Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать
В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.
Что такое персональные данные и что к ним относят
Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить. Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).
К персональным данным, согласно данному закону, относят:
Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является. Адрес электронной почты в формате petrov_sergey_1987@mail.ru — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.
Также существует классификация персональных данных. Их подразделяют на:
Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г. № 1119.
Немного подробнее по каждой категории.
Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.
Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,
Биометрические — информация о физиологических и биологических особенностях человека. Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.
Но здесь тоже важна определенная привязка к личности. Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.
К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров. Это электронная почта или геолокация,
информация о принадлежности к определенной социальной группе,
Обработка персональных данных
Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.
Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:
В свою очередь, обработка может осуществляться тремя путями:
После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).
Что будет, если нарушить законодательство о персональных данных
Следит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.
Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.
Что делать, чтобы не попасть под штрафы
Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ. Краткий чек-лист:
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Источник
Как защитить личные данные в телефоне и почему это важно?
Не теряй бдительность.
В обычной жизни мы редко задумываемся о безопасности, в особенности, когда речь идет о наших гаджетах. Максимум — следим, чтобы их не украли. Но чем умнее становятся наши смартфоны, тем больше новых уязвимостей у них появляется. Так, мы уже писали о лаге в телефонах от Samsung, который появился после обновления, но слив персональной информации может грозить владельцам любых устройств. К сожалению, новости о крупных утечках личных данных сейчас не редкость. Если ты не хочешь попасть впросак, тебе надо соблюдать несложные инструкции по безопасности.
Какие данные могут получить преступники?
Если ты не копалась в настройках, то твой телефон выполняет запрограммированные функции, а значит, владеет по умолчанию данными о твоей геопозиции и определенным набором файлов, который ты хранишь в галереях или получаешь от друзей в мессенджерах.
Еще телефон может подслушивать твой разговор и передавать сведения о нем даже без установленного хакерами жучка.
Делается это очень просто: когда ты впервые загружаешь приложение, которое просит предоставить доступ к микрофону, тебе нужно ответить: разрешаешь ли ты использовать его или нет. Конечно же, чтобы приложение работало по полной, тебе приходится давать свое согласие. Вот тут-то и может начинаться прослушка.
А почему это так важно?
Потому что любые твои данные могут использовать против тебя. Например, тебя могут подставить или начать шантажировать из-за твоих фотографий и переписок. Твои разговоры могут записать с этой же целью. Мы не говорим уже о данных твоих банковских счетов и том, как важно защищать их. Но мы надеемся, что ты и так понимаешь: безопасность частной жизни — это действительно важно.
Теперь придется отказаться от аудиосообщений и звонков?
Так что паранойя здесь ни к чему, хотя задуматься о самом факте существования таких ботов определенно стоит.
А что с геометками?
Так как все звонки идут через оператора связи, ничто не мешает ему отследить твое местоположение. Вспомни о геотегах, которые ты указываешь в инстаграме. В теории по твоим постам в соцсетях можно легко понять, где ты находишься. Вряд ли кому- нибудь понадобится так дотошно выискивать тебя, но если ты находишься под угрозой сталкинга, то тебе надо иметь это в виду. А еще твои геоданные могут получать некоторые приложения, которым ты это разрешила во время установки — к счастью, ты всегда можешь зайти в настройки и отменить передачу геопозиции.
Как понять, что приложение безопасно?
На первый взгляд это может быть трудно сделать. Мошенники знают, что хороший дизайн и визуал могут придать чему угодно вид надежного источника. Конечно, если программа вынуждает разрешить доступ к твоим смс-сообщениям или настройкам, это подозрительно, и ее надо удалить.
Но бывает и так, что приложения используют уязвимость в операционной системе без предварительного соглашения.
Тогда ты заметишь неладное, только когда что-то действительно произойдет — например, пропадут деньги с карточки. Поэтому всегда устанавливай программы из официальных маркетов Google Play, Яндекс.Store и App Store — так надежнее. Обязательно читай отзывы и смотри, нет ли у этого разработчика подозрительных приложений с названиями «экономия заряда батареи» или «wifi везде». И всегда проверяй, разрешение на какие действия просит приложение.
