Если ваши личные данные украли…

Чем грозит пропажа конфиденциальной информации?

Одно из последствий утечки персональных данных — кража цифровой личности. Например, у человека похитили телефон. С его помощью мошенники получили доступ к Госуслугам, изменили номер мобильника, получили кредиты (микрозаймы), даже разместили новый паспорт с фотографией другого человека. Фактически потерпевший утратил полностью контроль не только за цифровой личностью, но и за реальной. Ведь злоумышленник может по его паспорту совершить любое преступление.

Похожий кейс есть в практике Legal to Business. У доверителя был украден телефон. Он принял меры к блокировке привязок и аккаунтов, уведомил банк. Однако мошенникам удалось ответить на контрольные вопросы, убедить банк перепривязать телефон к личному кабинету и похитить деньги. Произошла кража цифровой личности, при этом ни на одном из этапов совершения действий мошенников никто не остановил — ни банк, ни Госуслуги. А вот финансовые обязательства перед кредитором несет сам потерпевший, по крайней мере, до тех пор, пока не найдут мошенников.

В США в 2020 году 47% американцев стали жертвой «кражи личности». В 2019 году таким путем было похищено 502 млрд. долларов. В 2020 – уже 712 млрд. долларов. Наибольшее количество компрометаций в 2020 году происходило через сектор здравоохранения. В связи с этим в США создан единый государственный онлайн стоп-ресурс www.identitytheft.gov. Сайт содержит информацию профилактического характера (образцы писем и обращений, и т.д.) и дает возможность уведомить о состоявшейся краже личности, чтобы предотвратить проблемы от действий мошенника.

В штате Флорида (США) Джин Флуридор и Хасан Браун похитили данные 700 бизнесменов и на их основе создали 700 синтетических личностей с тем же социальным номером, но с новыми данными о физическом лице. Были заведены банковские счета. Каждая из синтетических личностей «открыла» свою компанию. Выявить связь следствие смогло только через почтовые адреса — все фирмы регистрировались по адресам Флуридора и Брауна. Некоторые адреса принадлежали заключенным, отбывавшим срок. Предметом хищения в основном были выплаты от государства бизнесменам, пострадавшим от локдауна — около 3 миллионов долларов.

Почему становится возможной кража данных?

Специалисты называют несколько причин:

• использование несложных паролей
• использование одних и тех же паролей в разных аккаунтах
• использование функции «запомнить пароль» на различных устройствах
• фишинг в разных видах, в том числе через фиктивные сайты Госуслуг
• отсутствие фактора двойной аутентификации (подтверждение через СМС, например).

Юридические рекомендации по защите личных персональных данных

Для получения и обработки данных необходимо согласие их владельца. Поэтому перед предоставлением информации (особенно фотографий, паспортных данных) важно убедиться, что вы передаете ее известным и надежным лицам. Если вы взаимодействуете с государственными или муниципальными органами, юридическими  лицами, то целесообразно проверить, включены ли они в Реестр операторов, осуществляющих обработку персональных данных.

Кроме того, требуется внимательность, бдительность, использование только надежных каналов связи (официальных сайтов и телефонов), изучение текста согласия на обработку персональных данных, предъявление требований об их удалении после совершения операций и т.д.

Действия при утечке конфиденциальной информации

С технической стороны в случае утечки конфиденциальной информации как в компании, так и физическим лицам необходимо предпринять все меры по восстановлению безопасности: смена паролей, анализ причин утечки, поиск вирусов и т.д. При ведении предпринимательской деятельности рекомендую регулярно менять пароли (желательно применять систему сложных паролей), использовать лицензированное программное обеспечение, осуществлять резервное копирование и проводить аудит ИТ-безопасности своими силами или с помощью специалистов. 

Одним из действенных способов защиты станет обращение в Роскомнадзор. При нарушении норм законодательства, относящихся к охране персданных, в заявлении целесообразно указать конкретные перечни данных и адреса сайтов, где они обнаружены. В качестве доказательств приложите скриншоты, нотариальные протоколы осмотра интернет-страниц.

