По секрету всему свету: как защититься от утечки персональных данных

Утечка персональных данных в последнее время стала массовой проблемой. Сначала SMS-сообщения, затем информация об интимных покупках в интернете, приобретенных билетах РЖД, документы ФАС и ФМС…

Дмитрий Медведев подписал поправки в закон «О персональных данных& raquo;. Ответственности за утечку у организаций стало больше, а простые люди по-прежнему чувствуют себя незащищенными. Сайт Extra-M.ru выяснил, как отстоять свои права пострадавшим.

Обязанности операторов персональных данных

Ответственность организаций за несоблюдение защиты личной информации россиян ужесточили. В первую очередь, будут пристально следить за данными, которые используют поликлиники и медицинские центры, операторы мобильной связи, банки, страховые компании, пенсионные и инвестиционные фонды, отели и гостиницы, туристические агентства.

Для защиты информации операторы должны использовать сертифицированные приборы и программы (системы ограничения доступа, криптографическую и антивирусную защиту, программы по отслеживанию несанкционированных вторжений). Одобрить эти технические средства должны Федеральная служба безопасности (ФСБ) и Федеральная служба по техническому и экспортному контролю (ФСТЭК). Данные структуры будут следить за выполнением новых требований, классифицируют уровни защиты информации и установят требования к защите.

«Согласно перечню мер безопасности при обработке и передаче персональных данных, операторы должны обнаруживать факты несанкционированного доступа к данным и принимать соответствующие меры, а также восстанавливать данные в случае их модификации или уничтожения из-за несанкционированного доступа», — рассказывает юрисконсульт адвокатского кабинета «ПравовестЪ» Игорь Алешин.

За нарушения правил операторам грозят не только административные штрафы, но и лишение лицензии.

Права граждан

«Галочка» на сайте оператора под пунктом «согласен на использование персональных данных» будет считаться юридическим основанием для судов. Только в государственных ведомствах свое согласие придется подтвердить в письменной форме или заверенным электронно-цифровой подписью заявлением.

«Перед тем как согласиться на обработку своих персональных данных, надо понять, как оператор будет защищать эту информацию. Внимательно читайте текст согласия на обработку персональных данных, — советует юрист информационно-аналитического отдела компании „ИнфоТехноПроект“ Алексей Мунтян. — Там должно быть четко прописано, что будет делать оператор: при каких условиях, с какой целью, в какой период времени, какие действия будет производить с данными, куда и кому они будут передаваться и т. д.

Важно обратить внимание на передачу информации третьим лицам. Банки, например, часто грешат тем, что отдают информацию о клиентах коллекторским агентствам.

Ваш номер телефона, электронная почта и адрес могут быть использованы различными компаниями для продвижения собственных товаров и услуг. Соглашаясь на это, вы должны быть готовы получать множество информационных и рекламных сообщений. Но даже если вы дали согласие на обработку своих персональных данных, у вас есть право его отозвать. При этом обязанность компании (например, мобильного оператора) — данные уничтожить». Любой гражданин может потребовать удалить свою личную информацию из базы коммерческого оператора. Если по техническим причинам сделать этого невозможно, информация должна быть заблокирована. На это оператору отводится семь дней.

В законе появилось понятие «биометрические персональные данные» (индивидуальные рисунки на пальцах рук и сетчатке глаза). Служит эта информация для установления личности. Хранить и использовать такие данные могут только государственные службы и с письменного согласия гражданина. Конечно, если вас подозревают в нарушении закона, никакого согласия не понадобится.

Что делать пострадавшим

«Каждый из нас когда-либо совершал покупки через Интернет. Но большинство никогда не задумывалось, кто и как будет использовать наши личные данные. И только в случае обнаружения информации в открытом доступе, мы понимаем, что оператор допустил утечку и не выполнил возложенные на него статьей 7 Федерального закона № 152-ФЗ „О персональных данных“ обязательств по обеспечению конфиденциальности информации», — поясняет Мунтян.

Если ваши данные «утекли», можно предпринять несколько шагов.

1. Обратиться к оператору за разъяснениями (лучше письменно) и потребовать устранить допущенные нарушения.

2. Обратиться в суд с требованием защитить нарушенное право на конфиденциальность персональных данных и компенсировать нанесенный оператором моральный вред.

3. Обратиться в органы государственной власти, осуществляющие контроль и надзор в этой области, в нашем случае это Роскомнадзор, или в органы прокуратуры.

Роскомнадзор проведет предварительную проверку изложенных в обращении фактов и внеплановую проверку данного оператора персональных данных. В случае выявления по итогам проверки нарушений, виновные организация и должностные лица понесут административную, дисциплинарную, а также уголовную ответственность за нарушение неприкосновенности частной жизни — статья 137 УК РФ.

«На практике россияне не могут чувствовать себя полностью защищенными. Во-первых, очень низка правовая культура населения, даже если человек знает, что его права ущемлены, вряд ли он начнет разбирательство. Во-вторых, суммы административных штрафов, которые операторы должны выплатить, — незначительные. Измеряются они всего несколькими тысячами рублей. Для операторов это капля в море. В то же время за рубежом размер подобных взысканий может составлять десятки и сотни тысяч долларов или евро», — поясняет Мунтян.

Размер взыскания может не соответствовать нанесенному моральному вреду, как, например, в ситуации с утечкой данных покупателей интимных товаров. Когда такая информация становится доступна родственникам и коллегам, нервный стресс неминуем. Но доказать, что проблемы со здоровьем стали последствием утечки данных, довольно сложно. Соответственно, и получить равную ущербу компенсацию — тоже.