Legal Talks
Логотип Сфера
Логотип Legal Academy
Авторский взгляд

Если ваши личные данные украли...

В последнее время по стране прокатилась волна скандалов, связанных с утечкой персональных данных. Вопрос неправомерной утечки персональных данных актуален для всех участников гражданских правоотношений (банков, магазинов, сервисов доставки и проч.). Однако наибольшие риски несут лица, данные которых разглашены. Они могут стать жертвами мошенничества, хищений и иных преступлений. О том, как утекают данные и как разобраться с возможными неприятными последствиями этого — в авторской колонке управляющего партнёра Legal to Business Светланы Гузь.
Время прочтения: 7 минут

Чем грозит пропажа конфиденциальной информации?

Одно из последствий утечки персональных данных — кража цифровой личности. Например, у человека похитили телефон. С его помощью мошенники получили доступ к Госуслугам, изменили номер мобильника, получили кредиты (микрозаймы), даже разместили новый паспорт с фотографией другого человека. Фактически потерпевший утратил полностью контроль не только за цифровой личностью, но и за реальной. Ведь злоумышленник может по его паспорту совершить любое преступление.

Похожий кейс есть в практике Legal to Business. У доверителя был украден телефон. Он принял меры к блокировке привязок и аккаунтов, уведомил банк. Однако мошенникам удалось ответить на контрольные вопросы, убедить банк перепривязать телефон к личному кабинету и похитить деньги. Произошла кража цифровой личности, при этом ни на одном из этапов совершения действий мошенников никто не остановил — ни банк, ни Госуслуги. А вот финансовые обязательства перед кредитором несет сам потерпевший, по крайней мере, до тех пор, пока не найдут мошенников.

В США в 2020 году 47% американцев стали жертвой «кражи личности». В 2019 году таким путем было похищено 502 млрд. долларов. В 2020 - уже 712 млрд. долларов. Наибольшее количество компрометаций в 2020 году происходило через сектор здравоохранения. В связи с этим в США создан единый государственный онлайн стоп-ресурс www.identitytheft.gov. Сайт содержит информацию профилактического характера (образцы писем и обращений, и т.д.) и дает возможность уведомить о состоявшейся краже личности, чтобы предотвратить проблемы от действий мошенника.

В штате Флорида (США) Джин Флуридор и Хасан Браун похитили данные 700 бизнесменов и на их основе создали 700 синтетических личностей с тем же социальным номером, но с новыми данными о физическом лице. Были заведены банковские счета. Каждая из синтетических личностей «открыла» свою компанию. Выявить связь следствие смогло только через почтовые адреса — все фирмы регистрировались по адресам Флуридора и Брауна. Некоторые адреса принадлежали заключенным, отбывавшим срок. Предметом хищения в основном были выплаты от государства бизнесменам, пострадавшим от локдауна — около 3 миллионов долларов.

Почему становится возможной кража данных?

Специалисты называют несколько причин:

  • использование несложных паролей
  • использование одних и тех же паролей в разных аккаунтах
  • использование функции «запомнить пароль» на различных устройствах
  • фишинг в разных видах, в том числе через фиктивные сайты Госуслуг
  • отсутствие фактора двойной аутентификации (подтверждение через СМС, например).

Юридические рекомендации по защите личных персональных данных

Для получения и обработки данных необходимо согласие их владельца. Поэтому перед предоставлением информации (особенно фотографий, паспортных данных) важно убедиться, что вы передаете ее известным и надежным лицам. Если вы взаимодействуете с государственными или муниципальными органами, юридическими  лицами, то целесообразно проверить, включены ли они в Реестр операторов, осуществляющих обработку персональных данных.

Кроме того, требуется внимательность, бдительность, использование только надежных каналов связи (официальных сайтов и телефонов), изучение текста согласия на обработку персональных данных, предъявление требований об их удалении после совершения операций и т.д.

Действия при утечке конфиденциальной информации

С технической стороны в случае утечки конфиденциальной информации как в компании, так и физическим лицам необходимо предпринять все меры по восстановлению безопасности: смена паролей, анализ причин утечки, поиск вирусов и т.д. При ведении предпринимательской деятельности рекомендую регулярно менять пароли (желательно применять систему сложных паролей), использовать лицензированное программное обеспечение, осуществлять резервное копирование и проводить аудит ИТ-безопасности своими силами или с помощью специалистов. 

Одним из действенных способов защиты станет обращение в Роскомнадзор. При нарушении норм законодательства, относящихся к охране персданных, в заявлении целесообразно указать конкретные перечни данных и адреса сайтов, где они обнаружены. В качестве доказательств приложите скриншоты, нотариальные протоколы осмотра интернет-страниц.

Помимо этого, соответствующее требование об удалении информации следует направить администратору сайта, на котором расположены персональные данные. Неисполнение этого требования влечет блокировку сайта и штраф.

Разбор ситуаций и алгоритм действий

Кейс 1:

Гражданину стало известно, что у него имеется задолженность перед микрофинансовой организацией (далее — «МФО»). Но он никогда не заключал договоров с этой МФО.

Кто виноват?

Данные гражданина использованы незаконно. Человек не должен исполнять обязательство, на которые он не давал согласия.

Что делать?

Обратиться в суд с требованием о признании договора о предоставлении займа незаключенным, так как субъект персональных данных не выражал свою волю при заключении договора. Также следует запросить в МФО информацию о том, из какого источника она получила персональные данные. После этого необходимо предъявить требование о прекращении их обработки. 

