Вирусы для персональных данных

В последнее время Операторы связи всё чаще получают запросы на приведение деятельности оператора связи в соответствие с требованиями законодательства в области персональных данных (в первую очередь – Федеральный закон № 152-ФЗ от 27.07.2006 "О персональных данных).

Связано это со вступлением с 1 июля 2017 г. в силу поправок в Кодекс РФ об административных правонарушениях, которые ощутимо расширяют ответственность операторов за несоблюдение условий обработки персональных данных. В 2019 году всё чаще территориальные управления Роскомнадзора проводят проверки Операторов на предмет защиты персональных данных. При этом, размер максимальной ответственности повысился с 10 000 до 75 000 рублей, минимальной с 1 до 15 тысяч рублей также выросло и количество возможных нарушений в этой области. Настоящая статья поможет небольшим операторам правильно выстроить систему защиты персональных данных

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Наиболее распространённые виды – паспортные данные, место жительства, мобильный телефон и адрес электронной почты. Даже фамилия, имя и отчество сами по себе могут являться персональными данными (письмо Роскомнадзора от 20.01.2017 N 08АП-6054). Лица (как физические, так и юридические), которые обрабатывают персональные данные, являются операторами персональных данных.

В Российской Федерации обработка персональных данных (требования к обеспечению её безопасности, т.е. защита) регулируется государством. 27 июля 2006 года был принят Федеральный закон "О персональных данных" N 152-ФЗ.

Фактически, обязательные требования содержатся не только в Законе "О персональных данных", но и в некоторых подзаконных актах. В частности, иные важные требования к защите персональных данных содержатся в следующих нормативно-правовых актах:

1. Постановление Правительства РФ от 15.09.2008 N 687 (особенности обработки ПДн без средств автоматизации).
2. Постановление Правительства РФ от 01.11.2012 N 1119 (требования к обработке ПДн в информационных системах).
3. "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 14.02.2008)
4. "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 15.02.2008)
5. Приказ ФСТЭК России от 18.02.2013 N 21 (организационные и технические меры при обработке ПДн в информационных системах).

Требования к обеспечению безопасности при обработке персональных данных, установленные перечисленными актами, достаточно обширны, некоторые довольно сложны в техническом и организационном плане.

Ответственность за нарушение законодательства о персональных данных закреплена в Кодексе РФ об административных правонарушениях, в статье 13.11. Данная статья с 01 июля 2017 года насчитывает 7 составов правонарушений, размер наказаний за их совершение варьируется от 15 до 75 тыс. руб. административного штрафа. Более того, как раньше, так и после вступления в силу поправок в КоАП РФ, увеличивших штрафы и введших новые правонарушения, надзорный орган неоднократно привлекал к ответственности нарушителей законодательства в области персональных данных.

Требования законодательства в области персональных данных довольно обширны, сложны и неоднозначны, поэтому, в первую очередь, хочется узнать, за что установлена ответственность.

Ответ на данный вопрос даёт ст. 13.11. Кодекса Российской Федерации об административных правонарушениях:

Часть 1 статьи 13.11:

"Обработка персональных данных в случаях, не преду-смотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных. ", - штраф от 30 до 50 т.р. На что обратить внимание:

Персональные данные могут обрабатываться в следующих случаях (достаточно одного любого условия):

Часть 2 статьи 13.11:

"Обработка персональных данных без согласия в пись-менной форме, … когда такое согласие должно быть получено … либо обработка персональных данных с нарушением … требований к составу сведений, включаемых в согласие в письменной форме …", - штраф от 15 до 75 т.р. На что обратить внимание:

Чтобы не получить штраф по данной статье необходимо придерживаться нескольких простых правил:

1. Нельзя публиковать или иным образом вносить в общедоступные источники персональные данные субъекта без его письменного согласия (для такого согласия предусмотрена особая форма).
2. Нельзя обрабатывать биометрические персональные данные или дан-ные, относящиеся к категории специальных, (медицинские данные, вероисповедание, философские взгляды) без письменного согласия.
3. Нельзя передавать персональные данные на территорию иностранных государств, которые не обеспечивают адекватную защиту прав
   субъектов (трансграничная передача) без письменного согласия лица.

