Украли персональные данные что делать
Утечки персональных данных: чем они опасны для пользователей и как от них защититься
Сотрудник аналитического отдела Falcongaze
Привычные нам сервисы не защищены на 100% от утечки данных. Павел Пармон, сотрудник аналитического отдела компании Falcongaze, которая специализируется на кибербезопасности, написал колонку о том, зачем и как злоумышленники воруют информацию, и как усложнить процесс кражи.
Зачем воруют персональные данные пользователей
Причины краж персональных данных бывают абсолютно разные:
Как злоумышленники получают доступ к чужим персональным данным
Способов добраться до персональных данных много, но основными являются:
Как себя обезопасить
К сожалению, от утечек данных пользователь себя обезопасить сам не сможет. Ведь большое количество данных утекает как раз в результате взломов баз данных сервисов или инсайдерских утечек.
Но мы подготовили несколько советов, как сделать утечку ваших данных, если она произойдет, менее болезненной, а жизнь злоумышленников сложнее:
Главная опасность утечек данных состоит в том, что для пользователя она может пройти незаметно. Не всегда компании освещают подобные инциденты хоть где-то, а даже если и освещают, то не всегда информация о них доходит до пользователей. Поэтому очень важно заранее позаботиться о своих персональных данных.
Разглашение персональных данных
Вся информация о жизнедеятельности человека, неразрывно связанные с личностью и идентифицирующие данные лица отдельно охраняются законом. Подобные сведения могут быть получены в строгом соответствии с определенном порядком.
Содержание статьи:
Несоблюдение законного процесса получения и дальнейшей работы с такими данными влечет наступление соответствующих негативных последствий для нарушителя.
Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ регулирует данные вопросы, а наш адвокат готов помочь разобраться в вопросе ответственности за разглашение персональных данных, объяснит как выстроить защиту виновному и как защитить права потерпевшей стороне: профессионально, сотрудничество на выгодных условиях и в срок.
В перечень персональных данных включается следующее:
По общему правилу получение всех перечисленных данных допустимо исключительно с согласия самого человека. В отсутствие необходимого одобрения их разглашение также не допускается.
Для решения вопроса об ответственности первоначально следует разобраться, что является разглашением персональных данных о личности. Под этим законодательство понимание совершение действий, в результате которых иные лица получают доступ к персональной информации гражданина. Обязательным условием незаконности распространения выступает неполучение согласия на разглашение сведений от самого обладателя персональных данных.
Что делать при незаконном разглашении персональных данных?
Способы защиты данного нарушенного права различны. Жалоба на незаконное использование персональных данных может быть подана в правоохранительные органы либо непосредственно в суд.
В зависимости от выбранного способа существуют различные последствия для нарушителя. Результатом направлении жалобы в адрес правоохранителей является привлечение виновника к административной либо уголовной ответственности. Обращение в полицию с соответствующим заявлением особенно актуально в случае, если сведения о распространителе не известны. Иными словами – не достаточно данных виновника нарушения прав для определения его в суде в качестве ответчика. В таком случае задачей государственного органа будет установление лица, допустившего незаконное распространение данных о личности.
Целью подачи заявления в суд, в отличие от обращения в полицию, выступает предъявление денежного требования к ответчику в качестве компенсации за незаконное распространение личных данных. При этом, такое заявление обязательно должно отвечать установленным процессуальным кодексом требованиям к исковому порядку.
Немаловажно отметить, что при решении вопроса куда жаловаться на разглашение персональных данных, необходимо знать – оба рассмотренных способа не противоречат друг другу и могут быть реализованы одновременно. Применение всевозможных процедур защиты нарушенного права напротив имеет максимальный положительный эффект. По сути жалоба в правоохранительные органы и иск в суд будут дополнять друг друга. Установленные фактические данные в полиции будут дополнительным доказательством в суде и упростят рассмотрение гражданского иска.
Каким образом возможно законное использование персональных данных?
Несмотря на ответственность за разглашение сведений о личности, получение и дальнейшая работа с такого рода информацией возможна в правовом поле. Соблюдение обязательных требований получения, сбора и обработки данных гражданина позволит их применять совершенно законно без страха наступления ответственности. При этом, передача персональных данных третьим лицам должна происходить только в случае согласии лица. Такое одобрение должно быть зафиксировано в электронном виде либо на бумажном носителе.
В соответствующем соглашение на персональные данные должно быть отмечено:
Последствия незаконного распространения персональных данных
Итогом нарушения любого из требований закона о персональных данных помимо денежной компенсации и возмещения возможных убытков является наличие публичной санкции в виде административного или уголовного наказания. При этом, ответственность возможна как за сбор, так и дальнейшую обработку, и распространение данных о личности.
Применение административная ответственность за разглашение персональных данных допускается в том случае, если не наступают последствия, связанные с уголовным преследованием. Размер санкции статьей 13.11 административного кодекса определяется в зависимости от того, кто выступает распространителем – физическое (в т.ч. должностное) либо юридическое лица. Также на размер штрафа влияет конкретный вид совершенного нарушения – выбор части приведенной статьи закона напрямую связан именно с объективной стороной нарушения.
Наступление уголовная ответственность за разглашение персональных данных происходит при незаконных действиях именно с сведениями о личной жизни. Примером в этой части может служить информация об образе жизни, здоровье человека и тому подобное. Читайте по ссылке, как наш адвокат по уголовным делам будет отстаивать ваши интересы в случае привлечения к ответственности за данное нарушение.
Наказание по рассматриваемому преступлению непосредственно зависит от исполнителя (отдельная санкция содержится для должностных лиц), а также от способа разглашения информации. Поскольку распространение сведений в СМИ или при публичном выступлении очевидно наносит больший вред, то и ответственность аналогична закреплена законом более суровая.
Помимо указанных наказаний по 137 статье УК РФ, штраф за нарушение 152 ФЗ предусмотрен и в следующей – 138 статье. Преступлением в таком случае также будет признаваться нарушение в области переписки лиц. Вид полученной переписки между гражданами не имеет значения. При решении вопроса какое наказание за разглашение персональных данных в случае переписки равнозначно нарушением тайны будет считаться сведения телефонного разговора, электронных или почтовых писем.
Образец жалобы на незаконное использование персональных данных
В Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека
В Центральный банк Российской Федерации
От П.
Жалоба на использование персональных данных
Между мной, П., и ОАО «Уралвнешторгбанк» был заключен кредитный договор который был исполнен путем фактического исполнения в 2006 году. 2 месяца назад в мой адрес постоянно начали поступать звонки от лиц, представляющихся сотрудниками организации «Первое коллекторское бюро» с требованием оплатить задолженность по указанному выше кредиту 2 700 рублей. Однако кредит мной давно погашен, задолженности, в том числе пени я не имею, об указанных обстоятельствах я неоднократно сообщал звонившим мне работникам коллекторского агентства, однако никакого результата не последовало.
В настоящее время ОАО «Уралвнешторгбанк» не существует, поэтому обратиться в банк для урегулирования данного вопроса не представляется возможным.
В результате неправомерных действий сотрудников НАО «Первое коллекторское бюро» нарушается покой и благополучие моей семьи.
Кроме того, звонки поступают мне на работу, сотрудники коллекторского агентства в ходе этих телефонных разговоров вводят в заблуждение моих коллег и начальство, передавая им информацию, не соответствующую действительности, таким образом дискредитируя меня.
Звонки поступают со следующих номеров телефонов: …
Таким образом, необходимо сделать вывод что ПАО «Бинбанк», являющееся правопреемником ОАО «Уралвнешторгбанк» нарушило закон о банковской тайне и сообщило мои конфиденциальные данные третьим лицам.
В связи с давностью получения и выплаты кредита у меня не сохранилось никаких документов, ни кредитного договора, ни графика платежей, ни документов подтверждающих погашение кредита. В связи с вышеизложенным, считаю необходимым запросить ПАО «Бинбанк», сведения об отсутствии у меня задолженности по кредиту.
Ст. 26 Федерального закона о банках и банковской деятельности гласит, Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.
За разглашение банковской тайны Банк России, руководители (должностные лица) федеральных государственных органов, перечень которых определяется Президентом Российской Федерации, высшие должностные лица субъектов Российской Федерации (руководители высших исполнительных органов государственной власти субъектов Российской Федерации), организация, осуществляющая функции по обязательному страхованию вкладов, кредитные, аудиторские и иные организации, уполномоченный орган, осуществляющий функции по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, орган валютного контроля, уполномоченный Правительством Российской Федерации, и агенты валютного контроля, а также должностные лица и работники указанных органов и организаций несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.
Операторы платежных систем не вправе раскрывать третьим лицам информацию об операциях и о счетах участников платежных систем и их клиентов, за исключением случаев, предусмотренных федеральными законами.
Исходя из вышеизложенного, мои конфиденциальные данные, которыми являются сведения о моем кредите, не должны были попасть к третьим лицам, т.е. к ООО «Первое коллекторское бюро», таким образом необходимо сделать вывод о существенном нарушении моих право ПАО «Бинбанк».
На основании изложенного и руководствуясь нормами действующего законодательства,
ПРОШУ:
Автор статьи:
© адвокат, управляющий партнер АБ «Кацайлиди и партнеры»
Что делать, если на вас зарегистрировали компанию
Мошенники, завладевшие чужими персональными данными, могут использовать их для уклонения от уплаты налогов или легализации доходов, полученных преступным путем. Чтобы обезопасить себя от неприятностей, достаточно проявлять бдительность и бережнее относиться к документам и персональным данным. Но что предпринимать в ситуации, когда компания уже зарегистрирована без вашего ведома?
По данным InfoWatch, из-за пандемии количество случаев утечки персональных данных в России увеличилось на 38 %. Это устойчивая тенденция: объем украденных персональных данных в 2019 году вырос более чем в 6 раз по сравнению с 2018-м, а всего было украдено 172 млн записей, причем треть из них — паспортные данные.
Среди наиболее актуальных причин утечки — массовая работа из дома, когда используется меньше технологических решений и бум онлайн-покупок.
Персональные данные, попавшие в руки мошенников, могут использоваться для регистрации организации без ведома гражданина. При возникновении такой ситуации риск очевиден: даже не зная о том, что он является учредителем, директор, который считает себя номинальным, всё равно несет реальную ответственность за деятельность компании — долги, неуплату налогов, несвоевременную сдачу отчетности. В самых сложных случаях номинальному учредителю грозит возбуждение уголовного дела за мошенничество.
Как нужно действовать
Прежде всего нужно позаботиться о предотвращении такой ситуации и свести риски к минимуму. Но если так произошло, что компанию на вас всё же зарегистрировали, то обращайтесь в полицию, налоговую и Минкомсвязи.
Защитите себя заранее
Самый верный способ обезопасить себя от данного рода проблем — это подать в налоговый орган запрет на совершение разного рода регистрационных действий с вашим участием. Это можно сделать с помощью формы № Р38001.
Лучше не предоставлять свои паспортные данные третьим лицам без вынужденной необходимости, не хранить их в открытом доступе, не вводить на подозрительных сайтах, внимательно читать документы, прежде чем их подписывать.
Насторожитесь, когда копию паспорта делают без вашего согласия.
Проверьте, зарегистрирована ли на вас компания
Проверить информацию об участии в организации можно в личном кабинете налогоплательщика на сайте ФНС.
Если есть основания полагать, что на ваше имя незаконным образом могли зарегистрировать фирмы, отправьте официальное письмо в налоговую с запретом на совершение регистрационных действий без вашего участия и попросите сообщить о том, числитесь ли вы в каких-то организациях в качестве учредителя (участника) или директора.
Идите в полицию
Если вы внезапно узнали, что оказались директором или участником предприятия, которое не регистрировали на себя, обратитесь в полицию и подайте заявление, указав в нем причину обращения (ст. 173.1 УК РФ «Незаконное образование (создание, реорганизация) юридического лица»).
Полицейские обязаны провести проверку и отследить деятельность мошенников, чтобы вам не пришлось выплачивать долги.
Подайте заявление в налоговую
Заполните заявление физлица о недостоверности сведений в реестре ЕГРЮЛ по форме № Р34001. Его можно отправить письмом или передать в налоговую инспекцию, также можно подать форму через нотариуса.