Кейс 2:

Гражданин разместил свою фамилию и имя, адрес, номер телефона на своей странице в социальной сети. После этого ему стало известно о том, что эта информация опубликована третьим лицом в справочнике.

Кто виноват?

Персональные данные гражданина использованы незаконно. Публикуя их, человек не выражает согласия на использование неограниченному кругу лиц.

Что делать?

Следует обратиться к тому, кто опубликовал информацию в справочнике, с требованием исключить сведения. Если в добровольном порядке это сделано не будет, то необходимо обратиться с соответствующими требованиями в суд. 

Кейс 3:

Человек заключил договор на оказание услуг и сообщил информацию о себе коммерческой организации. Впоследствии она передала сведения иным лицам, которые звонят гражданину с различными предложениями.

Кто виноват?

Персональные данные гражданина использованы незаконно. Если человек не подписывал отдельное согласие на обработку персональных данных, организация не вправе каким-либо образом их использовать , а уж тем более передавать их третьим лицам.

Что делать?

Необходимо обратиться как в компанию, с которой заключен договор, так и к организации, осуществляющей звонки, с требованием о прекращении использования персональных данных. 

Кейс 4:

После фотосессии гражданин обнаружил свою фотографию на рекламном баннере. Согласия на это он не давал, с представителями рекламируемой организации не общался.

Кто виноват?

Фотограф или иное лицо, в распоряжении которого оказались снимки, незаконно передали их для дальнейшего использования. В данном случае изображение человека не может использоваться без его согласия.

Что делать?

Следует обратиться в организацию, в рекламной деятельности которой была использована фотография и выяснить, откуда она у них. Затем необходимо потребовать прекратить использовать изображение , а также уничтожить материальные носители с этой фотографией. Если информация была передана фотографом или иным лицом, им направляется требование о прекращении обработки персональных данных и использования изображения. Возможен вариант, когда изображение было получено с фотосайта, который предоставляет контент свободно, для всех желающих. В этом случае следует обратиться к правообладателю сайта с требованием удалить фотографии. 

Кейс 5:

Страницу в социальных сетях взломал мошенник и украл сведения о работе, личной жизни, личные фотографии, которые он грозится опубликовать в интернете, если ему не будет выплачена крупная сумма.

Кто виноват?

Мошенник незаконным образом завладел персональными данными гражданина. Он не вправе осуществлять их обработку. Потерпевший не должен выплачивать деньги.

Что делать?

Человек вправе обратиться в органы полиции с заявлением, в котором следует подробно описать обстоятельства, связанные с вымогательством под угрозой распространения порочащих сведений. Также можно заявить в суд требование о прекращении использования персональных данных третьим лицом.

Соблюдая все рекомендации, внимательно относясь к подписанию соглашений об обработке персональных данных, используя (и регулярно их меняя) сложные пароли, проводя аудит ИТ-безопасности, вы повысите уровень своей безопасности и снизите риски утечки конфиденциальной информации.

Источник изображения: pixabay.com

Рекомендуем

Статья

Вас снимает камера: как будут контролировать работу курьеров

В России задумались над регулированием курьерского сервиса. Система передвижения и учета доставщиков, проверка знаний ПДД и фиксация городскими камерами – все это может стать реальностью уже в ближайшее время. Что планируется исправить с помощью новшеств и как они скажутся на рынке курьерских услуг?

Статья

Совершенно секретно: как в России будут бороться с утечкой персональных данных

С января по май 2023 года было официально зарегистрировано 75 утечек персональных данных из российских коммерческих компаний и госорганизаций. Это в 1,5 раза больше по сравнению с тем же периодом прошлого года. Такие инциденты чаще всего происходят в сфере ритейла (37%), финансового сектора (20%) и игровой индустрии (10%). В сентябре о масштабном «сливе» данных пользователей портала «Госуслуги» заявили депутаты. Что нового может появиться в российском законодательстве для предотвращения подобных инцидентов и защитит ли это рядовых потребителей, читайте в материале «Сферы».

Авторский взгляд

Поправками по закону: краткая история персональных данных в России

С марта 2023 года в России изменились требования к обработке персональных данных (ПД). Поправки в закон коснулись их трансграничной передачи, утечки и уничтожения. Это не первые и, вероятно, не последние изменения ключевого нормативного акта, принятого еще в 2006 году. О том, как менялось законодательство в этой сфере, читайте в авторской колонке адвоката Татьяны Кархалевой.

Нужно хоть что-то написать

Закрыть модальное окно

ООО «Лигал Академия» предоставляет авторам техническую возможность размещения информации на Информационном юридическом портале и не участвует в формировании ее содержания, в связи с этим не несет ответственность за законность их действий и информацию, размещаемую авторами на данном Информационном портале, не гарантирует качество, полноту и достоверность такой информации.

Авторы самостоятельно несут ответственность за содержание размещаемой ими информации и законность собственных действий в связи с размещением информации на Информационном портале, вне зависимости от того, какое количество пользователей Информационного портала либо третьих лиц получило или могло получить доступ к такой информации.

ООО «Лигал Академия», до тех пор, пока не будет установлено иное, предполагает, что все права (имущественного и неимущественного характера) на информацию принадлежат разместившему ее на Информационном портале автору или автором получены все необходимые права и/или разрешения на такое размещение; размещение такой информации на Информационном портале не нарушает законные права и интересы третьих лиц. Если размещение какой-либо информации нарушает законные права и интересы третьих лиц, такая информация будет удалена с Информационного портала по первому требованию правообладателя и/или лица, чьи законные права и интересы были нарушены.

Претензии, касающиеся информации, размещенной на Информационном портале, могут быть отправлены: