Защита персональных данных в социальных сетях статья

Берем на заметку и внедряем у себя: госорганам сказали, как работать с электронными документами

1,2 тыс. 0

1. Старайтесь не выкладывать в Интернет личную информацию (фотографии, видео, ФИО, дату рождения, адрес дома, номер школы, телефоны и иные данные) или существенно сократите объем данных, которые публикуете в Интернете.
2. Не выкладывайте личную информацию (совместные фотографии, видео, иные данные) о ваших друзьях в Интернет без их разрешения. Прежде чем разместить информацию о друзьях в Сети, узнайте, не возражают ли они, чтобы вы выложили данные.
3. Не отправляйте свои персональные данные, а также свои видео и фото людям, с которыми вы познакомились в Интернете, тем более если вы не знаете их в реальной жизни.
4. При общении с другими пользователями старайтесь быть вежливыми, деликатными, тактичными и дружелюбными. Не пишите грубостей, оскорблений, матерных слов – читать такие высказывания так же неприятно, как и слышать.
5. Старайтесь не реагировать на обидные комментарии, хамство и грубость других пользователей. Всегда пытайтесь уладить конфликты с пользователями мирным путем, переведите все в шутку или прекратите общение с агрессивными пользователями. Ни в коем случае не отвечайте на агрессию тем же способом.
6. Если решить проблему мирным путем не удалось, напишите жалобу администратору сайта, потребуйте заблокировать обидчика.
7. Если администратор сайта отказался вам помочь, прекратите пользоваться таким ресурсом и удалите оттуда свои данные.
8. Не используйте Сеть для распространения сплетен, угроз или хулиганства.
9. Не встречайтесь в реальной жизни с онлайн-знакомыми без разрешения родителей или в отсутствие взрослого человека. Если вы хотите встретиться с новым интернет-другом, постарайтесь пойти на встречу в сопровождении взрослого, которому вы доверяете.

Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).

К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.

К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.

Это согласие работодатели уже давно должны были запросить у работников.

К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).

В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.

Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.

Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

• в течение трех рабочих дней с момента обращения;

• или в срок, указанный в постановлении суда;

• или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.

К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).

Видеоролики с заголовками типа «Как легко зарабатывать в интернете не выходя из дома» пользуются большой популярностью. Количество просмотров у подобных видео достигает миллионных отметок, а в комментариях к ним всегда много сообщений от пользователей, которые якобы уже успели заработать таким способом. Однако, как правило, такие ролики — не что иное, как дело рук мошенников, желающих получить доступ к личной информации пользователей.

К личной и конфиденциальной информации обычно относятся такие сведения, как номера банковских карт, адреса электронной почты, телефонные номера, дата рождения, СНИЛС и прочее. К подобной информации также относят данные о поведении (например, о посещенных сайтах и используемых социальных сетях). Эти сведения говорят им о вас намного больше, чем вы можете представить.

Это отчасти вызвано растущими возможностями искусственного интеллекта.

ИИ используется на популярных платформах для разработки алгоритмов, определяющих, какие товары могут вас заинтересовать и какую рекламу следует вам показывать. Яркий пример возможностей и точности интеллектуальных алгоритмов показало исследование, проведенное Кембриджским университетом в 2013 году. Оно было посвящено изучению пользователей на основании понравившихся им публикаций в Facebook. Проанализировав всего десять отметок «Нравится» в Facebook, исследователи смогли узнать человека лучше, чем его коллеги. Чем больше таких отметок анализируется, тем более полной становится информация. Изучив 300 понравившихся публикаций, алгоритм уже понимал исследуемого пользователя лучше, чем его партнер или супруг. И с 2013 года алгоритмы постоянно совершенствовались.

Есть еще одна категория сайтов, где мы целиком принимаем на себя ответственность за передачу личных сведений, понимая ее необходимость. Отличный пример такой ситуации — подача заявки на трудоустройство. При этом мы добровольно указываем разнообразную личную информацию. Еще один пример — покупка товаров в интернете, когда мы указываем данные банковских карт. То же относится и к бронированию гостиничного номера, особенно если нам приходится раскрывать свои паспортные данные.

Не проходит и недели без новостей об очередной крупной утечке данных. Это стало обычным делом. Ваши персональные данные защищены точно так же, как инфраструктура организации, в которой они хранятся. Тот, кто украл базу данных Управления кадровой службы США в 2015 году, теперь имеет доступ к персональным данным более чем 20 миллионов бывших, текущих и потенциальных сотрудников правительства США. Похититель базы данных гостиничной сети Marriott в 2018 году получил личные сведения сотен миллионов постояльцев, включая данные из нескольких миллионов паспортов.