Часть 3 статьи 13.11:

"Невыполнение оператором предусмотренной законода-тельством Российской Федерации в области персональных данных обязанности по опуб-ликованию или обеспечению иным образом неограниченного доступа к документу, опреде-ляющему политику оператора в отношении обработки персональных данных, или сведе-ниям о реализуемых требованиях к защите персональных данных", - штраф от 15 до 30 т.р. На что обратить внимание:

Часть 4 статьи 13.11:

"Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных", - штраф от 20 до 40 т.р. На что обратить внимание:

Административная ответственность наступает лишь в случае непредставления оператором информации по запросу субъекта персональных данных, оформленному в соответствии с указанными в законе требованиями. В данном случае комментарии излишни – учитывая, что запрос от субъектов персональных данных большая редкость – легче один раз ответить на письмо субъекта, чем заплатить 20-40 т.р.

Часть 5 статьи 13.11:

"Невыполнение оператором в сроки … требования субъекта персональных данных или его представителя либо уполномоченного органа … об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки", - штраф от 25 до 45 т.р. На что обратить внимание:

Состав аналогичен части 4 ст. 13.11, т.е. сначала должно поступить требование субъекта / его представителя / Роскомнадзора, и если вы не исполните такое требование в срок – то только потом наступает ответственность. Опять же – легче не разбираться в ситуации, удалить недостоверные данные, уведомить об этом в письменном виде субъекта персональных данных, а не выплачивать штраф.

Часть 6 статьи 13.11:

"Невыполнение оператором … обязанности по соблюдению условий, обеспечивающих … сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния", - штраф от 25 до 50 т.р. На что обратить внимание:

Особенность данного состава в том, что штрафа не будет, если в результате нарушения не наступили какие-либо неблагоприятные последствия для субъекта персональных данных, к примеру – злоумышленник взломал базу данных вашей организации и опубликовал адреса всех сотрудников. Учитывая, что такая ситуация крайне редка для компаний среднего размера, а также то, что не всегда такие вещи может обнаружить Роскомнадзор – поводов для беспокойства мало.

Таким образом – ещё раз отмечу, что всё-таки нужно обеспечить для отсутствия претензий со стороны Роскомнадзора:

Стоит отметить, что перечисленные условия – это лишь необходимый минимум и в каждом конкретном случае оператору может потребоваться большая степень обеспечения безопасности обработки персональных данных.

Наконец, следует упомянуть о том, почему оферта лучше, чем согласие и что делать с уведомлением Роскомнадзора о начале обработки персональных данных. Согласно ст. 22 Закона о персональных данных оператор персональных данных до начала обработки обязан уведомить надзорный орган о своих намерениях обрабатывать персональные данные. На основании такого уведомления Роскомнадзор вносит оператора в Реестр операторов персональных данных. Это, в свою очередь, повысит требования к оператору (систематически обновлять сведения о себе и о своей деятельности в Реестре), а также риск попасть под плановую проверку. В ч. 2 ст. 22 Закона о персональных данных предусмотрены исключения, т.е. те условия, при которых можно и не подавать уведомление, не попасть в реестр. К таким исключениям законодатель относит следующие условия:

1. Персональные данные обрабатываются в соответствии с трудовым законодательством (данные работников)
2. Персональные данные обрабатываются в связи с заключением договора (персональные данные клиентов и потенциальных клиентов).
3. Персональные данные обрабатываются при непосредственном участии человека (без использования средств автоматизации – биллинга и т.п.).
4. Некоторые специфические условия – персональные данные членов общественных объединений и религиозных организаций, только ФИО субъектов и т.д., см ч. 2 ст. 22 Закона о персональных данных.

С другой стороны – даже если не производить указанные выше действия и оставить согласие – сначала Роскомнадзор "любезно" пришлёт требование направить ему уведомление о начале обработки персональных данных. В ответ на него можно направить соответствующее уведомление, либо информационное письмо, в котором обосновать наличие исключений, позволяющих не "включаться" в Реестр операторов персональных данных.

В настоящее время нет большой разницы в действиях Роскомнадзора в зависимости от того, включена компания в Реестр или нет, так как требования законодательства в области персональных данных необходимо соблюдать в обоих случаях.

