Рассказываем, как не стать жертвой злоумышленников и не выплачивать чужой кредит.
13 мая 2022
Один из самых больших страхов современного человека — публикация личных данных в публичном пространстве. И это, к сожалению, не сюжет фантастического боевика о будущем победившего киберпанка. Хакеры способны взломать твой смартфон, пока ты просто обедаешь в кафе.
И если твои Дзюба-style-видео или фотографии с оголенным торсом, которые ты отправлял девушке, могут навредить лишь репутации, то ущерб от украденных паспортных или банковских данных может быть гораздо серьезнее.
Ты можешь не сидеть на сайтах для взрослых, не переходить по сомнительным ссылкам, не регистрироваться на мошеннических ресурсах, но твои персональные данные все равно окажутся в руках мошенников. Сколько раз ты оставлял номер своего мобильного при регистрации бонусной карты в супермаркете, вводил номер кредитки, совершая покупки на популярных маркетплейсах или оставлял банковские данные при оформлении рассрочки в магазинах-техники?
КАК ОБЕЗОПАСИТЬ СВОЮ СТРАНИЦУ ВКОНТАКТЕ ЕСЛИ ВЫ ЖИВЁТЕ В УКРАИНЕ ??? ОТВЕТ ЕСТЬ!!!! СМОТРЕТЬ ВСЕМ
Готовы поспорить, что много. К сожалению, системы безопасности не всегда работают идеально, и часто именно клиентские базы данных становятся объектами для хакерских атак.
Крупные случаи утечки
Предлагаем вспомнить несколько крупных утечек случившихся за последнее время. В конце февраля 2022 года из-за «недобросовестных действий одного из сотрудников» в Интернете оказались данные нескольких тысяч пользователей «Яндекс.Еды».
Мошенники слили ФИО, мобильные телефоны, адреса (в том числе и номера квартир), электронные почты жертв и даже зачем-то суммы, которые клиенты потратили в «Еде» за последние полгода. А в конце марта злоумышленники запустили карту, на которой можно было отыскать себя. Сейчас доступ к ней заблокирован на всей территории страны.
Два года назад, в июне 2020-го, эксперты из DeviceLock сообщили, что хакерам удалось украсть данные почти 5 миллионов российских пользователей портала по поиску работы SuperJob.
Злоумышленники не стали просить какой-либо выкуп, а просто выложили базу в открытый доступ. Исследователи сообщили, что тогда в Сети оказались ФИО, пол, дата рождения, мобильный телефон, домашний адрес и другая персональная информация пострадавших.
Служба безопасности после небольшого расследования пришла к выводу, что причиной утечки стала уязвимость в сервере базы. Кроме того, аналитики сообщили, что никакой платежной информации хакерами добыто не было. Значит, ее можно было применить исключительно для спам-рассылок.
Еще одна крупная утечка произошла буквально на днях. На одном из тематических форумов в даркнете появилось объявление о продаже данных миллионов клиентов медицинской лаборатории «Гемотест».
Неизвестный продавец сообщил, что готов передать документ, содержащий свыше 30 миллионов строк. Среди заявленной информации были ФИО, дата рождения, домашний адрес, электронная почта и паспортные данные каждого из клиентов. Другой продавец предлагал базу данных с результатами анализов, среди которых результаты тестов на ВИЧ, а также уязвимость, позволяющую получить доступ к серверам медицинской лаборатории.
Изменения в обработке персональных данных с 01 марта 2023 года
В компании никак не прокомментировали утечку. Однако эксперты отметили, что она очень свежая. Доступ к информации был получен, как минимум, в конце апреля.
Чем опасен «слив» персональной информации
Один из самых распространенных способов использования слитой информации — развод жертвы на деньги под разными предлогами. Например, тебе могут внезапно начать звонить коллекторы с требованием вернуть кредит, который ты никогда не брал. В качестве аргументов они приведут серию и номер твоего паспорта, домашний адрес, а еще «докинут» пару угроз, что они с тобой сделают, когда найдут. Смело посылай их куда подальше и блокируй номер.
Разумеется, спам тоже никто не отменял. Думаем, тебе не раз звонили с незнакомого номера, на другом конце которого девушка с милым голосом готовилась сделать предложение, от которого ты не сможешь отказаться. Напомним, что на подобные предложения лучше не соглашаться. Как правило, тебя либо попытаются обмануть на деньги, либо продать какой-то хлам по завышенной цене.