Законодательство обязывает прекратить передачу ПД, разрешенных для распространения, в любое время по требованию субъекта.

Для этого нужно правильно оформить требование, то есть указать в нем следующую информацию:

• ФИО;
• контактные данные;
• перечень персональных данных, обработку которых нужно прекратить.

Указанные ПД могут обрабатываться только оператором, которому оно направлено.

Важнейшее нововведение Федерального закона № 519-ФЗ от 30.12.2020 – это презумпция неправомерности распространения и обработки общедоступных личных сведений третьими лицами. Гражданам, желающим удалить свои персональные данные из общего доступа, больше не придется доказывать неправомерность их обработки третьими лицами.

Теперь обязанность предоставить доказательства законности распространения и обработки общедоступных персональных данных лежит на каждом лице, осуществившем их распространение (п. 2 ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ).

По новым правилам физлица в любое время вправе обратиться к любому оператору персональных данных с требованием прекратить передачу (распространение, предоставление и доступ) своих общедоступных персональных данных. Обосновывать данное требование не нужно. Оператор персданных обязан удалить персональные данные физлица из общего доступа по факту получения соответствующего требования.

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

• Что такое персональные данные?
• Требования к защите персональных данных: почему они игнорируются?
• Законодательство в сфере защиты персональных данных
• Способы защиты персональных данных

Есть множество прорех в законодательной стороне вопроса. Так, только в 2016 году на уровне Европейского союза был принят Общий регламент по защите данных (GDRP), согласно которому у каждого человека есть два основополагающих права в этой сфере:

— узнать у представителей компаний, какие именно персональные данные конкретного человека используются;

— решить, можно ли соглашаться на использование этих данных.

Соответственно, до 2016 года был принят ряд законов, которые охватывали лишь некоторые правовые аспекты:

— в 1981 году приняли Европейскую конвенцию о защите физических лиц при автоматизированной обработке персональных данных – с этого момента доступ к личной информации стал возможен только по решению суда;

— 1986 годом датируется Закон о конфиденциальности электронной коммуникации, который обязал банки спрашивать разрешение на использование персональных данных;

— Закон Грэмма-Лича-Блайли (1999) приравнивает к уголовному преступлению использование персональных данных для дискриминации человека;

— Закон о защите конфиденциальности детей в интернете (2000) запрещает сбор личной информации о детях без разрешения родителей или опекунов.

В то же время обратиться к закону GDRP можно только в том случае, если дело об утечке информации приобретает международный масштаб. В бытовых случаях (финансовое мошенничество или кража профиля в социальных сетях) рекомендуется обратиться в местный административный суд или любой другой специальный орган. Получается, что закон о защите персональных данных на местном уровне выглядит достаточно размыто и оставляет множество возможностей для киберпреступников.

Например, не так давно мне на форуме попалась история о системе онлайн-платежей, которая перечисляла деньги на собственный счет вместо того, чтобы совершить необходимую транзакцию. Пользователи рассказывали, что неоднократно обращались в суд с просьбой решить вопрос, но им отвечали, что заведена целая стопка заявлений по поводу мошенничества этой платежной компании, но ими никто не занимается.

Тем не менее, чтобы отстаивать свои права, необходимо знать, к каким законам апеллировать в суде в случае проблем с персональными данными. Персональные данные в России регламентируются следующими законами:

— Федеральный закон «О персональных данных» № 152-ФЗ;

— Федеральный закон «Об информации, информационных технологиях и о защите информации» № 149-ФЗ;

— Кодекс Российской Федерации об административных правонарушениях;

— Уголовный кодекс Российской Федерации;

— Трудовой кодекс Российской Федерации;

— Гражданский кодекс Российской Федерации.

Перед оплатой покупки в Интернете или выполнением других финансовых операций стоит отслеживать значок, появляющийся слева от строки адреса. Данный значок должен информировать пользователя о работе с зашифрованным соединением.

При отсутствии защиты соединения рекомендуется пользоваться дополнительными сервисами, которые перенаправят пользователя на HTTPS-версию сайта.

Создать сложный пароль – распространенный совет экспертов по безопасности персональных данных. Однако самостоятельно созданный пароль уступает сгенерированному специализированным сервисом. К тому же запомнить его непросто, а записывать в ежедневник – ненадежно.

Специализированные сервисы, называемые «менеджерами паролей», автоматически создают сложные пароли и сохраняют их на защищенных серверах. Поэтому не требуется запоминать данную комбинацию, сервис автоматически впишет ее в нужном месте. Данную услугу предоставляют приложения Enpass, 1Password, LastPass.

Для пользователей мобильных устройств iOS и Android включена функция разрешения или запрета получения приложением персональных данных. Важно только не лениться и периодически проверять, к каким сведениям получает доступ скачанное приложение или игра. При появлении подозрительных запросов рекомендуется отказаться от установки и использования такого приложения.

Как уберечь персональные данные от интернет-мошенников?

Разработчики операционных систем и приложений систематически выпускают новые версии, в которых добавляют новые возможности для пользователей, а также исправляют уязвимости системы. Вместе с тем, когда выходит обновление, появляется его описание в сети. Таким образом, злоумышленники получают сигнал о том, что в новой версии исправлена уязвимость, а значит могут направить усилия на атаку пользователей системы, которые еще не успели обновить программное обеспечение до новой версии и могут быть подвержены конкретной угрозе. Как правило, эксплуатация этих уязвимостей приводит к утечке данных о пользователе.

Вместе с этими файлами пользователь рискует установить шпионское ПО, которое может долгое время скрываться в устройстве, ничем себя не выдавая. Программа-шпион коллекционирует данные о пользователе, записывает все нажатия клавиш и делает снимки с экрана. После этого информация отправляется владельцу вредоносной программы. Как он ей распорядится — неизвестно.

Разработчики приложений обязаны запрашивать разрешения пользователей на обработку и передачу их персональных данных. Эти пункты содержатся в больших лицензионных соглашениях, которые принимают пользователи при установке приложений. Подавляющее большинство людей их принимает, не читая. Так, мы сами даем разработчикам софта разрешение на передачу персональных данных третьим лицам, которые используют их в своих целях.

Бизнес-модель многих приложений основана на монетизации персональных данных. Они бесплатно предоставляют полезный и интересный для широкой аудитории функционал, но взамен требуют согласия на обработку и передачу персональных данных третьим лицам. Лучше воздержаться от предоставления избыточной информации о себе, ограничив доступ приложения только к тем данным, которые требуются для функционирования системы. Если приложение для чтения книг хочет получать доступ к вашей геолокации — это повод насторожиться.

По словам Марины Хадиной, директора по развитию Talantix, чтобы избежать рисков, рекрутер как менеджер проекта по внедрению программ должен учесть следующие моменты:

1. Обратите внимание, как система запрашивает согласие на обработку персональных данных. Если резюме приходят из разных источников, то во многих случаях должно быть предусмотрено согласие на обработку ПД, разрешенных к распространению. Если есть сомнения, что сторонний онлайн-ресурс не собирает согласия с соискателей, тогда лучше дополнительно запросить его.
2. Посмотрите, как оформлено согласие на обработку ПД. Должны быть указаны цели сбора — трудоустройство и кадровый резерв.
3. Соблюдаются ли в системе требования по локализации данных — например, серверы Talantix располагаются на территории РФ. В данном случае система может выступать как первичная база данных, при этом вторичная база может находиться за пределами России, что актуально для зарубежных компаний.
4. С точки зрения техтребований — есть ли у центра обработки данных, где размещается инфраструктура системы, лицензия на техническую защиту информации, разработана ли модель защиты от киберугроз.
5. Проверьте, предусмотрены ли регулярные обновления системы с учетом изменений в законодательстве.

Законодатели отметили, что закон о распространении ПД — только начало большой работы по ужесточению правил обращения с персональными данными. Но это не должно стать проблемой для компаний, если они следят за автоматизированными решениями и предложениями по хранению и обработке данных, так как крупные провайдеры держат руку на пульсе, чтобы помочь HR-сообществу и бизнесу учесть эти и другие нововведения.

Аналитический центр при Правительстве Российской Федерации

Исследования выявили, что многие пользователи предоставляют доступ к большему объему сведений, чем им изначально хотелось бы. И речь не только о случаях, когда, заполняя анкету на получение бонусной карты торговой сети, предлагается указать значительное количество информации. Например, я никогда не указываю в таких анкетах адрес места жительства, потому как уверен, что для понимания географии своих покупателей магазину достаточно знать город проживания, ну или в крайнем случае район. Сообщая о себе лишние подробности, человек становится уязвимее. Располагая достаточной информацией о человеке, злоумышленники могут выдать себя за вас.

Информация о применяемой политике конфиденциальности размещается на сайте каждой социальной сети, т.к. все они обязаны осуществлять обработку ПДн пользователей в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Роскомнадзор осуществляет госконтроль и надзор за исполнением принимаемых законодательных актов в области персональных данных. Деятельность ведомства регулируется Конституцией Российской Федерации от 12 декабря 1993 г.; Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральным законом от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»; а также рядом подзаконных нормативных правовых актов.