Утечка персональных данных что делать
Перейти к содержимому

Утечка персональных данных что делать

  • автор:

Куда жаловаться на утечку персональных данных?

Как пояснили в Минцифры, ответственность за сохранность персональных данных несёт оператор — это организация, которая собрала и хранит данные гражданина.

Если гражданин считает, что оператор нарушает закон «О персональных данных» и доступ к этим данным получили посторонние, он может обратиться с жалобой в Роскомнадзор:

  • на сайте в разделе «Общественная электронная приёмная Роскомнадзора»;
  • лично зарегистрировать заявление в канцелярии Роскомнадзора. Подать надо два экземпляра жалобы. Один остаётся на рассмотрении в Роскомнадзоре, а на втором сотрудник канцелярии делает отметку с датой принятия заявления и входящим номером корреспонденции, а затем возвращает заявителю.

Адрес Главного управления федеральной службы: 109074, г. Москва, Китайгородский пр., д. 7, стр. 2. Адреса территориальных подразделений организации предоставлены в разделе «Контакты».

Важно! Персональными данными являются фамилия, имя, отчество физического лица, дата рождения, адрес места жительства или регистрации, email, телефон, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии, данные паспорта, а также данные дактилоскопии, анализы ДНК и фотографии или видеоизображения, позволяющие идентифицировать человека.

Как избежать утечки персональных данных и что делать, если это все-таки произошло?

Современный человек делится информацией о себе почти со всеми: с онлайн-платформами, государственными структурами, частными компаниями. Эти данные могут утечь в сеть, а еще хуже – их могут украсть. Поэтому нужно уметь персональную информацию защищать.

О том, что такое утечка персональных данных и как ее предотвратить, CABAR.asia поговорил с Даной Буралкиевой из общественного Фонда «Еркіндік қанаты» . Она независимая исследовательница, экспертка и тренерка по свободе выражения и защите персональных данных.

Что такое утечка данных?

Это разглашение конфиденциальной, защищенной либо чувствительной информации, которая попадает в открытый доступ из-за неправомерных действий. Чаще всего утекают именно персональные данные.

Что относится к персональным данным?

Это те данные, которые идентифицируют личность. Это может быть фамилия, адрес проживания, электронная почта, дата рождения, номера телефонов, почтовые адреса и в том числе ip-адрес (уникальный код любого устройства, подключенного к интернету).

Также в категорию персональных данных входит и финансовая информация: данные о банковских счетах, кредитных и дебетовых картах, информация о доходах и платежах.

Медицинская информация тоже в этом списке – это анализы и диагнозы, генетическая и биометрическая информация (отпечатки пальцев, сетчатка глаза, рисунок вен, голос).

Почему утечка биометрических данных страшнее, чем утечка другого вида персональной информации?

Потому что почтовый ящик или банковский счет можно сменить, а вот отпечатки пальце у человека одни и на всю жизнь.

«Представьте, что у вас есть доступ к важному помещению. Например, ваша квартира открывается с помощью отпечатка пальца. А потом система хранения и обработки, куда вы сдавали ваши отпечатки пальцев, была взломана. Теперь у злоумышленников есть доступ к вашим биометрическим данным, они могут скачать их или заменить ваши отпечатки своими, чтобы попасть в вашу квартиру», – приводит пример Дана Буралкиева.

Как предотвратить утечку персональных данных?

Очень важно не делиться своими данными со всеми подряд. Чаще всего люди предоставляют данные мошенникам, которые звонят по телефону, просят поделиться данными карточки, назвать код на обратной стороне и так далее, а после снимают деньги с этой карты. Ситуации осложнены еще и тем, что не всегда возможно найти виновников – часто они оказываются за пределами Казахстана, вне нашей юрисдикции.

Еще один важный пункт – это политика конфиденциальности тех организаций, которым вы свои данные предоставляете. С ней важно внимательно ознакомиться. Дана Буралкиева отмечает, что читать нужно всё.

На что нужно обратить пристальное внимание при прочтении политики конфиденциальности?

Важно прочесть, к каким приложением данное приложение просит у вас доступ. «Если у вас фонарик просит доступ к диктофону, то это уже немного странно», – говорит Буралкиева.

В политике конфиденциальности должны быть пункты, что сбор данных будет происходить только по вашему согласию. Допустим, когда мы скачиваем приложение на iPhone, то всплывает окно с уведомлением, что приложение хочет отслеживать вашу активность. В этом случае лучше нажать «не отслеживать».