Эксперты отмечают, что с помощью паспортных данных можно оформить микрозайм в интернете. Обычно для этого требуются сведения с первых страниц паспорта: номер, дата выдачи, код подразделения и место рождения. Чтобы выяснить, не висит ли на вас чужой кредит, стоит сделать запрос в центральный каталог кредитных историй.
Последний пункт будет актуален только для знаменитостей. Имея личные данные, мошенники смогут запросто «наплодить» фейковых аккаунтов и очернить твою репутацию. Не думаем, что тебя обрадует такой вариант.
Как себя обезопасить?
В первую очередь, как бы это банально ни звучало, внимательно проверять сайт, где ты вводишь свои персональные данные. В последнее время мошенникам стало сложнее создавать близкие к оригиналу доменные имена, однако скопировать дизайн по-прежнему достаточно просто. Невнимательный (или пожилой) пользователь запросто попадется на такую уловку.
Не стоит использовать одни и те же пароли для всех сайтов. Таким образом, даже если личная информация из одного ресурса попадет в руки злоумышленников, они не смогут с ее помощью получить доступ к другим сайта, где есть твой личный кабинет. Чтобы не держать все в голове, мы советуем записать все пароли в блокнот и держать его дома. На крайний случай можно воспользоваться документом, сохраненным на компьютере. Но уж точно не стоит писать их в Сети, например, в Google-документах или социальных сетях.
Если на тематических форумах появилась новая якобы слитая база данных, которую предлагают скачать бесплатно, не стоит этого делать. Вполне вероятно, что таким образом ты только занесешь на свой PC какой-нибудь вирус, сидящий в загруженном файле.
Не стоит пользоваться Wi-Fi с открытым доступом. Вся информация, которая проходит через такие сети, может оказаться в руках третьих лиц.
Что еще можно сделать?
Наверное, первое, что приходит в голову, обратиться в полицию, чтобы стражи правопорядка немедленно задержали мошенников. Но реальность часто повторяет популярный мем: «Что ты мне сделаешь, я в другом городе». Зачастую хакеры находятся за границей, где их не так-то просто достать. Наказать компанию, которая допустила факт утечки, тоже будет проблематично, если речь идет о случаях, как с «Яндекс.Едой».
По российскому законодательству взыскания крайне невысоки: от 60 до 100 тысяч рублей по одному составу и от 30 до 150 — по другому.
Борис Фельдман
Директор по правовым вопросам юридического сервиса Destra Legal
А вот наказать «Гемотест» гораздо проще. Медицинская информация — это специальная категория данных. В отношении ее оператор обязан применять особые технические и организационные меры для недопущения их утечки. Гораздо выгоднее требовать компенсацию, если утечку твоих персональных данных допустила западная компания. Как правило, в Европе в подобных ситуациях налагают штраф до 20 миллионов евро.
Есть, конечно, вариант найти хакера, чтобы тот удалил твою личную информацию из Сети. Даркнет пестрит подобными объявлениями. Но мы бы не рекомендовали обращаться к такому варианту. Никто не даст тебе гарантий, что исполнитель просто не добавит тебя в черный список после получения аванса.
Источник: www.maximonline.ru
Владельцам сайтов: изменения в законе
о персональных данных
Владельцы сайтов, которые размещают на сайте формы обратной связи, используют системы аналитики, собирают номера телефонов, адреса электронной почты и другую информацию посетителей, обрабатывают персональные данные.
С 1 сентября 2022 года, а также с 1 марта 2023 вступили в силу поправки в закон № 152 «О персональных данных». Появились новые требования к Политике по обработке персональных данных и трансграничной передаче, то есть отправки персональных данных на территорию иностранного государства. Если владелец сайта не будет соблюдать эти требования, он может получить штраф. Их существует более 10 видов, а общая сумма штрафов может достигать 18 миллионов рублей.
Никита Володин
Консультант консалтинговой компании Б-152
Никита Володин, консультант компании Б-152, рассказывает, что нужно сделать владельцам сайтов, чтобы организовать сбор и обработку персональных данных и не нарушить новые требования закона.
Кого будут штрафовать?
Операторов персональных данных. Оператор собирает и обрабатывает персональные данные, например, электронные адреса для рассылки. Оператором могут быть физические и юридические лица.
Определение из закона 152-ФЗ «О персональных данных»:
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Что такое персональные данные?
Любые данные о человеке, по которым его можно опознать. Точного перечисления таких данных в законе нет, но, например, если сведения о музыкальных предпочтениях человека без дополнительной информации нам ни о чём не говорят, то электронная почта — это уже персональные данные.
Определение из закона 152-ФЗ «О персональных данных»:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Часто используемые персональные данные
Персональные данные можно получать через формы, которые заполняют посетители сайта, и автоматически, без участия пользователя. В первом случае человек сам передаёт вам свои данные, например, для оформления заказа. Чаще всего это:
- email;
- телефон;
- имя, фамилия, отчество;
- адрес;
- дата рождения;
- фотография;
- ссылка на персональный сайт и профиль в соцсетях.
- данные о местоположении человека;
- IP-адрес;
- информация о действиях на сайте;
- добавленные в корзину товары и так далее.
Я не обрабатываю персональные данные, а только собираю
Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.
Определение из закона 152-ФЗ «О персональных данных»:
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Как владельцам сайтов не нарушить закон об обработке персональных данных и избежать штрафов
Создайте политику обработки персональных данных и разместите её на отдельной странице сайта
- ссылку на сайт, к которому она применяется;
- ФИО или название организации, которая получает согласие посетителя сайта;
- цели обработки персональных данных.
- кто передаёт вам данные (категории субъектов персональных данных). Это могут быть посетители сайта, ваши сотрудники, кандидаты на вакансии;
- категории и перечень данных о пользователях, которые вы получаете;
- способы и сроки обработки и хранения данных,
- порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Воспользуйтесь бесплатным конструктором политики обработки персональных данных от Тильды. Заполните все поля, поставьте нужные галочки, скопируйте текст и разместите его на отдельной странице сайта.
Добавьте ссылку на политику обработки персональных данных в футер сайта
Политика должна быть доступна на каждой странице, где собираются данные пользователей. Удобнее всего добавить ссылку в подвал сайта: он одинаковый для всех страниц, поэтому при создании новой вы точно не забудете разместить на ней ссылку на политику.
Под каждой формой сбора данных разместите предупреждающий текст о сборе персональных данных
Под каждой формой сбора персональных данных добавьте уведомление о том, что вы собираете персональные данные пользователей. Для этого разместите рядом с кнопкой чек-бокс, где пользователь сможет поставить галочку, и текст «Даю согласие на обработку своих персональных данных». Если на сайте есть пользовательское соглашение (оферта), добавьте на него ссылку в текст. Если нет — на отдельной странице сайта разместите текст согласия на обработку персональных данных и добавить на него ссылку под форму.
- наименование или ФИО и адрес оператора, получающего согласие;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых пользователь даёт согласие;
- перечень действий с персональными данными и способы их обработки;
- если вы поручаете обработку персональных данным сторонним лицам или компаниям, укажите их адрес, наименование или ФИО;
- срок, в течение которого действует согласие, а также способ как можно его отозвать.
Пример согласия на обработку персональных данных
Обработка персональных данных пользователей без их согласия наказывается штрафом в размере от 60 до 100 тысяч рублей за первое нарушение и от 100 до 300 тысяч — за повторное (ст.13.11 КоАП РФ).
В Тильде в каждом блоке с формой сбора данных есть поле, в котором можно разместить текст о согласии на обработку данных и ссылку на соглашение и таким образом выполнить требование закона.
Источник: tilda.education
Новое о персональных данных
С 1 марта 2021 года вступили в силу изменения в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), касающиеся общедоступных персональных данных (ПД). Сейчас вместо них появились «персональные данные, разрешенные к распространению». О том, что это за данные, все ли сотрудники располагают ими, какие действия осуществлять работодателю в связи с изменениями и как составить согласие на распространение таких ПД, читайте далее.
Общедоступные персональные данные
Персональными данными по Закону № 152-ФЗ считается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
На передачу или распространение данных о ком-либо требуется согласие их субъекта, за исключением случаев, установленных законодательством (согласие не требуется при передаче ПД определенным органам и в определенных случаях).
