Персональные данные – крайне важные сведения, компрометация которых в современном (цифровом) мире приводит к серьезным, часто необратимым последствиям. Сегодня в статье не будет формул, которыми мы обычно заваливаем читателей. Опираясь на наш опыт работы в области распознавания документов, мы опишем простые действия, которые уменьшат вероятность кражи ваших персональных данных.
Государство и предпринимаемые им меры по технологизации и цифровизации различных сфер жизни, как ни странно, заставляют рядового пользователя все чаще и чаще «предъявлять» паспорт. Даже билеты на пригородную электричку в Москве (не говоря уже об Аэроэкспрессах) через мобильное приложение можно купить только указав паспортные серию и номер паспорта (которые, впрочем, никаким образом не валидируются).
По данным компании InfoWatch, в 2019 году в России в результате утечек оказались скомпрометированы более 172 млн записей персональных данных и платежной информации. По сравнению с данными 2018 года число утечек увеличилось на 46%, объем скомпрометированной пользовательской информации вырос более чем в 6 раз. Такой бурный рост преступности в части персональных данных обусловлен практически неограниченными возможностями, которые предоставляют злоумышленникам «краденные» ФИО и реквизиты паспорта. Злоумышленники перевыпускают SIM-карты ничего не подозревающих владельцев, получая полный доступ к социальным сетям, государственным услугам и банковским счетам, или даже умудряются совершать сделки по продаже недвижимости жертвы утечки данных.
Конечно, все развитые страны мира стараются бороться с такого типа преступностью, строя различные технологические барьеры и ужесточая законодательную базу в части обработки персональных данных (Федеральный закон 152-ФЗ в России, Постановление GDPR в Евросоюзе, Закон HB18-1128 в штате Колорадо США). Но такие административные шаги кажутся бесполезными, если отсутствуют понятные с практической точки зрения рекомендации по использованию таких законов и механизмов с целью защиты персональных данных. Мы в Smart Engines, выпуская абсолютно безопасный относительно утечки персональных данных программный продукт, постоянно следим за техническими и юридическими аспектами вопроса сохранности персональных данных. Совместно с профессиональными юристами из компании intellect подготовили пять элементарных действий, предпринимая которые можно серьезно снизить риск кражи персональных данных.
1. Используйте только официальные сайты, когда пользуетесь online услугами. Как бы ни тривиально звучал этот совет, но в действительности именно через фишинговые сайты большая доля персональных данных утекает к злоумышленникам. Попасть на такие сайты-подделки, охотящиеся за персональной информацией, очень просто: достаточно просто опечататься, набирая адрес web-ресурса, или перейти по случайной ссылке из почты. Совершенно знакомый интерфейс усыпляет бдительность. Поэтому, прежде чем вводить любые персональные данные, даже просто фамилию, имя и отчество, или e-mail адрес, дважды проверьте написание URL в адресной строке. Также убедитесь, что сайт поддерживает криптографический протокол SSL или TLS (о том, что передача данных шифруется, вам подскажет буква S в префиксе адресной строки HTTPS://).
То же самое касается сайтов дистанционного банковского обслуживания, покупки билетов, бронирования отелей и т.п., на которых зачастую вводятся и паспортные данные, и реквизиты банковских карт.
2. Проверяйте оператора персональных данных. Убедитесь, что компания, которой вы собираетесь передать свои персональные данные, состоит в Реестре операторов, осуществляющих обработку персональных данных. Каждый законно зарегистрированный оператор персональных данных обязан обладать необходимыми техническими средствами и иметь пакет документов, подтверждающих защищенность персональных данных своих клиентов.
3. Максимально сокращайте список лиц, обрабатывающих ваши данные. Конечно, в соответствии с частью 3 статьи 6 Федерального закона РФ № 152-ФЗ «О персональных данных», оператор персональных данных вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Но, тут надо учитывать другой фактор: чем больше таких «других» лиц будет на пути обработки ваших персональных данных, тем больше вероятность их утечки.
В соответствии со статистикой InfoWatch, большинство случаев утечек данных связано с деятельностью рядовых сотрудников, обладающих доступом к персональным данным (в 2019 году в 72,1% случаев виновными в утечке информации оказались рядовые сотрудники компаний, в 4,6% случаев – топ-менеджмент организаций, в 18,4%, – хакеры и неизвестные лица). Поэтому наш совет: как только видите в «Политике конфиденциальности» или «Соглашении об обработке персональных данных» пункты, связанные с возможностью передачи данных третьим лицам (тем более без точного указания этих третьих лиц), – постарайтесь не соглашаться на такую обработку персональных данных и не подписывать соглашений, содержащих подобные формулировки.
4. Всегда проверяйте цель обработки персональных данных. Если вдруг вы замечаете, что в целях обработки персональных данных указаны какие-то общие слова, прямо не соответствующие вашему пониманию реальной цели предоставления данных, то категорически отказывайтесь предоставлять свои персональные данные. Тут стабильно действует золотое правило: отношение компании к составлению политики обработки персональных данных однозначно демонстрирует ее отношение к самой обработке персональных данных. Такие «размытые» цели – верный признак типовой политики, когда юристы даже не вдавались в суть, зачем эта политика создается. А значит, и защищать ваши персональные данные никто не будет.
5. Избегайте трансграничной передачи персональных данных. Трансграничная передача персональных данных не запрещена при условии соблюдения требований, установленных в статье 12 Федерального закона № 152-ФЗ. При этом трансграничная передача данных должна иметь заранее определенную цель обработки, при достижении которой субъекту персональных данных должно быть гарантировано уничтожение переданных данных на территории иностранного государства. На практике проверить действительность уничтожения ваших данных вряд ли получится.
В заключение мы бы хотели поделиться полезными материалами с читателями, ответственными за обеспечение безопасности обработки персональных данных в своих компаниях. Не забываем: ответственность за нарушение законодательства в области обработки персональных данных предусмотрена ст. 13.11 КоАП РФ, максимальный штраф по которой для юридических лиц достигает 6 миллионов рублей. Более серьезная ответственность наступает в случае нарушения Европейского законодательства в области обработки персональных данных (GDPR), где максимальный штраф не ограничен.
Итак, ловите на заметку пару юридических заключений:
Юридическое заключение о процедуре обработки персональных данных при подключении сервиса распознавания документов;
Юридическое заключение о процедуре обработки персональных данных с помощью терминальных инструментов (на примере Smart IDReader).
Перечень нормативных актов по обеспечению безопасности персональных данных
Специальные нормативные акты
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
Федеральный закон от 7 мая 2013 г. № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием федерального закона «О ратификации Конвенции Совета Европы О защите физических лиц при автоматизированной обработке персональных данных» и федерального закона «О персональных данных».
Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ.
Общее положение о защите данных (ЕС) 2016/679 (GDPR)
Постановления Правительства РФ
Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
Постановление Правительства от 19 августа 2015 г. № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных»
Ведомственные акты
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения».
Приказ Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных».
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России 15 февраля 2008 г.).
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Федеральной службой по техническому и экспортному контролю 14 февраля 2008 г.
Разъяснения
Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки».
Рекомендации по составлению политики обработки персональных данных (опубликованы на сайте Роскомнадзора).
Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
Приказ Роскомнадзора от 22 июля 2015 г. № 85 «Об утверждении формы заявлений субъектов персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных».
Приказ Роскомнадзора от 22 июля 2015 г. № 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи».