Источник
Что такое личные данные и почему все боятся их потерять?
Данные могут использоваться для совершения покупок или получения доступа к информации, которую можно использовать против жертвы. Поэтому их следует тщательно оберегать от случайного попадания в чужие руки – и, тем более, от намеренной кражи. Но сначала стоит познакомиться с тем, что понимается под термином «персональные данные».
Что такое личная информация или личные данные
Личными или персональными данными человека называют информацию, которая относится к конкретному физическому лицу и позволяет его идентифицировать. К ней относятся:
паспортные данные: в первую очередь, ФИО, дата рождения, семейное положение;
социальное и имущественное положение;
информация о банковской карте, включая номер, PIN-код и CVV2/CVC2-коды.
Городской телефонный номер тоже относится к личным данным. Мобильный – только в том случае, если он зарегистрирован на определенного человека. Впрочем, в России большинство SIM-карт оформлены с использованием паспортных данных, поэтому мобильный номер – такая же конфиденциальная информация. А вот электронная почта к этому виду данных не относятся.
Паспортные данные
Не все данные из паспорта получится использовать в преступных целях. Например, зная адрес фактического проживания или прописку, можно разве что рассылать рекламу с помощью обычной почты.
Но есть такие паспортные данные, кража которых приводит к серьезным проблемам:
фамилия, имя и отчество владельца;
дата рождения (число, месяц, год);
серия и номер паспорта;
идентификационный номер налогоплательщика, который в российском паспорте указывается на 18-й странице (по желанию владельца).
Использовать паспортные данные без самого документа или хотя бы его ксерокопии достаточно трудно. Например, при оформлении кредита сотрудники банка обычно требуют копию, подпись клиента, а чаще всего – личное присутствие человека. Потому злоумышленники предпочитают красть не комбинацию символов, а отсканированные и хранящиеся на компьютере копии. При наличии такой информации ее можно распечатать и с помощью сообщника в банке все-таки оформить кредит. Конечно, для этого понадобится еще и подпись – но подделать ее обычно не так сложно, как украсть сканы паспорта.
С другой стороны, микрофинансовые организации могут выдавать кредиты без отсканированной копии. Достаточно только паспортных данных, которые получить намного проще. Например, при регистрации в онлайн-казино или на сайте пункта обмена валют, где просят указать настоящие ФИО, серию и номер паспорта. Или даже в той МФО, где владелец паспорта уже однажды брал кредит.
Паспортные данные без самого паспорта можно попробовать использовать в различных преступных схемах. В том числе для регистрации фирмы-однодневки, с помощью которой будут проводиться незаконные операции. И даже для того, чтобы зарегистрировать фальшивый профиль в платной онлайн-игре, букмекерской конторе или на финансовой бирже.
В большинстве случаев для этого достаточно не отсканированной копии, а просто информации из паспорта. Если же скана нет, но без него не обойтись, мошенники могут использовать «отрисовки» – цифровые копии, не слишком похожие на оригинал, но все равно подходящие для незаконных финансовых махинаций.
Телефонный номер
Самый простой способ использовать телефонный номер – отправлять на него рекламу (спам). Это не приносит особого дохода спамерам, но и не требует от них практически никаких серьезных действий. Свои телефоны люди указывают при регистрации на сайтах, при покупке товаров и даже отвечая на рассылку по электронной почте. Практически единственный ущерб от таких СМС – раздражение, появляющееся у человека, который ждет какое-то важное сообщение, а не рекламу. Недавно мы рассказывали, как избежать нежеланных звонков и писем от мошенников – обязательно загляните в этот материал.
Один из самых популярных способов украсть деньги с банковской карты – завладеть сначала телефонным номером, а затем использовать его для доступа к счету. Для этого придется сначала заблокировать SIM-карту пользователя, быстро перевыпустить новую и использовать ее для вывода средств. Или для их перевода на другую, временную карту – в любом случае, украденные деньги вернуть не получится. Чтобы заблокировать и «восстановить» симку, достаточно связаться с оператором, сообщить об утере смартфона или самой карты и ответить на 3 вопроса: последние номера, на которые звонили с этой SIM-карты или с которых совершались вызовы; последнее пополнение счета (приблизительное время и сумма); сумма на счету телефона.
Популярная схема: мошенники звонят абоненту с неизвестных номеров или отправляют СМС, вынуждая его перезвонить. Эти телефоны указываются при заказе услуги восстановления. А еще злоумышленник может отправить на телефонный номер небольшую сумму, сообщив ее при обращении к мобильному оператору. А с учетом того, что большинство людей пополняет счет не чаще 1 раза в месяц для внесения абонентской платы, узнать, сколько денег на нем лежит, совсем не сложно.
Получив доступ к телефонному номеру, можно использовать эти данные не только для снятия денег с карты. Иногда информацию применяют для доступа к другим важным сведениям и ресурсам – электронным почтовым ящикам, аккаунтам в соцсетях и даже целым сайтам. Это может стать поводом, например, для шантажа. Чтобы получить доступ к своим же профилям, почте или панели администратора пользователю предлагают заплатить – сумма зависит от ценности информации и наглости злоумышленников. В таком случае мы советуем обратиться в полицию, предоставив доказательства шантажа.
Номера и пароли банковских карт
Украсть номера, PIN-коды и даже CVV2/CVC2-коды банковской карты злоумышленники могут разными способами:
Позвонить владельцу карты, представившись сотрудником банка, и попросить сообщить все номера и пароли. И хотя представители самих финансовых организаций регулярно предупреждают клиентов, что их сотрудники не могут требовать конфиденциальную информацию, этот способ – самый популярный и действенный при краже персональных данных.
Установить на банкомате специальный прибор – скиммер. Он выглядит как накладка или картоприемник, иногда – как небольшая и незаметная видеокамера. Иногда скиммер позволяет даже полностью скопировать платежное средство – точнее, его магнитную полосу. Если это камера – с помощью скимминга считываетсяPIN-код и другая информация с карты.
Получить информацию при совершении электронного платежа. Иногда данные сохраняет браузер. А еще сам пользователь может указать их при попытке получения доступа к какой-либо информации. Например, к бесплатному просмотру фильма или акционному предложению (естественно, не настоящему, а созданному для сбора личных данных).
Просто украсть карту – для оплаты бесконтактными карточками на сумму до 1000 рублей даже не обязательно знать пин-код.
При наличии телефонного номера и всей информации о карте (номер, срок действия и коды) можно легко провести большинство интернет-платежей. При полном копировании платежного средства скиммером мошенник получает те же возможности, что и владелец. Некоторые операции могут проводиться при наличии только информации с лицевой стороны. Даже без пароля, зная лишь номер, имя владельца и срок действия карты, можно совершить покупку, например, на сайте Amazon.
Как избежать потери личных данных
Чтобы сохранить личную информацию и не стать жертвой мошенников, стоит придерживаться следующих рекомендаций:
Не хранить на компьютере или смартфоне отсканированные изображения страниц паспорта. Впрочем, точно так же не стоит держать в электронном виде сканы любых документов, которые могут попасть к злоумышленникам. Не пересылать конфиденциальные сведения по электронной почте, через мессенджеры или с помощью социальных сетей. Если все же необходимо отправить кому-либо свои документы, удаляйте все фото из переписки после того, как получатель их сохранит.
Не оставлять свой номер, привязанный к банковским картам, на сайтах объявлений. Не использовать его и при регистрации на ресурсах, которые не внушают доверия – хотя на этих сайтах лучше не регистрироваться вообще. Для таких ситуаций стоит завести отдельную симку.
Не перезванивать на незнакомые номера. Если без этого обойтись не получилось и появились подозрения по поводу того, что телефонный номер могут украсть (звонки, пополнение счета) – сразу предпринять все необходимые действия для предотвращения кражи. В первую очередь, перезвонить кому-то знакомому и пополнить номер на любую небольшую сумму.
Для защиты от скимминга следует тщательно осматривать банкомат перед использованием. Ни на клавиатуре, ни рядом с аппаратом не должно быть никаких подозрительных предметов, камер или накладок. Лучший вариант – банкомат внутри отделения банка или торгового центра. А при появлении подозрений о том, что карту скопировали или данные попали в чужие руки, ее необходимо заблокировать и перевыпустить.
Источник
Подробно о том, является ли номер телефона персональными данными
Все мы пользуемся гаджетами и смартфонами, обмениваемся телефонными номерами и не всегда задумываемся о их значении.
Являются ли телефонные номера нашими персональными данными? Может ли посторонний человек или фирма обрабатывать их по своему усмотрению: отправлять нам СМС-рассылки с навязчивой рекламой и беспокоить звонками? Ответы на эти вопросы читайте далее.
Сведения из закона
Согласно Федеральному закону № 152-ФЗ “О персональных данных” от 27.06.2006 г. (далее упоминается как Закон), лица, указанные в статье 7:
“Третьи лица или органы получившие доступ к персональным сведениям, обязаны соблюдать конфиденциальность во время их обработки. Запрещается распространение и использование в личных целях любых персональных данных без личного согласия на то субъекта персональной информации”.
Персональные данные — это любые сведения, которые прямо или косвенно относятся к конкретному или определяемому на основе предоставленной информации физическому лицу. Сюда относят:
Подробнее о том, какая информация относится к ПД, читайте тут, а в этом материале приведены примеры персональных данных.
Что это такое – личная информация на мобильном?
В телефоне могут хранится ваши личные данные:
Ко всем примерам требуется привязка номера телефона. В телефоне также хранятся контакты других абонентов:
И хотя по одним только цифрам идентифицировать личность кажется невозможным, стоит добавить другие сведения и ситуация меняется.
Относится ли сотовый к сведениям о гражданине или нет?
Абонентский номер (номер телефона) ㅡ это сочетание цифровых знаков, который определяется клиенту мобильной связи во время заключения с ним договора о предоставлении услуг сотовой связи. Набор цифрового кода обеспечивает возможность выделить и идентифицировать устройство в сети связи для соединения с абонентом.
Таким образом код состоящий из цифр не может быть достаточной информацией, чтобы иметь возможность обозначить и идентифицировать абонента (субъекта персональных данных). Использование номера не может быть расценено как обработка ПД его конечного пользователя.
Стоит разделять просто номер телефона и номер телефона в дополнении с другими сведениями владельца. В сочетании с фамилией, именем и отчеством, по которым можно определить пользователя, ситуация несколько меняется. Хранение и использование контактов с ФИО абонента будет считаться как обработка ПД человека.
Правомерно ли использовать для рассылки?
В Законе №126-ФЗ “О связи” от 7 июля 2003 года, в статье 44.1 (изменения которого вступили в силу 21 октября 2014 года), говорится, что на номер, по которому можно определить личность пользователя при наличии доп. сведений, требуется согласие на обработку и рассылку рекламной информации.
Осуществление операций с мобильными номерами в рекламных целях или во время опроса жителей является безличным набором цифр и не может быть определителем субъекта ПД, если осуществляется без указания:
Так как, сохраняется полная анонимность при проведении данной процедуры ㅡ это не считается обработкой личной информации конкретного субъекта ПД.
Бизнес по СМС-рассылкам основывается на трех главных законах:
По Закону есть дополнительные ограничения на использование личной информации во время продвижения услуг и товаров посредством телефонных звонков и СМС-рассылок. Наличие базы контактов и адресов почты разрешается с согласия клиентов.
Субъект ПД может в любой момент отозвать соглашение, и оператор по обработке контактов должен удалить все данные. Вопросы возникающие касательно входящих звонков/сообщений рекламного характера (предоставления услуг), входит в полномочия органа Федеральной Антимонопольной Службы (ФАС).
Список требований на согласие о получении СМС-сообщений:
Заключение
Сам по себе телефонный номер ㅡ это комбинация цифр, при наличии которого невозможно определить пользователя. Значит, просто номер не является ПД человека.
Источник
Является ли номер телефона персональными данными?
Согласно GDPR, а также Конвенции 108+, персональными данными является любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу. Продолжаем цикл материалов на тему «А это точно персональные данные?». В прошлый раз мы рассказали о том, являются ли имя и фамилия персональными данными, а сегодня рассмотрим, относится ли номер телефона к этой категории.
*Под полным идентификатором мы понимаем информацию, однозначно идентифицирующую субъекта; под частичным идентификатором – сведения, которые при использовании совместно с другими сведениями, также позволяют идентифицировать субъекта; а под дополнительной информацией – сведения, которые относятся к уже идентифицированному субъекту.
Номер телефона как персональные данные
Согласно определению, информация, которая является лишь одним из шагов в идентификации человека, должна защищаться в такой же степени, как и информация, прямо ведущая к установлению личности. Несмотря на то, что сам по себе номер телефона не говорит нам ничего о личности владельца (например, не позволяет определить, принадлежит ли он мужчине или женщине, не говоря уж об определении имени и фамилии человека), дальнейшее использование такой информации в сочетании с дополнительными сведениями помогает идентифицировать человека. Очевидно, что особых затрат для соединения необходимых фрагментов информации с номером телефона не требуется. Вычислить владельца мобильного номера весьма просто: он может находиться даже в нескольких базах данных, доступных злоумышленнику, для которого идентификация лица будет иметь выгоду. Следовательно, номер телефона относится к персональным данным.
Кроме того, согласно GDPR, номер телефона относится к уникальным идентификаторам и упоминается в качестве такового во «Мнении о концепции персональных данных», изданном европейским надзорным органом (Article 29 Data Protection Working Party Opinion 4/2007 on the concept of personal data). Таким образом, номер телефона является персональными данными ввиду того, что позволяет косвенно идентифицировать личность, а также является самостоятельным идентификатором по смыслу GDPR (всякий идентификатор является персональными данными по умолчанию).
А если нам достался неполный номер телефона, например, номер телефона без кода оператора или без кода города (если это стационарный телефон)? Ответ на вопрос: «А будет ли этот номер телефона персональными данными?» — зависит от конкретных обстоятельств («It depends», как говорят юристы). В этом случае номер телефона будет являть собой частичный идентификатор, который может быть, а может и не быть персональными данными. Чтобы понять, в какую сторону склонится чаша весов, мы должны учесть контекст обработки такого номера и средства, необходимые для его «достраивания». Если мы можем установить код телефона без несоразмерных затрат, то такой номер, даже без кода, будет являться персональными данными. Наличие же части (последние несколько цифр), как правило, не позволит идентифицировать человека. Однако и в этом случае необходимо учитывать контекст ситуации и имеющейся информации. Например, для мобильного оператора такая обработка действительно может иметь смысл, ведь при наличии дополнительных сведений (геолокации или информации о модели мобильного телефона) он сможет достаточно легко идентифицировать владельца.
Номер телефона как метаданные
Комитет по правам человека ООН также отмечал, что серьезность вмешательства в частную жизнь не зависит от типа данных, так как любой сбор метаданных уже потенциально является вмешательством в частную жизнь, независимо от того, будут ли эти данные использоваться впоследствии. Сам факт такого захвата действительно может иметь «потенциально пугающее влияние на реализацию прав человека, в том числе на свободу выражения мнений и ассоциации» («The right to privacy in the digital age» (A/HRC/37)). «При агрегировании метаданные могут раскрыть такую личную информацию, которая освещает не менее чувствительные стороны жизни человека, чем само содержание сообщений и может дать представление о поведении человека, его социальных отношениях, личных предпочтениях и идентичности» (A/HRC/RES/34/7).
Однако ситуация может поменяться в случае использования мобильного телефона в качестве частичного идентификатора. Предположим, нам известен номер без кода оператора. В данном случае необходимо учитывать контекст обработки и средства, с высокой вероятностью используемые контролером или любым другим лицом (формула описана выше). Если все же можно установить код телефона без несоразмерных затрат, телефонный номер, даже без кода, будет являться персональными данными. Наличие же частичного номера телефона (последние несколько цифр), как правило, не позволит идентифицировать человека. Однако, опять же, необходимо учитывать контекст ситуации и характер информации, которая уже имеется у лица, имеющего выгоду от идентификации. Например, для мобильного оператора такая обработка действительно может иметь выгоду, так как с его стороны при наличии определенных сведений, например, информации о модели телефона, может не потребоваться несоразмерных усилий.
Источник