К сведению: не требуется согласие работника на передачу персональных данных третьим лицам в целях предупреждения угрозы жизни и здоровью работника, в ФСС, ПФ РФ, налоговые органы, военные комиссариаты, прокуратуру, правоохранительные органы, ГИТ, суд (Разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).
Ранее в Законе № 152-ФЗ было такое определение: общедоступные персональные данные – это ПД, доступ неограниченному кругу лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. То есть эти данные размещались их субъектом или с его согласия в общедоступных источниках. Статья 8 Закона № 152-ФЗ относит к таким источникам справочники, адресные книги. Это также могут быть социальные сети и другие интернет-ресурсы.
К общедоступным сведениям относились фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, фото и др. Общедоступные сведения в любое время могли быть исключены из общедоступного источника по требованию субъекта ПД либо по решению суда или иных уполномоченных государственных органов.
Общедоступные данные по-новому
С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).
При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.
К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.
Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.
Сколько согласий запрашивать?
В статье 9 Закона № 152-ФЗ уже установлена обязанность работодателей запрашивать у работника согласие на обработку персональных данных. Эта статья содержит и требования к оформлению такого согласия. В частности, оно должно быть конкретным, информированным и сознательным. Работник может дать его в любой позволяющей подтвердить факт получения такого согласия форме (письменно или в виде электронного документа, подписанного электронной подписью), если иное не предусмотрено федеральным законом.
Это согласие работодатели уже давно должны были запросить у работников.
К сведению: отдельное письменное согласие оформляется на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 Закона № 152-ФЗ).
В новой ст. 10.1 Закона № 152-ФЗ прямо указано, что согласие на обработку персональных данных, разрешенных их субъектом для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его данных.
Таким образом, ранее составленные согласия на обработку персональных данных в соответствии со ст. 9 Закона № 152-ФЗ продолжают свое действие, в отношении них никаких изменений нет. А для размещения ПД работников в общем доступе работодатели должны запросить у работников отдельное согласие.
Обратите внимание: если работник сам раскроет свои личные данные, но не предоставит согласие, доказывать правомерность их распространения придется всем лицам, которые распространили эти сведения. Доказывать это понадобится и в случае, если ПД оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы.
Требования к согласию
Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.
Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).
В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.
Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.
Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.
Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.
Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.
Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.
Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.
Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:
- в течение трех рабочих дней с момента обращения;
- или в срок, указанный в постановлении суда;
- или в течение трех рабочих дней с момента вступления решения суда в законную силу.
Положения ст. 10.1 Закона № 152-ФЗ не распространяются на случаи обработки персональных данных органами власти.
К сведению: уведомлять Роскомнадзор о том, что сотрудники дали согласие распространять информацию о них, не нужно (п. 4 ч. 2 ст. 22 Закона № 152-ФЗ).
Оформление согласия
Требования к содержанию согласия на обработку персональных данных, разрешенных для распространения, разработаны Роскомнадзором, но не утверждены. Пока шаблон согласия не утвержден, приведем образец с учетом этих требований. Об изменениях будем держать вас в курсе.
Роскомнадзор отметил, что указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку данных, согласия на их обработку в соответствии с требованиями ст. 9 – 11 Закона № 152-ФЗ.
Подчеркнем, что в согласии должен быть отражен конкретный срок его действия (определенный период времени или дата окончания срока действия). При этом не допускается ни указание об автоматической пролонгации срока действия согласия, ни определение срока его действия путем установления бессрочного статуса или указания на событие, наступление которого возможно в долгосрочной перспективе.
Итак, если вы размещаете информацию о работниках в открытом доступе и еще не получили от них согласие, срочно его запросите. Ведь требования к защите персональных данных становятся жестче, поправки в ст. 13.11 «Нарушение законодательства РФ в области персональных данных» КоАП РФ вступят в силу 27 марта 2021 года (Федеральный закон от 24.02.2021 № 19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»).
Так, обработка персональных данных без письменного согласия повлечет за собой уже двойные штрафы:
- 6 000 – 10 000 руб. для граждан;
- 20 000 – 40 000 руб. для должностных лиц;
- 30 000 – 150 000 руб. для организаций.
Если нарушение повторится, штраф составит:
- 10 000 – 20 000 руб. для граждан;
- 40 000 – 100 000 руб. для должностных лиц;
- 300 000 – 500 000 руб. для организаций.
Источник: www.audit-it.ru