Серьезные инциденты, связанные с утечками персональных данных, происходят довольно часто: с начала 2024 года в сеть утекло более 500 млн записей с личной информацией, в июле стало известно о крупной утечке 10 млрд скомпрометированных учетных записей. Насколько это опасно и что могут сделать обычные пользователи расскажем в этой статье.
В понятие «персональные данные» входит любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных): ФИО, дата рождения, адрес, номер телефона, email, паспортные данные, IP-адрес или фотография. Персональные данные человека — «новая нефть» — ресурс, который активно используется не только добросовестными компаниями, но и злоумышленниками. В первом случае обработка ПДн помогает бизнесу в принятии маркетинговых решений: создании более персонализированных рекламных предложений и продвижении своих услуг. Во втором — злоумышленники используют персональные данные для распространения навязчивого спама, кражи личности и причинения ущерба.
Чтобы оградить себя от нежелательных последствий, стоит внимательно изучать, на что вы даете согласие при заполнении формы на сайте и отметке в чек-боксе. Состав этих документов и действия с ними регламентированы Федеральным законом о персональных данных. В частности, закон обязывает операторов ПДн — оператором является любой государственный орган, юридическое или физическое лицо, которые осуществляют обработку персональных данных — получать согласие субъекта ПДн на сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
Оператор не может обрабатывать ПДн субъекта без его согласия (за исключением случаев, предусмотренных ст. 6 Федерального закона №152-ФЗ). Кроме того, закон о защите прав потребителя ограждает тех, кто хочет отказаться от каких-либо дополнительных услуг. Например, смс-оповещений, звонков, рекламных рассылок, если они не являются необходимыми для оказания основной услуги.
Добровольное согласие
Как оператор получает ваше добровольное информированное согласие? Регистрируясь на сайте, устанавливая приложение, совершая покупку или оставляя заявку на получение услуги, пользователь заполняет форму с указанием ПДн. Кроме того, в такой форме по закону должен быть чек-бокс, в котором он ставит галочку напротив слов «Я согласен на обработку моих персональных данных». Типовая форма может содержать поля с ФИО, адресом, номером телефона или электронной почтой, а также ссылку на согласие на обработку ПДн, в котором регламентированы:

Перечень персональных данных, на обработку которых субъект дает согласие (например, паспортные данные, номер телефона, адрес доставки).
Перечень целей обработки персональных данных (например, для оформления доставки мебели на дом).
Перечень действий с персональными данными, на которые субъект дает согласие (сбор, систематизация, хранение).
Срок действия согласия на обработку, а также условие прекращения обработки персональных данных (например, отзыв согласия на обработку). Согласие действует в течение срока действия договора или до момента отзыва субъектом ПДн согласия на обработку. Заявление на отзыв согласия можно предоставить в бумажном виде на юридический адрес организации.

Ознакомившись с этой информацией, пользователь может дать добровольное и однозначное согласие на обработку персональных данных или отказаться в любой момент. Сам отказ может быть двух видов:

Отсутствие вашей подписи на согласии;
Заявление на отзыв согласия об обработке ПДн.

Причем, если субъект откажится от предоставления оператору своих персональных данных, компания не вправе отказать в услуге по этой причине. Чтобы отказаться, необходимо отправить заявление в письменной форме с просьбой отозвать согласие на обработку ПДн. В течение 30 дней оператор обязуется прекратить обработку личной информации и уничтожить впоследствии.
Типовые ситуации
Нередко утечка персональных данных пользователей может возникнуть не только из-за слабой защиты инфраструктуры оператора, но и ввиду «размытых формулировок» в документах, размещенных на сайте оператора. Например, политика в отношении обработки ПДн, пользовательское соглашение (оферта) или согласие на обработку ПДн, могут содержать пункты, позволяющие оператору передавать ПДн субъектов третьим лицам в целях «продвижения товаров и услуг». Пользователи могут даже не подозревать о том, что они сами дали согласие на распространение ПДн на сайте оператора. Стоит внимательно изучить следующие документы, размещенные на сайте, где пользователь заполняет поля с его ПДн:

политика в отношении обработки ПДн;
политика конфиденциальности, пользовательское соглашение (оферта);
согласие на обработку ПДн, предупреждение о сборе cookie.