При выборе мер по обеспечению соблюдения требований законодательства в области персональных данных необходимо учитывать множество обстоятельств, включая размеры организации, качество внутренней документации и форм договоров, а также потенциальный уровень риска попасть в поле зрения надзорного органа.

В настоящее время контроль и надзор осуществляется административным органом в двух формах. Во-первых, в виде проверки (плановой или внеплановой). Плановые проверки проводятся в отношении лиц, сведения о которых содержатся в Реестре операторов персональных данных, который ведёт Роскомнадзор (далее – "Реестр"). Сведения об операторе заносятся в Реестр только после отправки таким оператором уведомления о начале обработки персональных данных. Вследствие того, что направление указанного уведомления существенно повышает риск попасть под проверку надзорного органа – мы не рекомендуем своим клиентам направлять уведомление, особенно ввиду того, что при грамотно составленной документации это абсолютно законно. Вместе с тем при наличии письменных запросов территориального управления Роскомнадзора, следует под угрозой штрафа включиться в Реестр.

Внеплановые проверки могут проводиться по нескольким основаниям, наиболее частым из которых, на сегодняшний день, является подача жалобы клиентом и третьим лицом.

Также возможны мероприятия систематического наблюдения, а именно: осмотр сайта на предмет соблюдения законодательства в области защиты персональных данных.

В нижеуказанной таблице отражены проверки Роскомнадзора по Персональным данным.

В 2018 уже проведено 832 плановых и 49 внеплановых проверок и 2118 мероприятий систематического наблюдения. По результатам: проверок выдано 768 предписаний, а по результатам наблюдений - 569 предписаний. За 2018 год Роскомнадзор направил в суды 6 419 протоколов об АП, Сумма штрафов по которым 3, 971 миллионов рублей (из Публичного доклада Роскомнадзора за 2018 год).

Очевидно, что чем больше клиентов, т.е. чем крупнее организация, тем больше шанс спровоцировать недовольство абонентов и вследствие этого получить жалобу. В этой связи необходимо выстроить наиболее эффективный и качественный процесс работы с физическими лицами, максимально соблюдать требования законодателя. Для таких организаций, которые работают с большим количеством абонентов, которые включены в Реестр, а также в отношении которых есть основания ожидать "интерес" со стороны административного органа, мы готовим стандартный пакет документов. В него входит ряд локальных, технических и публичных актов, которые позволяют минимизировать риски административных штрафов при детальной документарной проверке Роскомнадзора на предмет соблюдения законодательства в сфере персональных данных (список ниже).

Для отсутствия штрафов необходимо подготовить пакет документов, который позволит не допустить внешние нарушения законодательства.

Наиболее частыми нарушениями, выявленными Роскомнадзором за 2018 год являются:

• ОТСУТСТВИЕ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
• НЕИЗДАНИЕ И/ИЛИ НЕОПУБЛИКОВАНИЕ ЮРИДИЧЕСКИМ ЛИЦОМ ДОКУМЕНТА, ОПРЕДЕЛЯЮЩЕГО ПОЛИТИКУ ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ; - НЕИЗДАНИЕ ЮРИДИЧЕСКИМ ЛИЦОМ ЛОКАЛЬНЫХ АКТОВ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
• НЕОСУЩЕСТВЛЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ/АУДИТА СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
• НЕОЗНАКОМЛЕНИЕ РАБОТНИКОВ ОПЕРАТОРА, НЕПОСРЕДСТВЕННО ОСУЩЕСТВЛЯЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ, С ПОЛОЖЕНИЯМИ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ О ПЕРСОНАЛЬНЫХ ДАННЫХ, ДОКУМЕНТАМИ, ОПРЕДЕЛЯЮЩИМИ ПОЛИТИКУ ОПЕРАТОРА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЛОКАЛЬНЫМИ АКТАМИ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, И/ИЛИ НЕПРОВЕДЕНИЕ ОБУЧЕНИЯ УКАЗАННЫХ РАБОТНИКОВ.

Укажем минимально необходимые действия для обеспечения защиты персональных данных. Для начала следует разобраться с тем, что же представляют собой персональные данные. В упомянутом законе определено, что персональные данные, это любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Довольно широкое понятие, охватывающее всю информацию, начиная с ФИО человека, его даты рождения и заканчивая религиозными убеждениями. Закон обязывает всех, кто обрабатывает персональные данные (операторов персональных данных) обеспечивать надлежащую безопасность такой обработки. Это выражается в предъявлении требований к операторам персональных данных относительно способов обработки, гарантий нераспространения и недопущения утечек персональных данных. Роскомнадзором могут проводиться проверки соблюдения таких требований, а в случае нарушения законодательства налагаться административная ответственность.

Что же необходимо, и что требует надзорный орган на практике? Во-первых, субъект, данные которого обрабатываются, должен быть осведомлён о подобной обработке, равно как и об условиях, на которых обрабатываются данные. Это выражается в получении однозначно определённого согласия субъекта на обработку его персональных данных…Нарушения в данной области легче всего выявляются и фиксируются, путём систематического наблюдения за ресурсами организации и наказываются штрафом 15-30 тысяч рублей. Учитывая постоянные изменения законодательства в области персональных данных очень важно размещать только актуальную версию документа, так как претензии предъявляются не только к наличию самого документа, но и к его качеству.

Во-вторых, обработка персональных данных внутри организации должна быть максимально безопасной. Это означает, что в случае обработки персональных данных с использованием информационных систем (читай – на любом электронном устройстве) необходимо разработать модель потенциальных угроз в отношении персональных данных. В соответствии с моделью необходимо все эти угрозы устранить или минимизировать. Здесь и встаёт вопрос о том, как доказать Роскомнадзору соблюдение установленных законодательством требований. Учитывая специфику проведения проверки (документарная) – необходимо максимально качественно составить комплект локальной и технической документации, который не оставит надзорному органу ни малейшего шанса придраться к оператору связи.

Основываясь на многолетнем опыте и профессионализме наших сотрудников, разработан, успешно применяется и систематически обновляется уникальный пакет документов, помогающих максимально соблюсти требования законодательства и успешно пройти проверку в любом регионе Российской Федерации.

В рамках подготовки соответствия Системы защиты персональных данных Оператора связи законодательству Российской Федерации, необходимо подготовить нижеследующие документы:

• Приказ о назначении комиссии по приведению в соответствие с требованиями законодательства в области Персональных данных.
• Положение о комиссии по приведению в соответствие с требованиями законодательства в области Персональных данных.
• План мероприятий по приведению в соответствие с требованиями законодательства в области Персональных данных.
• Приказ об утверждении списка лиц, имеющих доступ к обработке Персональных данных.
• Форма Обязательства о неразглашении Персональных данных.
• Приказ о проведении внутренней проверки в области Персональных данных.
• Перечень Персональных данных, подлежащих защите.
• Форма согласия абонента на обработку Персональных данных.
• Форма согласия сотрудника на обработку персональных данных.
• Приказ о выделении помещений для обработки Персональных данных.
• Перечень информационных систем Персональных данных.
• Технический паспорт информационных систем Персональных данных.
• Приказ о назначении ответственного администратора информационной безопасности.
• Инструкция администратора информационной безопасности.
• Приказ об утверждении Положений в области Персональных данных.
• Положение об обработке Персональных данных (Политика).
• Положение о защите Персональных данных.
• Положение о хранении Персональных данных.
• Приказ о классификации информационных систем Персональных данных.
• Акт классификации информационных систем Персональных данных.
• Приказ об утверждении Инструкции пользователя информационных систем Персональных данных.
• Инструкция пользователя информационных систем Персональных данных.
• Порядок резервирования и восстановления Персональных данных.
• План внутренних проверок в области Персональных данных.
• Регламент по реагированию на запросы субъектов Персональных данных.
• Инструкция о порядке обращения с носителями Персональных данных.
• Правила внутреннего контроля в области Персональных данных.

Ни один современный человек не может обойтись без компьютера. Практически все время люди имеют дело с компьютерами, будь то стационарное устройство, ноутбук или смартфон. На жестком диске остается отпечаток деятельности человека. Музыка, личные фотографии, рабочая документация – все это есть в вашем устройстве. И крайне нежелательно, чтобы что-то из этого попало в чужие руки. Поэтому защита персональных данных на компьютере является важным аспектом для любого пользователя.