В заявлении нужно указать, что вы не регистрировали на себя компанию и никак к ней не относитесь. Его можно составить произвольно, при этом следует указать сведения о компании (название, ОГРН, ИНН, адрес регистрации) и описать, почему вы не причастны к ней.
Заявление нужно подписать, нотариально удостоверять подпись не нужно. Лучше всего подать заявление лично в отделение налоговой по месту учета юрлица с паспортом.
Важно, чтобы в ЕГРЮЛ внесли информацию о недостоверности данных о физлице как о руководителе и учредителе компании — это поможет сделать заявление по форме № Р34001. Через пять рабочих дней в реестре будет указано, что сведения недостоверны, через шесть месяцев придет уведомление об исключении из ЕГРЮЛ и ещё через три месяца компания будет исключена. Также можно попросить суд аннулировать незаконную регистрацию.
Не игнорируйте
В противном случае на ваше имя будут приходить уведомления о том, что нужно погасить долги компании по кредиту. Также вы будете получать письма из налоговой инспекции с просьбой предоставить просроченную финансовую отчетность и судебные извещения с требованиями явиться на разбирательство из-за больших задолженностей.
Самое тяжелое последствие — возбуждение уголовного дела из-за мошенничества и неуплаты налогов и привлечение к субсидиарной ответственности из-за долгов или банкротства компании.
Даже номинальные учредители и руководители, согласно законодательству, несут юридическую и административную ответственность за деятельность компании.
Защитите свои персональные данные
Данные теряются при регистрации на мошеннических сайтах, внешне похожих на сайты госорганов, при онлайн-покупках и оформлении микрокредитов в микрофинансовых организациях, которые могут продавать личные данные клиентов для использования в нелегальных мошеннических схемах.
Раскрыть персональные данные, например, копии паспортов, могут недобросовестные работодатели, компании-партнеры, банковские работники, сотрудники мобильных операторов, коллекторы.
В группе риска находятся пенсионеры, очень молодые граждане, люди с низкими доходами, лица, страдающие зависимостями или психическими заболеваниями. Чаще всего мошенники похищают данные, прося людей подписать согласие об использовании персональных данных.
Попросите юриста о помощи
Юристу важно знать подробности, как его клиент узнал о том, что его данные использовались для регистрации юрлица. Пригодятся все документы, связанные с зарегистрированной компанией:
Они помогут юристу вовремя подать все необходимые заявления, запросы и жалобы в государственные органы и получить полную информацию о компании, её счетах, судебных разбирательствах и задолженностях.
Юрист представляет интересы предпринимателя в госорганах, чтобы помочь максимально быстро ликвидировать или обанкротить компанию и защитить клиента от привлечения к административной или уголовной ответственности и выплаты долгов фирмы.
Докажите налоговой, что были использованы недостоверные данные
Лучше всего сразу написать в налоговую заявление в свободной форме и объяснить, что вы не имеете никакого отношения к юридическим лицам, которые задолжали кредиторам и занимаются мошенничеством.
Отзовите электронную подпись, если её используют мошенники
Электронная цифровая подпись каждого учредителя помогает зарегистрировать компанию онлайн через налоговую. Мошенники могут использовать это в своих целях, создавая электронные подписи учредителей компании в удостоверяющих центрах. Это позволяет им вести все операции от имени учредителя с помощью электронного документооборота, без подделки подписи.
Если налоговая сообщила, что при регистрации компании использовалась цифровая подпись, нужно обратиться в удостоверяющий центр, выдавший сертификат ключа электронной подписи, с заявлением об отзыве подписи.
Чтобы узнать, какой именно удостоверяющий центр оформил сертификат, отправьте запрос в Минкомсвязь.
Одновременно в удостоверяющем центре можно запросить копии документов, на основании которых была оформлена электронная подпись. Информация о реквизитах и адресе удостоверяющих центров доступна на официальном сайте Минкомсвязи.
Если мошенники регистрировали компанию, подавая все документы в налоговую в бумажном виде, можно ознакомиться с этими документами и заявить, что вы их не подписывали.
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Продается все о каждом
В ходе рассмотрения этого дела было наглядно продемонстрировано, как правильно поступать в подобных случаях. Ведь саму процедуру таких исков не всегда до конца понимают даже наши суды.