Помимо этого, соответствующее требование об удалении информации следует направить администратору сайта, на котором расположены персональные данные. Неисполнение этого требования влечет блокировку сайта и штраф.

Разбор ситуаций и алгоритм действий

Кейс 1:

Гражданину стало известно, что у него имеется задолженность перед микрофинансовой организацией (далее — «МФО»). Но он никогда не заключал договоров с этой МФО.

Кто виноват?

Данные гражданина использованы незаконно. Человек не должен исполнять обязательство, на которые он не давал согласия.

Что делать?

Обратиться в суд с требованием о признании договора о предоставлении займа незаключенным, так как субъект персональных данных не выражал свою волю при заключении договора. Также следует запросить в МФО информацию о том, из какого источника она получила персональные данные. После этого необходимо предъявить требование о прекращении их обработки. 

Кейс 2:

Гражданин разместил свою фамилию и имя, адрес, номер телефона на своей странице в социальной сети. После этого ему стало известно о том, что эта информация опубликована третьим лицом в справочнике.

Кто виноват?

Персональные данные гражданина использованы незаконно. Публикуя их, человек не выражает согласия на использование неограниченному кругу лиц.

Что делать?

Следует обратиться к тому, кто опубликовал информацию в справочнике, с требованием исключить сведения. Если в добровольном порядке это сделано не будет, то необходимо обратиться с соответствующими требованиями в суд. 

Кейс 3:

Человек заключил договор на оказание услуг и сообщил информацию о себе коммерческой организации. Впоследствии она передала сведения иным лицам, которые звонят гражданину с различными предложениями.

Кто виноват?

Персональные данные гражданина использованы незаконно. Если человек не подписывал отдельное согласие на обработку персональных данных, организация не вправе каким-либо образом их использовать , а уж тем более передавать их третьим лицам.

Что делать?

Необходимо обратиться как в компанию, с которой заключен договор, так и к организации, осуществляющей звонки, с требованием о прекращении использования персональных данных. 

Кейс 4:

После фотосессии гражданин обнаружил свою фотографию на рекламном баннере. Согласия на это он не давал, с представителями рекламируемой организации не общался.

Кто виноват?

Фотограф или иное лицо, в распоряжении которого оказались снимки, незаконно передали их для дальнейшего использования. В данном случае изображение человека не может использоваться без его согласия.

Что делать?

Следует обратиться в организацию, в рекламной деятельности которой была использована фотография и выяснить, откуда она у них. Затем необходимо потребовать прекратить использовать изображение , а также уничтожить материальные носители с этой фотографией. Если информация была передана фотографом или иным лицом, им направляется требование о прекращении обработки персональных данных и использования изображения. Возможен вариант, когда изображение было получено с фотосайта, который предоставляет контент свободно, для всех желающих. В этом случае следует обратиться к правообладателю сайта с требованием удалить фотографии. 

Кейс 5:

Страницу в социальных сетях взломал мошенник и украл сведения о работе, личной жизни, личные фотографии, которые он грозится опубликовать в интернете, если ему не будет выплачена крупная сумма.

Кто виноват?

Мошенник незаконным образом завладел персональными данными гражданина. Он не вправе осуществлять их обработку. Потерпевший не должен выплачивать деньги.

Что делать?

Человек вправе обратиться в органы полиции с заявлением, в котором следует подробно описать обстоятельства, связанные с вымогательством под угрозой распространения порочащих сведений. Также можно заявить в суд требование о прекращении использования персональных данных третьим лицом.

Соблюдая все рекомендации, внимательно относясь к подписанию соглашений об обработке персональных данных, используя (и регулярно их меняя) сложные пароли, проводя аудит ИТ-безопасности, вы повысите уровень своей безопасности и снизите риски утечки конфиденциальной информации.

Источник изображения: pixabay.com