку персональных данных. На сегодняшний день в нем содержатся сведения более чем о 400 тысячах операторов.
2
И статистика правоохранительных органов, и IT-эксперты в один голос говорят: самый большой канал утечки персональных данных — это фишинговые схемы, когда мошенники используют специально сфабрикованные сайты, куда можно попасть по соответствующим ссылкам. В результате у них в руках оказываются ваши логины и пароли. Сюда же, кстати, можно отнести и многочисленные телефонные звонки от «служб безопасности банка» (так называемый аудиофишинг), после которого киберпреступники получают информацию по вашим картам и содержащимся на них денежным средствам. Одним из способов этого избежать является регулярная смена логинов и паролей к наиболее посещаемым вами интернет-ресурсам — как минимум раз в полгода. И не забывайте проверять написание в адресной строке сайта. Иногда даже одна неверно написанная в URL-адресе буква может обернуться для вас немалыми финансовыми или репутационными потерями!
3
По статистике компании InfoWatch, в прошлом году большинство случаев утечки данных (72,1%) связано с деятельностью рядовых сотрудников компаний, а вовсе не взламывающих корпоративные сайты хакеров (таковых набралось всего 18,4%). При этом в 88% случаев это была «доля утечек, случившихся под воздействием внутреннего нарушителя». То есть, проще говоря, абсолютное большинство утечек происходит от того, что к вашим данным имеют доступ третьи лица, которым ваши данные стали известны от того или иного оператора по их обработке (например, коллекторы, которым банк передал ваш долг, или кадровики, забывшие убрать в сейф ваш трудовой договор или карточку Т-2).
Что делать, если ваши персональные данные все-таки стали жертвой мошенников или утекли в сеть?
Во-первых, всегда можно пожаловаться в Роскомнадзор, который имеет право инициировать возбуждение административного дела по статье 13.11 КоАП РФ. В ней перечислены сразу несколько составов административных правонарушений, последствия по которым дифференцируются в зависимости от их тяжести. Например, если юридическое лицо обрабатывает ваши данные в случаях, когда это не предусмотрено законом, ему может грозить штраф от 30 до 50 тысяч рублей. При этом закон позволяет вам привлечь к ответственности не только организацию-оператора, но и ее должностное лицо (ч. 3 ст. 2.1 КоАП РФ, п. 15 Постановления Пленума Верховного Суда РФ от 24.03.2005 N 5). Максимальный штраф в размере 75 000 рублей предусмотрен за обработку персональных данных без вашего согласия.
Во-вторых, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, когда не было получено соответствующего согласия, Уголовным кодексом РФ (ч. 1 ст. 137) предусмотрены, в частности, штраф в размере до 200 тысяч рублей или иного дохода за период до полутора лет, арест до четырех месяцев, а также лишение свободы на срок до двух лет с возможным лишением права на три года занимать определенные должности или заниматься определенной деятельностью.
Наконец, гражданин, чьи права были нарушены при похищении или «сливе» его персональных данных, может обратиться в прокуратуру, как орган, надзирающий за исполнением законов и соблюдением прав человека и гражданина (ст. ст. 1, 21, 26 Федерального закона «О прокуратуре Российской Федерации»), поскольку неприкосновенность частной жизни гражданина, его личной или семейной тайны, сохранение тайны переписки и иных сообщений, а равно недопустимость распространения этой информации без согласия человека, гарантированы Конституцией РФ (ст. ст. 23, 24).
Публикация подготовлена при поддержке юристов компании Digital Rights Center