А подобных споров о защите персональных данных в последнее время стало так много, что на проблему приходится обращать внимание не только самим гражданам, но и правоохранителям, юристам, законодателям.
Поэтому имя человека, его адрес, паспортные данные и прочее с каждым днем становятся все дороже. В итоге сложился целый нелегальный рынок, на котором можно купить персональные данные, а их хозяева даже знать об этом не будут.
Между тем, сегодня, чтобы взыскать через суд убытки от утечки персональных данных, гражданин должен обладать железными нервами и здоровьем. Ему надо доказать не только факт нарушения, но и размер своих убытков от разглашения, а также причинно-следственную связь между нарушением и убытками. Да и штрафы Роскомнадзора за нарушение прав субъектов персональных данных доходят лишь до 75 000 рублей.
Но и такие суммы за последние годы не присуждали.
Наши суды ограничиваются 10-20 тысячами рублей компенсации. Хотя в Европе предусмотрены штрафы до 4 процентов оборота компании. А это заставляет организации ответственно подходить к вопросам защиты персональных данных.
Наша история началась на Дальнем Востоке, где гражданин написал заявление в местное управление Роскомнадзора. В заявлении было сказано, что в интернете без его разрешения некая фирма с Багамских островов распространяла его персональные данные.
В итоге всех споров дело дошло до Судебной коллегии по гражданским делам Верховного суда. И там с мнением дальневосточных судов не согласились.
Верховный суд начал с того, что напомнил: Роскомнадзор имеет право обратиться в суд с иском в защиту субъектов персональных данных. В том числе и неопределенного круга лиц. Это сказано в Законе «О персональных данных». Также ведомство имеет право представлять пострадавших в суде.
А еще Верховный суд указал на статью 26 Гражданского процессуального кодекса. Там сказано, что иски о защите прав субъекта персональных данных, в том числе об убытках или компенсации морального вреда, можно предъявлять в суд по месту жительства истца. Поэтому заявление в защиту жителя Дальнего Востока надо было рассмотреть в порядке гражданского судопроизводства.
Как правило, истцом в судах о защите персональных данных обычно выступает гражданин, с персональными данными которого совершены незаконные, по его мнению, действия. Сам Роскомнадзор реже, чем простые граждане, обращается с исками в суд. Обычно ответчиком в таких спорах оказывается оператор персональных данных или тот, кто получил доступ к персональным данным гражданина.
Весной этого года стало известно, что Госдуме и Роскомнадзору предложили законодательно ужесточить ответственность за нарушения в сфере персональных данных. Если предложение пройдет, то за каждый доказанный случай утечки данных граждане смогут требовать от бизнеса и госорганов компенсацию от 500 000 до 5 миллионов рублей. Такую инициативу озвучила Ассоциация юристов России. Там подготовили предложения по изменению закона «О персональных данных». АЮР хочет обязать операторов персональных данных, в числе которых есть все госорганы, компании и физические лица, обрабатывающие такие сведения, по требованию граждан выплачивать им, по решению суда, в случае утечки компенсацию в размере от 500 000 до 5 миллионов рублей. Если утечка данных произошла по вине пользователя, то оператор освобождается от ответственности.
Возможность взыскать компенсацию с компании в случае утечки теоретически есть и сейчас, но, по мнению АЮР, она сильно затруднена.
_t_310x206.jpg "Украли персональные данные что делать. Смотреть фото Украли персональные данные что делать. Смотреть картинку Украли персональные данные что делать. Картинка про Украли персональные данные что делать. Фото Украли персональные данные что делать")
При этом иски о защите прав хозяина персональных данных, в том числе о возмещении убытков, компенсации морального вреда, могут предъявляться и в суд по месту жительства истца.
Требования, связанные с нарушением прав на обработку персональных данных, рассматриваются в порядке гражданского судопроизводства на основании норм ГПК. Это означает, что суды самостоятельно оценивают, относится ли та или иная информация к персональным данным, подлежит ли она защите.
В нашем случае Верховный суд отменил отказные решения дальневосточных коллег и велел рассмотреть требование гражданина.