Эти документы регламентируют работу оператора по сбору, передаче и иных действиях с пользовательскими ПДн, в них может содержаться поручение на обработку персональных данных третьим лицам, информация о трансграничной передаче персональных данных, все планируемые с ними действия.
Еще один пример типовой ситуации — когда пользователь не обращает внимание на перечень персональных данных, запрашиваемых оператором. В некоторых случаях ПДн могут собираться избыточно: например, чтобы оплатить покупку в маркетплейсе не обязательно сообщать оператору о составе семьи, адресе прописки, если он отличается от адреса проживания или доставки. Набор персональных данных, которые запрашивает оператор, будет зависеть от сферы его деятельности, но субъект со своей стороны имеет право оценить, насколько та или иная информация соответствует заявленным целям обработки. Всегда соотносится объем и характер запрашиваемых ПДн с услугой, которую человек собирается получить. Например:

Если оформляется ипотеку, банк имеет право запросить информацию о семейном положении, уровне доходов, месте проживания, собственности и месте работы.
Если человек проходит опрос на каком-либо сайте, набор подобных персональных данных из примера выше будет излишним, а их распространение может привести к негативным последствиям.

В соответствии со статьей 5 закона «О персональных данных»: «содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки».
Если в согласии обнаружена избыточная информация нужно выяснить цель ее сбора. Закон защищает потребителей: если запрашиваемые персональные данные напрямую не связаны с исполнением договора, субъекту не могут отказать в услуге из-за нежелания их предоставить.
Что делать и куда обращаться, если обработка персональных данных не прекращается после запроса?
Можно подать жалобу в электронную приемную Роскомнадзора. Если присылают рекламную информацию об услуге несмотря на отказ от рассылки, также можно обратиться в Роскомнадзор или Федеральную антимонопольную службу.
У оператора ПДн всегда должна быть цель
Вы предоставляете доступ к своим персональным данным по какой-то причине. Например, чтобы получить консультацию врача, нужно сообщить клинике не только ваши ФИО, но и подробности медицинского характера. Даже для получения обратной связи после консультации доктора или результатов анализов клинике могут понадобиться ваша электронная почта и номер телефона. При подписании первичной документации после обращения в клинику важно обращать внимание на то, какие цели сбора ПДн указаны в согласии на обработку персональных данных. Это могут быть:

опросы, маркетинговые и статистические исследования;
анализ качества услуг с последующим сбором обратной связи от клиентов;
внесение персональных данных в первичную медицинскую документацию с целью исполнения законодательных требований и актов и т.д.

Все цели, которые оператор может указать в таком документе, можно разделить на две группы: первая — чтобы выполнить обязательства перед пользователем (субъектом ПДн), вторая — требование законодательства. Откуда же тогда возникают цели вроде «маркетингового опроса»? Оператор легко может преподнести данную цель в качестве необходимой для выполнения обязательств перед клиентом.
В любом случае, за формулировками целей стоит внимательно следить, чтобы случайно не дать согласие на бесконечное получение рекламных рассылок от третьих лиц. Например, подписывая согласие на сбор и обработку персональных данных в медицинском центре, вы можете «случайно» согласиться на передачу ваших ПДн организациям, с которыми этот центр сотрудничает: фитнес-центры, аптеки, частные врачи и лаборатории для сдачи анализов.
Поскольку получение такой рекламы не является обязательным условием для получения основной услуги, вы вправе отказаться от рассылки полностью или частично.
Что делать, если утечка персональных данных все равно произошла
Даже в случае ответственного подхода к тому, какие документы подписывает субъект, утечка возможна. Недобросовестные действия операторов могут привести к публикации ПДн в сети и незаконно использоваться третьими лицами. Отследить все это будет непросто. Частые нарушения со стороны компаний — это:

отсутствие согласия на обработку ПДн;
осуществление рекламных рассылок, звонков с использованием ПДн, полученных без правового основания на это;
неправомерная обработка ПДн в Интернете — сбор ПДн пользователей сайта без согласия, размещение их ПДн на сайте;
неправомерная обработка специальных и биометрических ПДн;
неправомерная передача персональных данных за рубеж.