Защита персональной информации от вирусов

Наверное, любой ПК сталкивался с вирусами. Большинство вирусов не несет цели украсть данные, скорее это просто программные ошибки. Однако именно они преобладают в компьютерном мире. И такие вирусы отнюдь не безвредны. Исчезновение данных или целых блоков информации – самое малое, что может случиться. Если не принять соответствующих мер, вирус может уничтожить систему со всей персональной информацией. Попасть в компьютер они могут либо через файлы, скачанные из интернета, либо с внешних накопителей (диски, карты памяти и т.д.).

Чтобы избежать этого, обязательно установите антивирус. Наиболее популярные программы-антивирусы – Касперский, NOD32, Microsoft Security Essentials. Обязательно выполняйте полное сканирование как минимум раз в неделю. Особенно опасные вирусы могут повредить информацию, даже если антивирус обнаружит их сразу после попадания в компьютер. Поэтому предварительно проверяйте все файлы, которые собираетесь перенести на компьютер.

Если у вас на компьютере хранятся персональные данные, которые вы хотели бы скрыть от лиц, имеющих доступ к вашему компьютеру, установите пароли на самые важные файлы или папки. В первую очередь необходимо создать пароль к вашей учетной записи. Для этого нажмите: Пуск – Настройки – Панель управления – Учетные записи пользователей. Теперь установите пароль. При надобности вы можете легко заблокировать ваш компьютер: Пуск – Завершение работы – Блокировать. При включении устройства надо будет также ввести пароль. На ноутбуке можно настроить блокировку при закрытии крышки.

Видео о том, как защитить свои данные с минимальными инвестициями:

У каждого пользователя есть множество учетных записей в интернете. Электронная почта, социальные сети, форумы – все это имеет свой пароль и логин. Отнестись к защите данных этих аккаунтов в интернете стоит очень серьезно. Многие используют один и тот же пароль для большинства учетных записей. В этом случае при взломе одного профиля вы можете потерять доступ к остальным. Поэтому лучше иметь разные пароли хотя бы на важных сайтах. При возможности обязательно настройте верификацию через телефонный номер. Если вы утеряете доступ к учетной записи или забудете пароль, можно легко восстановить его. На многих ресурсах есть функция проверки ваших данных путем высылки на ваш номер СМС с кодом.

С развитием технологий программы для взлома пароля появились в свободном доступе в интернете. Сайты, пользующиеся популярностью, имеют защиту от таких программ. Однако с помощью некоторых приложений можно подобрать пароль к аккаунту. Делается это следующим образом: программа подбирает все возможные комбинации на количество символов. Даже если пароль состоит из 3 символов-цифр, на угадывание может уйти очень много времени. Но иногда такой метод все же имеет успех. Поэтому делайте код как можно длиннее и комбинируйте цифры с буквами. Лучше всего сделать это при помощи специальных генераторов паролей (они есть в свободном доступе в интернете).

Как правильно это сделать смотрите на видео:

Далее поместите важные персональные данные подальше. То есть не оставляйте их на рабочем столе компьютера, а создавайте папку в папке на жестком диске. Если же вам необходимо скрыть файл и при этом иметь к нему быстрый доступ, сделайте его невидимым. Для этого кликните правой кнопкой мыши по папке: Свойства – Настройка – Сменить значок. Далее выберите прозрачный рисунок из списка. Так папка будет на рабочем столе, но визуально ее трудно заметить.

Папка с паролем может остановить злоумышленника-любителя. Но хакера вряд ли даже задержит, поскольку обойти стандартную защиту Windows не так уж сложно. Лучший способ защитить данные – зашифровать их. Делается это при помощи специальных программ (наиболее популярная – TrueCrypt). Они используют для кодировки трудный произвольный алгоритм. Поэтому взлом практически невозможен. Это наиболее распространенная защита персональных данных.

Закодированные данные образуют зашифрованный контейнер. По свойствам он напоминает обычную папку, но без ключа (пароля) зайти в него невозможно. Контейнер можно перемещать на флешку, другой жесткий диск, отправлять по интернету без потери защитных функций. Важным аспектом является размер контейнера. Он выбирается при создании. Поскольку в дальнейшем изменить этот параметр будет невозможно, устанавливайте размер в зависимости от предназначения. Код доступа, или ключ, к зашифрованной информации создайте при помощи генератора паролей (для надежности).

Смотрите так же видео про шифрование информации HiAsm 3042:

Следует помнить, что информация может не только подвергнуться несанкционированному просмотру или копированию, но и удалению. Причем не только по чьему-то злому умыслу, но и из-за системных ошибок или физических повреждений носителя. Поэтому всегда делайте дубликат персональной информации. Самый простой способ – это сбросить на СD-диск или флешку. Также можно синхронизировать данные с виртуальным жестким диском в интернете. Это очень полезно, если вы часто работаете на чужих компьютерах. При доступе к интернету вы всегда можете скачать необходимые файлы.

Если данные все же удалилась, их все еще можно восстановить. Для этого заранее установите специальную программу (в сети есть множество бесплатных утилит). Они помогут восстановить стертые файлы и образы дисков. В этом деле главное – не терять времени. На место удаленных данных тут же начнется запись новой информации. Это может происходить и без вашего ведома, особенно если компьютер имеет выход в интернет. Даже если действовать оперативно – не факт, что удастся восстановить утраченную информацию. Поэтому будьте внимательны.

Федеральный закон Российской Федерации под номером 152-Ф3 регулирует деятельность по обработке персональных данных. Этот закон запрещает распространять личные данные лиц. Поэтому когда вы вводите свои персональные данные в интернете, обязательно убедитесь в наличии пользовательского соглашения. В нем должен быть пункт, который предусматривает запрет передачи персональных данных пользователя третьим лицам без его согласия. Если же такой пункт отсутствует, лучше не рисковать и не оставлять никакой конфиденциальной информации о себе.

Смотрите так же на видео информацию о ключевых изменениях в законодательстве:

Многие люди, чьи права были нарушены в интернете, ничего не предпринимают. Юристы связывают это с тем, что большинство россиян считает, что найти человека в интернете невозможно. На самом деле все не так сложно, как кажется. Нередки случаи, когда злоумышленники находятся через сутки после обвинения в неправомерном использовании персональных данных. В этом деле главное – как можно быстрее заявить в полицию.

Шифровка, кодировка и другие способы защиты персональной информации бессильны перед механическими повреждениями. CD-диски и флешки могут выйти из строя по разнообразным причинам, при этом уничтожив все персональные данные. При следующем комплексе мер этого можно избежать:

• Не оставляйте диски на длительное время под прямыми солнечными лучами;
• Всегда храните диски в специальных коробках;
• Регулярно удаляйте пыль с поверхности;
• Храните флешки с крышкой, которая защищает USB-вход;
• Избегайте попадания воды.

Для лишней уверенности существуют накопители с дополнительной защитой. Их стоимость значительно выше обычных флеш-карт или дисков, но хранить персональные данные следует именно на них. Корпус защищенных флешек должен быть обтянут резиной – это предотвратит попадание влаги и защитит от легких механических повреждений. А усиленный чип обеспечит длительную сохранность персональной информации энергонезависимо. На данный момент наиболее защищенным носителем информации является флеш-карта с титановым корпусом, который способен выдержать даже взрыв. Именно на таких девайсах хранит персональные данные американский миллиардер Дональд Трамп. За ним последовали и другие представители крупных корпораций.

Итак, защита персональной информации – далеко не такой сложный процесс, как кажется. Но крайне необходимый. Неизвестно, когда именно ваши конфиденциальные данные подвергнутся атаке или исчезнут. Поэтому лучше позаботиться об этом заранее. Для максимальной безопасности необходимо сочетать на компьютере все виды защиты.

Платформа по выдаче цифровых пропусков, которую разработала Минкомсвязь для Москвы и Подмосковья на время действия режима самоизоляции, внедряется еще в 21 регионе России. Таким образом, власти будут следить за любыми перемещениями граждан в рамках режима введенных ограничений. Большая часть исследований показывает, что лучший способ остановить распространение вируса — выявить зараженных людей и ограничить их контакты. В том числе путем отслеживания их перемещения. Однако возникают вопросы соблюдения требований законодательства о конфиденциальности и защите персональных данных. О том, соответствуют ли цифровые пропуска этим стандартам, рассказывает специально для “Ъ” директор Deloitte Legal Екатерина Портман.

В мире существует несколько систем отслеживания перемещения граждан для контроля распространения вируса. Так, некоторые страны внедрили отслеживание данных мобильных телефонов. Например, правительство Китая обязало граждан устанавливать на свои смартфоны специальное программное обеспечение. Данное приложение назначает лицам цветовой код красного, желтого или зеленого цвета, чтобы указать их состояние здоровья и рекомендовать режим: путешествовать свободно, изоляция дома в течение семи дней или двухнедельный карантин соответственно. Программное обеспечение предоставляет доступ к личным данным, которые отправляют в полицию местоположение субъекта данных, название города и идентификационный код.

Некоторые операторы мобильной связи обмениваются данными о местонахождении с органами здравоохранения Италии, Германии и Австрии, чтобы обеспечить соблюдение гражданами мер по социальному дистанцированию. Защита данных для государств-членов Европейского союза регулируется Общим регламентом защиты данных (GDPR) в дополнение к любым национальным законам о защите данных. Однако некоторые страны-участники Европейского союза вносят изменения в национальное законодательство, позволяющие использовать системы слежения и обработку персональных данных в случае эпидемии или природных и техногенных катастроф.

Меры наблюдения, одобренные премьер-министром Израиля в середине марта, также позволяют израильскому агентству безопасности отслеживать мобильные телефоны граждан без постановления суда. Данная мера контроля позволяет отслеживать перемещения граждан, у которых был обнаружен положительный результат на COVID-19, и выявлять лиц, которые могли контактировать с заболевшим. Аналогичный подход используют власти Южной Кореи и Сингапура.

В Великобритании офис уполномоченного по информации (ICO) опубликовал заявление, разъясняющее, что законы о защите данных в Великобритании не запрещают обработку персональных данных в случае, если обработка необходима для защиты общественных интересов.

Мы также видим, что российский подход находится в русле общемировых трендов, однако вопросы вызывает не столько необходимость контроля за необходимостью ограничения перемещения граждан, сколько правильное юридическое оформление таких мер.

Как можно аргументировать законность обработки данных?

Во-первых, российский закон действительно допускает сбор и обработку персональных данных для целей, предусмотренных законом. Это наиболее вероятное основание для обработки персональных данных, на которое могут сослаться региональные власти. Вместе с тем на текущий момент все меры, направленные на ограничение распространения COVID-19 в Москве (в том числе идентификация с использованием цифровых пропусков), принимаются на основании указа мэра Москвы.

Для правильного применения указанного основания для обработки необходимо издание по меньшей мере закона города Москвы, регулирующего порядок сбора и обработки персональных данных в целях введения идентификации с использованием цифровых пропусков (содержащих в том числе QR-код). Еще более желательным было бы принятие федерального закона, устанавливающего общие требования к порядку обработки данных при регистрации пользователя в целях получения цифрового пропуска.

В любом случае, вне зависимости от выбранного основания для обработки персональных данных, правительство Москвы или власти других регионов приобретают статус оператора персональных данных и обязаны соблюдать требования закона об обработке, включая требования по сбору данных с использованием баз данных, расположенных на территории России, надлежащему информированию субъектов персональных данных о целях, способах и объеме обработки данных и так далее. И к нему могут быть предъявлены соответствующие требования в случае утечки или любого другого несанкционированного доступа к данным, чего больше всего и опасаются граждане.

Они должны обеспечить, чтобы методы обработки были необходимыми, пропорциональными цели и публичным интересам. Правительство Москвы уже обещало удалить собранные данные, когда режим повышенной готовности будет снят, и в теории у субъектов данных будет возможность это проверить, сделав соответствующий запрос.

Хотя использование административных и технологических методов отслеживания местоположения может помочь во время эпидемии, наиболее существенные проблемы с конфиденциальностью могут возникнуть в период после пандемии. При внедрении систем отслеживания необходимо четко ограничить цели использования данных, определить требования к безопасности обработки, определить срок хранения данных и обеспечить уничтожение данных после нормализации эпидемиологической обстановки.