Право на инкогнито: как защитить свои персональные данные
По данным аналитического центра Infowatch, за первое полугодие 2017 года количество зафиксированных утечек персональных данных выросло на 10%. В Новосибирске за последнее время в судебных процессах об утечке персональных данных фигурировали сотрудники МТС, «Вымпелкома», «Хоум кредит энд Финанс Банка», а также сотрудники ГИБДД.
Согласно Закону № 152-ФЗ «О персональных данных», персональные данные — любая информация, относящаяся к физическому лицу. Но ни там, ни в других законах нет исчерпывающего перечня характеристик, подпадающих под это понятие.
Важная примета персональных данных — точная идентификация. Персональными данными может считаться любая субъективная информация, способная идентифицировать человека — от его роста и веса до номера мобильного телефона. Совокупной информации должно быть достаточно, чтобы теоретически по ней можно было определить конкретного человека. Особый случай — телефонные номера. Суды не пришли к общему мнению, является ли эта информация типом персональных данных, но пару лет назад телефонный номер все же стал причисляться к ним.
Куда и зачем текут данные
Самая распространенная цель «слива» данных — коммерческая реклама, в том числе таргетированная и целевая. Споры с операторами начинаются с того, что на номер, почтовый адрес, электронную почту приходит большое количество рекламы или спама, звонков с предложениями услуг, кредитов. Помимо моральных неприятностей субъекту нарушенных прав может быть нанесен и ущерб реальный: следствием кражи персональных данных может стать шантаж или использование данных для мошенничества с банковскими картами.
Воруют не только данные карт, номера телефонов и паспортов. Крадут и фото со страниц в соцсетях с целью использования в фейковых аккаунтах, рекламе, часто в подобную ситуацию попадают популярные персоны, которые якобы похудели или вылечились. Распространение изображений человека без его согласия (кроме случаев, предусмотренных в законе) является нарушением права на защиту персональных данных (статья 152.1 ГК РФ).
Незаконная публикация фото может иметь не только коммерческие цели. Существует небезызвестный сайт, который использует фото, сделанные на общественных акциях (например, митингах) и идентифицирует каждого гражданина, выделяя его отдельно, приписывая имя и фамилию, и делясь ссылкой на его профиль. Законность такого метода прокомментировала юрист по частным гражданским спорам Дарья Черникова:
«Публиковать фотографии с митингов сайт имеет полное право — они сделаны в общественных местах, во время общественных акций, на них запечатлено большая группа людей. Однако дальнейшие действия, то есть, вырезание на фотографиях конкретного человека и публикация его имени, фамилии, ссылки на профиль в соцсетях — незаконны. Во-первых, в вырезанных фотографиях человек становится основным объектом использования, во-вторых, он персонифицируется, что является грубым нарушением права на защиту персональных данных. Здесь можно говорить и про моральный ущерб: публикация производится в негативном свете и может негативно настроить против пострадавшего некий круг лиц».
Кто и зачем ворует
По данным аналитического центра Infowatch, доля утечек данных с неправомерным доступом к информации, включая злоупотребление правами доступа и внутренний шпионаж, составила менее 8% от общего числа случаев. Неквалифицированные утечки, которые не связаны с превышением прав доступа и использованием данных в целях мошенничества, были зафиксированы в 84% случаев. Более чем в половине случаев виновными оказывается персонал компании.
«С начала 2017 года мы фиксируем в мире многократный рост объема скомпрометированных данных, увеличение «мощности» утечек, от которых страдает все больше чувствительной информации, — комментирует результаты исследования аналитик ГК InfoWatch Сергей Хайрук. — Коммерческие и государственные сервисы обрабатывают все больше данных в электронном виде, и такие данные крайне ликвидны. Сектор высоких технологий очень сильно подвержен утечкам информации, как и финансово-кредитная сфера. Эти отрасли вызывают наибольший интерес со стороны злоумышленников — в них большая часть данных была скомпрометирована умышленно»
Что грозит
На практике ситуация с нарушением закона о персональных данных обрастает массой нюансов. Человек не узнает о том, что его данные «ушли» до тех пор, пока этим не воспользуется третье лицо, несмотря на обязанность оператора сообщать об утечках. Скажем, украдена база в 300 единиц, «всплыли» с кредитами пятеро, остальные 295 остались не осведомленными, что их данные «утекли».
Вторая проблема — возможность законного «слива». Когда клиент дает согласие на обработку своих данных в договоре может быть указано «согласие на передачу своих персональных данных третьим лицам». Таким образом, поставив подпись, вы соглашаетесь с возможной передачей (продажей) информации о вас неизвестным третьим лицам.
«Торговля базами данных физических лиц в России не регламентирована, кроме необходимости выполнить требования закона о персональных данных, — говорит управляющий юридической компании «Ветров и партнеры» Виталий Ветров. — Исключить ситуации утечки, в том числе в результате неправомерных действий третьих лиц в отношении того же оператора нельзя»
Незаконная обработка и распространение персональных данных может привести к гражданской и административной ответственности. По словам Управляющей ЮК «Туров и Побойкина — Сибирь» Натальи Побойкиной, иск при утечке необходимо направлять именно оператору данных, который обязан обрабатывать эти данные в соответствии с Законом 152-ФЗ: «Если компания проиграет иск, то она может в порядке регресса переложить ответственность на работника, — говорит Побойкина. — За разглашение данных оператор несёт гражданскую ответственность, а если будет предъявлен соответствующий иск, то и административную — штраф до 10 000 рублей».
Если неправомерное разглашение было совершено конкретным лицом, то и жалобу необходимо составлять на его имя. «В этом вопросе часто есть сложности с поиском ответчика: те, кто звонит по краденым базам данных или использует на своем сайте чужие фото, обычно старательно скрывает название компании и имя»
Не выгоды ради, но из принципа
Суды часто встают на сторону граждан, чье право на защиту персональных данных было нарушено. Отказы мотивируются тем, что истец не смог доказать факт распространения данных, или объем данных не соответствует понятию «персональные».
Суд оценивает моральный ущерб от нарушений права на защиту персональных данных невысоко. «Если последствия утечки данных серьезные, то взыскиваемая сумма может быть от 100 тыс руб и более, при менее сложных ситуациях это очень и очень маловероятно», — комментирует Ветров. Пока защита интересов в суде несет скорее принципиальный характер.
Лайфхак по защите персональных данных
— Обратитесь напрямую к нарушителю, напишите письменное требование удалить, уничтожить, прекратить использование ваших ПД. Данный шаг подходит к частному лицу. — Напишите жалобу: при рассылке незаконной рекламы — в ФАС, при публикации на Интернет-ресурсе — в администрацию сайта или в Федеральную службу по надзору в сфере связи, в частном случае (для дисциплинарной ответственности) — в прокуратуру. — Если ничего из вышеперечисленного не помогает, обратитесь в суд с требованиями, указанными в пункте 2 и просите возмещения морального вреда. Сумма при этом будет невелика, а административные штрафы для операторов не идут в карман потерпевших.