Важный пункт в политике конфиденциальности – по защите данных. Например, что именно организация делает, чтобы утечка не произошла и какие меры будут предприняты, если это все-таки случится.

Откуда может утечь информация?

Дана Буралкиева рассказывает, что это могут быть абсолютно разные источники: и онлайн, и офлайн. Например, информация может утечь из онлайн-систем или баз данных. Это могут быть и телефоны, и флеш-карты, и компьютеры. Все эти системы могут взломать, а физические носители можно потерять или их могут попросту украсть. И если там хранится важная информация, например, финансовые данные либо ЭЦП (электронная цифровая подпись), то этой информация могут воспользоваться мошенники.

Что делать, если мои данные все-таки несанкционированно попали в сеть?

Во-первых, нужно оценить риски, чтобы понять масштаб утечки, а после утекшие данные нужно изолировать. Например, если у вас пропал физический носитель (флэш-карта или ноутбук), необходимо полностью его отключить от электронных онлайн-систем – приостановить доступ к этим данным, чтобы предотвратить дальнейшее распространение информации. Если данные утекли из компьютерной системы, то нужно принять меры для ее закрытия. Для этого необходимо связаться с той организацией, которая допустила утечку.

Во-вторых, необходимо обязательно проинформировать ответственные лица – например организацию, в которой вы работаете. Кроме того, нужно связаться с правоохранительными органами.

В-третьих, нужно понять, как эта информация использовалась. Дана Буралкиева называет это небольшим внутренним расследованием: выяснить, для чего и кому это было нужно, как эта информация будет использоваться против вас. Экспертка советует сформировать список мер, которые вы предпримете, если эту информацию обернут против вас. Это делается для того, чтобы вы заранее знали, как будете реагировать.

Как самостоятельно определить, кто спровоцировал утечку?

Это очень сложный процесс и сделать это самостоятельно, вероятнее всего, не получится. Дана Буралкиева рассказывает, что для этого нужны не только понимание законов и технической стороны проблемы, но и специальная аппаратура.

Но вот организация, хранившая данные, может самостоятельно проанализировать ситуацию – сами данные, которые были скомпрометированы, дату и период утечки, ее метод. Это поможет сузить список потенциальных источников. Однако лучше пригласить техспециалиста, который занимается кибербезопасностью.

Что делать, если утечка произошла через Chat GPT или другой сервис на базе ИИ?

Дана Буралкиева отмечает, что механизм по работе с последствиями такой же, как и с другими платформами: нужно написать в службу поддержки. После этого ненадежным ИИ-сервисом нужно перестать пользоваться.

«Более того, в случае утечки через ИИ, которые находятся не в юрисдикции Казахстана, законодательно себя защитить невозможно. Единственный способ защиты – это соблюдать правила кибербезопасности. Самое важное из них – не грузить важную информацию в искусственный интеллект, тем более персональные данные», – посоветовала экспертка.

Что делать, если информация обо мне утекла из частной компании или госструктуры?

С точки зрения закона «О персональных данных и их защите» разницы между ответственностью государственной и частной компании нет. Согласно этому закону, вы имеет право написать заявление на любую организацию, которой доверили информацию о себе, об утечке персональных данных.

Возможно ли удалить данные, которые утекли в сеть?

Дана Буралкиева рассказывает, что это очень сложная задача. Иногда – даже невозможная. Тем не менее необходимо связаться с хостом платформы, куда данные были слиты, и попросить их удалить. У них есть собственные процедуры, которые проводятся в таких ситуациях. И снова – сотрудничество с правоохранительными органами. Тем более, если утечка несет серьезные последствия или может быть связана с преступной деятельностью.

Предусмотрено ли наказание за утечку персональных данных?

Да. Есть как административная, так и уголовная ответственность и для физических, и для юридических лиц. Согласно статье 79 Кодекса об административных правонарушениях, существует наказание в виде штрафа. Уголовная ответственность идет в соответствии со статьей 147 о нарушении неприкосновенности частной жизни. Она предусматривает наказание либо в виде штрафа, либо ограничения или лишения свободы в зависимости от состава преступления.

К кому обратиться за помощью, чтобы устранить дальнейшую утечку данных?

Если есть ресурсы, то можно обратиться к компаниям, которые занимаются кибербезопасностью. Но зачастую с проблемами утечки данных, говорит экспертка, сталкиваются организации, у которых нет финансов на оплату специалистов по IT-безопасности. В этом случае можно обращаться в некоммерческие фонды, которые помогают решить проблему.

Эта публикация финансируется Европейским Союзом. Её содержание является исключительной ответственностью IWPR и не обязательно отражает точку зрения Европейского Союза.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Что делать, если произошла утечка персональных данных?

07.20 Утечка данных-min

После вступления в силу регулирования персональных данных закономерно всё чаще стали появляться новости о масштабных утечках персональных данных. Эта сфера затрагивает и службы доставки, и сферу продаж, и крупные предприятия.

Оказываясь в такой ситуации, несмотря на то, что имеются риски привлечения к административной и порой уголовной ответственности, компании не всегда знают, как следуют действовать. Об основных требованиях законодательства в этой сфере – наш материал.

Что такое утечка данных?

В законодательстве отсутствует такой термин как «утечка данных». Обычно об утечке данных говорят, когда появляются свидетельства того, что персональные данные, которые использовались той или иной компанией (в основном это базы данных клиентов), появляются на общедоступных ресурсах, или иным образом становятся доступными неограниченному кругу лиц.

Таким образом, можно говорить о нарушении такого способа обработки персональных данных, как распространение персональных данных.

Следует различать ситуации распространения и предоставления персональных данных:

  • распространение подразумевает, что персональные данные стали известны неопределенному кругу лиц;
  • предоставление же означает, что с персональными данными ознакомился только определенный круг лиц (например, предоставлением может считаться ознакомление с персональными данными всеми сотрудникам компании.

Административная ответственность установлена за оба таких деяния:

  • умышленное незаконное предоставление персональных данных влечет штраф в размере до 50 БВ;
  • за умышленное незаконное распространение персональных данных предусмотрена ответственность в виде штрафа до 200 БВ.

Обращаем внимание, что для наступления административной ответственности требуется наличие умысла.

Если в результате незаконного предоставления или распространения произошло причинение существенного вреда правам, свободам и законным интересам гражданина, то в таком случае предусмотрено наступление уголовной ответственности за незаконные действия в отношении информации о частной жизни и персональных данных (статья 203 1 УК).

Обязанность уведомления компетентного органа.

В случае утечки персональных данных компании необходимо уведомить компетентный орган о произошедшем нарушении системы защиты данных. Таким компетентным органом в сфере защиты персональных данных является Национальный центр защиты персональных данных Республики Беларусь.

Порядок уведомления НЦЗПД о нарушениях системы защиты информации изложен в Приказе Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 13.

Помните, что КоАП устанавливает административную ответственность также и за ситуации, если такое уведомление об утечке не направлено в адрес НЦЗПД. Так, статья 24.11 КоАП предусматривает наложение штрафа до 20 базовых величин. При этом случаи привлечения к ответственности уже есть.

Когда НЕ нужно уведомлять НЦЗПД?

Уведомлять НЦЗПД не нужно, если такое нарушение системы защиты данных не привело к:

  • незаконному распространению, предоставлению персональных данных;
  • изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним.

В этой связи рекомендуем иметь реально функционирующий механизм реагирования на нарушения систем защиты персональных данных. Зачастую компании ограничиваются формальным составлением политик и иных документов, касающихся защиты информации ограниченного распространения (к которой относятся и персональные данные).

Так, например, при потере материальных носителей (флешек, дисков и т.п.) с личными данными клиентов, работники часто не знают о своих обязанностях, ошибочно полагают, что достаточно купить новый носитель информации. При этом информирование руководства, специалистов по информационной безопасности может позволить предпринять меры по поиску носителей и оперативно решить ситуацию. В случае, когда оперативные меры предотвращают незаконное распространение или предоставление персональных данных, не будет необходимости уведомлять НЦЗПД.

Какой срок установлен для направления уведомления?

Уведомление направляется незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о нарушениях, для выполнения этой задачи также крайне важно, чтобы сотрудники оператора также вовремя проинформировали о потенциальной утрате данных.