Компании, которые допустили подобные нарушения, могут быть оштрафованы. Сумма штрафов варьируется от 100 000 рублей при первом обнаруженном инциденте до 18 млн рублей при нарушениях, связанных с трансграничной передачей персональных данных. Сейчас на обсуждении находится проект закона, в котором операторам грозят оборотные штрафы за повторные утечки персональных данных. Уже есть случаи, когда после масштабной утечки, пользователи отечественных сервисов подавали коллективные иски к компании и получали компенсации по суду.
Имею ли я право обжаловать действия и бездействие оператора в отношении обработки ПДн?
Можно подать жалобу в Роскомнадзор, либо в судебном порядке с компенсацией морального вреда.
Отслеживая новости об очередной утечке ПДн из каких-либо сервисов, человек будет в курсе того, мог ли пострадать именно он. Если она все же произошла, можно принять следующие меры:

Определить, какие именно персональные данные были украдены — насколько важная информация попала в сеть, есть ли там детали о финансах, материальном положении, личности. Например, если скомпрометированы данные карты, достаточно заблокировать ее, если пострадала связка «логин-пароль» к электронной почте, достаточно сменить пароль.
Немедленно изменить или обновить информацию: пароли к учетным записям, логины, настроить двухфакторную аутентификацию.

Сейчас многие операторы вводят у себя разные комплаенс-механизмы, которые снижают риски утечек. Кроме того, Федеральный закон о персональных данных обязывает оператора в течение суток сообщить в Роскомнадзор о случившемся: дать развернутую информацию о причинах утечки, последствиях и принятых мерах по устранению, начать внутреннее расследование. Поскольку пользователи, предоставившие свои ПДн компании, по закону имеют право получать информацию, касающуюся этих данных, оператор обязан уведомить о случившемся и их в том числе.
Если утечка ПДн произошла, и человек получил об этом официальное уведомление, то можно напрямую связаться с оператором и уточнить, какие конкретно данные были скомпрометированы.
Как защитить свои персональные данные
Важно не пренебрегать мерами предосторожности: внимательно читайте документы, которые подписываете и помните, что вы вправе отказаться от предоставления ПДн или отозвать свое согласие в любой момент. Чтобы минимизировать риск утечки со стороны пользователя в некоторых сервисах можно настроить двухфакторную аутентификацию — в таком случае, даже зная связку «логин-пароль», злоумышленник не сможет проникнуть в ваш профиль на сайте или в приложении.
Кроме того, помните о том, что важно оценивать состав запрашиваемой оператором персональной информации о вас: насколько она избыточна, совпадает ли с вашими целями и сферой деятельности компании.
Если вы минимизируете ваш «цифровой след» и будете следить за тем, какие ПДн о вас собирают компании, вам будет проще обнаружить утечку. Чем меньше персональных данных сообщите о себе, тем меньше информации окажется в потенциальной утечке. На примере обращения в клинику — если вы знаете, что собираетесь переехать или по иной причине более не обратитесь в медицинский центр, помните, можно отозвать согласие на обработку и ваши ПДн будут уничтожены.
Отслеживать действующие согласия и разрешения на доступ к персональным данным можно, например, на портале Госуслуг в разделе «Согласия и доверенности» (те конкретные согласия, которые были вами даны для госорганов). Также можно направить запрос оператору, чтобы уточнить цель обработки ПДн, их перечень и факт передачи третьим лицам.
Автор: Анастасия Буренкова, специалист по защите персональных данных системного интегратора по ИБ «Бастион».