Что должно содержать уведомление:

  • данные об операторе;
  • данные о лице/подразделении, которое назначено ответственным за осуществление внутреннего контроля за обработкой персональных данных;
  • дата нарушения;
  • момент, когда компании стало известно о нарушении;
  • объем утечки (какое количество физических лиц затронуто нарушением);
  • оценку последствий нарушения;
  • перечень мер, принятых компанией для устранения нарушений;
  • перечень предлагаемых мер.

Для получения дополнительной информации переходите на соответствующий раздел сайта НЦЗПД. Здесь изложены требования, предъявляемые к уведомлению о нарушении системы защиты данных.

Какова ответственность за несоблюдение мер защиты данных?

Утечка данных может повлечь ответственность, если при этом было выявлено несоблюдение мер защиты персональных данных.

Основные меры по обеспечению защиты персональных данных определены в ст. 17 Закона о защите персональных данных. Обязательными являются следующие меры:

  • назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
  • издание документов, определяющих политику в отношении обработки персональных данных;
  • ознакомление и обучение соответствующих категорий работников с положениями законодательства о персональных данных и политикой оператора;
  • установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
  • осуществление технической и криптографической защиты персональных данных.

Помимо ответственности физического лица, за несоблюдение мер обеспечения защиты персональных данных физических лиц КоАП устанавливает ответственность и юридического лица (штраф в размере от 20 до 50 БВ), и ИП (от 10 до 25 БВ).

Если несоблюдение мер защиты повлекло за собой тяжкие последствия, такое правонарушение квалифицируется как несоблюдение мер обеспечения защиты персональных данных и влечет уголовную ответственность для физических лиц (ст. 203 2 УК).

Что делать при утечке персональных данных

Хотя необходимо прилохить все усилия, чтобы утечки персональных данных не случилось. Тем не менее все компании должны внедрить внутренние инструкции и про­цедуры реагирования на инциденты с пер­сональными данными. В случае утечки (например, хакерской атаки) компания обязана уведомить регулятора и пользователей в течение трех суток.

Анализ ситуации

Итак, вы узнали персональные данные пользователей или клиентов оказались скомпрометированы.

  • Надо проанализировать, какая информация оказалась скомпрометированой и каким образом.
  • Сколько пользователей пострадало и какие именно их персональные данные были скомпрометированы.
  • Продолжается ли утечка данных сейчас. Если да, то по возможности надо ее остановить.

Возможно скомпрометированные персональные данные не представляют большой ценности и не несут серьезного риска клиентам. То есть вероятность возникновения риска для прав и свобод граждан в результате утечки дан­ных невелика. В этом случае уведомлять надзорные органы не обязательно.

Оповещение надзорных органов

Контролерам необходимо оповестить об инциденте надзорные органы ЕС. Это должно сделать одно из европейских подразделений контролера, либо официально уполномоченный представитель контролера в ЕС. Европейские требования по уведомлению устанавливают жесткие рамки — до 72 часов с момента обнаружения утечки.

Уведомление надзорных органов должно включать (Статья 33):

  • описание характера утечки
  • примерное число пострадавших владельцев ПД;
  • описание возможных последствий
  • описание предпринятых мер с целью минимизации последствий;
  • а также контактную информацию компании, допустившей утечку.

При несоблюдении срока в 72 часа потре­буется предоставить мотивированное обо­снование задержки оповещения. Наверное к оповещению стоит относиться достаточно серьезно. Так как при вынесении наказания скорее всего будут учитываться смягчающие и отягощающие обстоятельства.

Кроме того компания, работающая с персональными данными резидентов ЕС должна иметь реестр операций с персональными данными, логи, дампы трафика. И важно не просто записать трафик и вести реестры, а проиндексировать его и обеспечить быстрый поиск необходимой информации, так как объем данных может быть очень большим. В худшем случае эта информация возможно будет запрошена надзорными органами при расследовании инцидента.

Оповещение клиентов

Обящанность уведомления клиентов наступает только в случае нали­чия «высокого риска» для их прав и свобод.

В этом случае их надо уведомлять также в течении 72 часов с момента обнаружения утечки персональных данных.

Аналоги в других странах.

В Великобритании существуют аналогичные требования об оповещении. Например, британское Управление по защите данных (UK ICO, Information Commissioner’s Office) тре­бует организации уведомлять обо всех «се­рьезных» утечках.

Аналогичные требования существуют и для клиентов из США. Но европейское требованиЕ оповещения в 72 часа на текущий момент является саммы строгим

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *