M-hunter.ru

Поиск тендеров
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Кража информации сотрудниками по УК РФ

Личными данными человека являются:

  • его имя, фамилия и отчество;
  • дата и место рождения;
  • адрес регистрации;
  • доходы и имущественное положение;
  • семейное положение и социальный статус;
  • номер телефона и адрес электронной почты;
  • конфиденциальная информация о здоровье.

Федеральный закон «О персональных данных» от 27.07.2006 г. № 152-ФЗ (далее — Закон № 152-ФЗ) обязывает всех, кто работает с чужими данными, спрашивать разрешение на это. Так, например, гражданину предлагают подписать согласие:

  • при трудоустройстве;
  • при взятии в банке кредита;
  • при прохождении медицинского осмотра;
  • при открытой регистрации на сайте в сети интернет и т.д.

Обратите внимание!

Согласие на обработку личных сведений можно отозвать в любое время.

Ситуации, когда информацией о гражданине используются без его согласия, за редкими исключениями неправомерны и дают основание подозревать, что была совершена их кража. Закон нарушен, если:

  • обслуживающая жилищная компания размещает в открытом доступе список лиц, имеющих задолженности по квартплате, раскрывая в нем не только сумму долга по каждой квартире, но и фамилии, имена, отчества собственников жилья;
  • сведения о детях, доходах, наличии недвижимости и т.д. распространяются в интернете;
  • на личный номер сотового телефона звонят представители неизвестных фирм с рекламными предложениями, при этом называя имя и отчество абонента.

Как только выяснилось, что была совершена кража персональных данных, необходимо заявить об этом в официальные структуры, требовать поиска виновного и восстановления собственных прав.

Что проверяет Роскомнадзор

Постановка на учет

Каждая новая организация должна подать в органы Роскомнадзора информацию о том, чем она занимается, какие данные обрабатывает и кто из сотрудников несет ответственность за эту сферу (ст. 22 Закона от 27.07.2006 № 153-ФЗ). Таким образом, Роскомнадзор на начальном этапе уже имеет представление о том, какие данные вы обрабатываете, и исходя из этого, ведомство принимает решение, когда к вам прийти с проверкой.

Не стоит думать, что незарегистрированные компании останутся без внимания инспекторов. Как раз наоборот: к ним у ведомства повышенный интерес.

Как проверить, стоит ли организация на учете

Зайдите на сайт Роскомнадзора, в боковом меню в разделе «Реестр операторов» выберите пункт «Реестр». Внесите в открывшуюся форму название или ИНН организации. Если в результатах поиска нет вашей компании, значит, она не стоит на учете в Роскомнадзоре.

Ответственный за организацию работы с персональными данными

В крупных компаниях таких сотрудников может быть несколько. В небольших компаниях работу с персональными данными может вести руководитель службы безопасности или директор по персоналу. Это решает сам работодатель. Зависимости от формы собственности организации или количества сотрудников нет. Важно определить, что конкретно делает этот человек исходя из требований законодательства. Именно он и будет представлять интересы компании при проверках Роскомнадзора.

О том, как работать с персональными данными, читайте в интервью Марии Финатовой

Внутренняя политика по персональным данным

Внутренняя политика по организации обработки персональных данных — обязательный документ для всех работодателей как операторов персональных данных (ст. 18.1 Закона № ФЗ-152). Политика описывает общий порядок: какие категории персональных данных обрабатываете, что вы с ними делаете и кому передаете.

  • Ключевое условие — разместить документ на сайте компании, если у компании есть сайт. Если сайта нет, то в открытом доступе, например при входе в офис, чтобы любой желающий мог прочитать.

Локальные нормативные акты

Это те документы, которые содержат конкретные правила и условия работы:

  • какие данные обрабатываются и с какой целью,
  • кто субъекты персональных данных в компании,
  • куда персональные данные передаются,
  • какие информационные системы используются,
  • как обеспечивается защита информационных систем,
  • какой класс присваивается информационной системе,
  • как хранятся документы, содержащие персональные данные,
  • как осуществляется сбор персональных данных,
  • как уничтожаются персональные данные и пр.
Читайте так же:
Всё о запрете на регистрационные действия на 2022 год

Таких документов может быть несколько, например, для каждого вида информации — свой. Все зависит от внутренней системы документооборота. Главное, чтобы все эти ЛНА определяли порядок и обозначали цель обработки информации. Ознакомьте сотрудников с теми документами, которые на них распространяются.

Один из самых важных документов при проверке — согласие на обработку персональных данных. Требования к содержанию, составу и форме согласия установлены ст. 9 Закона № 152-ФЗ. Как показывает практика, работодатели далеко не все и не всегда при оформлении получают согласие на обработку персональных данных. А штраф придется платить за каждое неоформленное или неверно оформленное согласие.

Важно на практике соблюдать цель обработки информации, которая указана в согласии. Работать с личной информацией другого человека можно:

  • в соответствии с требованиями действующего законодательства — согласия не нужно;
  • для достижения целей, которые ставит для себя работодатель как оператор персональных данных, — согласие обязательно.

Пример. Чтобы заключить трудовой договор не нужны ИНН, телефон, адрес проживания человека (ст. 57 ТК РФ), но работодатели чаще всего запрашивают эту информацию. Для чего, если по закону они не нужны? Для достижения своих внутренних целей: поздравлять с днями рождения, использовать в документах, делать визитки и пр. Речи об этом в законодательстве не идет, поэтому вы обязаны взять с сотрудника согласие, в котором будут указаны конкретные цели использования дополнительных данных. На это Роскомнадзор тоже обращает внимание.

Хранение и уничтожение персональных данных

Срок хранения информации определяет человек, когда подписывает согласие на их обработку. Работодатель обязан уничтожить персональные данные, если:

  • достигнуты цели;
  • истек срок хранения, указанный в согласии;
  • сам субъект попросил уничтожить персональные данные;
  • данные обработали неправомерно, например с другими целями.
  • субъект персональных данных отозвал согласие на обработку персональных данных полностью или частично.

В этих ситуациях вы должны уничтожить документы, содержащие персональные данные, а также данные из информационных систем и оформить документ, который защитит интересы компании перед Роскомнадзором, — акт. Формат акта законодательно не определен, но вы можете утвердить его ЛНА.

Создайте комиссию из тех сотрудников, которые будут фактически уничтожать персональные данные в информационных системах и на бумажных носителях.

Информационные системы

Специалисты Роскомнадзора имеют право доступа к информационным системам операторов персональных данных. При проведении проверок инспекторы работают парами: один проверяет документы, второй — информационные системы. Специалист, который специализируется на электронных ресурсах, обладает достаточным опытом и уровнем подготовки, чтобы уже на старте работы за вашим компьютером увидеть, как обрабатываются данные в вашей системе, соблюдают ли сотрудники требования к безопасности, начиная с парольной политики и блокировки экрана.

Как правило, около 20% времени инспекторы уделяют проверке документов, а 80% — изучению информационных систем, потому что эти источники наиболее подвержены незаконной передаче персональных данных, утечке информации.

Правила поведения сотрудников за компьютером вы найдете в нашей шпаргалке в конце статьи.

В конце статьи есть шпаргалка

Жалобы о нарушении прав субъектов персональных данных

Если в Роскомнадзор от сотрудников компании или других людей поступали подобные жалобы, инспекторы отдельно изучат:

  • проводились ли до этого проверки и какие нарушения были выявлены;
  • исправил ли их работодатель;
  • не увеличился ли масштаб этого нарушения, например, в прошлый раз пожаловался один человек, а сейчас нарушение касается уже всех сотрудников.
Читайте так же:
Договор подряда управляющей компании с подрядчиком

Инспектор может попросить доказать документально, что нарушение исправлено и прекращено, а не продолжает являться длящимся.

О том, что нового появится в работе с персональными данными, расскажем на бесплатном вебинаре «Законодательные изменения по персональным данным работников. Чек-лист для кадровика».

Почем наказание за утечку данных клиентов

В конце января «Ведомости» сообщили, что в Интернет попала база программы лояльности сети «Красное и Белое». В документе содержатся записи о 17 млн человек, якобы имеющих карты лояльности этой сети. В базе есть их фамилия, имя, отчество, дата рождения и номер телефона. Спустя неделю telegram-канал «Утечки информации» обратил внимание на то, что данные 90 тыс. клиентов «Ленты» оказались выставлены на продажу на одном из онлайн-форумов. В обнародованной базе содержатся Ф.И.О., номера телефонов и личные идентификаторы покупателей сети в Москве и Подмосковье, написал РБК. «Ведется проверка, о результатах мы сообщим», — ответили на запрос MarketMedia в пресс-службе «Ленты». Проверка ведется и в сети «Красное и Белое».

Юристы отмечают, что если Роскомнадзор установит, что утечки данных произошли из-за преступных действий работников компаний, то они могут быть привлечены к уголовной ответственности (ст. 137 и 272 Уголовного кодекса РФ). А пострадавшие от утечек клиенты компаний могут требовать от них компенсировать причиненный им моральный вред, в том числе путем подачи коллективных исков.

О возможностях подавать коллективные иски читайте здесь

В России не так, как во всем мире
Согласно докладу Verizon, в мире примерно 1/3 утечек данных происходит из-за действий сотрудников компаний и примерно в 2/3 случаев в утечках виновны сторонние лица.

В России, по данным исследовательской компании InfoWatch (принадлежит Наталье и Евгению Касперским), картина иная: почти 3/4 утечек происходят по вине сотрудников компаний. Та же InfoWatch подсчитала, что в 2019 году число сообщений об утечках данных в России выросло на 40%, а в мире — на 10%.

О кражах информации в ретейле читайте здесь

«Глядя на статистику утечек за прошедший год, можно подумать, что Россия — особая страна, коль скоро ее картина утечек так резко отличается от мировой, но в реальности все намного проще, — цитирует ТАСС президента группы компаний InfoWatch, руководителя рабочей группы по информационной безопасности в рамках национального проекта «Цифровая экономика» Наталью Касперскую. — Основная доля мировых утечек обнародуется в англосаксонских странах — в США, Великобритании, Канаде есть специальные законы, которые обязывают компании в случае утечки публиковать факт свершившейся утечки… Понятно, что никто не хочет во всеуслышание заявлять: «Мы не уделяли внимание информационной безопасности», поэтому допустившие утечку компании придумывают внешние угрозы в качестве причины утечки. Вследствие этого внешние злоумышленники занимают в западных публикациях большую долю, чем у нас, а на российские компании не давит необходимость публикации, поэтому статистика российских утечек серьезно отличается от мировой».

По словам старшего юриста Capital Legal Services Глеба Апёнкина, в 2018 году в России 90% утечек конфиденциальной информации случилось в результате внутренних нарушений, самыми уязвимыми стали государственные и муниципальные организации (статистика InfoWatch). «Основной проблемой утечек данных вряд ли можно назвать несанкционированный доступ к информации третьих лиц. Виновником утечек, как правило, выступает сотрудник компании по причине собственной халатности или корыстного интереса. При этом непосредственно системные администраторы компаний являются виновниками в утечках в наименьшем количестве случае — 0,8% от всех утечек в 2018 году в России», — говорит юрист.

Читайте так же:
Могу ли я обменять неисправный планшет на другой

О том, как конкуренты получают секреты вашей фирмы, читайте здесь

Число судебных споров растет
«Однозначно нельзя определить, что чаще другого ведет к утечкам данных из бизнеса: халатность и недобросовестность сотрудников или же уязвимость используемых компаниями IT-систем для хранения этих данных: компании не стремятся рассказывать о причинах утечек, так как это негативно может повлиять на репутацию. И лишь единичные случаи добираются до общественности в результате работы журналистов. Однако мы можем оценить, например, количество судебных споров по различным нарушениям, связанным с данными и информацией. Такие споры крайне немногочисленны, однако их количество в целом возрастает со временем. Сейчас существует тренд на усиление защиты данных, подкрепленный в том числе введением норм о больших и персональных данных, что в теории должно вести к снижению доли утечек по вине работников», — отмечает старший юрист CLAIMS Антон Ендресяк.

Мы опросили более тысячи специалистов по информационной безопасности и топ-менеджеров компаний в России и СНГ, и подавляющее большинство (77%) из них считают внутренние инциденты опаснее внешних.

Георгий Минасян, директор по безопасности «СёрчИнформ» (разработчик средств информационной безопасности и инструментов для защиты информации»), говорит, что в России, по разным оценкам, в среднем на инциденты по вине сотрудников приходится до 60% всех случаев утечки. «В прошлом году мы опросили более тысячи специалистов по информационной безопасности и топ-менеджеров компаний в России и СНГ, и подавляющее большинство (77%) из них считают внутренние инциденты опаснее внешних», — говорит Георгий Минасян, подчеркивая, что по всем признакам в обеих торговых сетях утечки произошли именно по вине инсайдеров. В «Красном и Белом» это официально подтвердили и начали служебное расследование, в случае «Ленты» на это указывает совокупность признаков: формат, полнота и объем выгрузки данных.

Российское законодательство не предусматривает штрафов непосредственно за утечки данных. Как напоминает Георгий Минасян, сегодня в рамках закона «О персональных данных» (ФЗ-152), за соблюдение которого отвечает Роскомнадзор, проверяется только выполнение организационных мер. То есть при проверках регулятор просматривает положение о политике обработки персональных данных, приказы о назначении ответственных за эту обработку и о проведении работ по категоризации данных в информационной системе. Проверяющие смотрят на наличие формы согласия на обработку персональных данных для клиентов, по каким протоколам эти данные передаются и где хранятся — то есть в России или за рубежом локализованы серверы с базами этих данных. Показательные сведения от IT-систем регулятор часто не снимает: не проверяет данные файервола, логи в AD или настройки оборудования.

Хотя в прошлом году и ввели миллионные штрафы, но наказывают ими не за утечку, а за нарушения в хранении и обработке персональных данных. Так что в целом санкции не мотивируют компании защищать данные.

И даже если проверка установит нарушения ФЗ-152, ответственность за это для организаций символическая. Например, это могут быть штрафы до 50 тыс. рублей за обработку данных в отсутствие согласия субъекта или другого законного основания, уточняют юристы. «Если организациями («Лента» и «Красное и «Бело». — Ред.) не были предприняты необходимые меры по защите персональных данных, установленные ФЗ «О персональных данных», то им может быть назначено наказание в виде штрафа в размере от 10 тыс. до 15 тыс. рублей», — говорит Дарья Филина, руководитель практики недвижимости бюро юридических стратегий Legal to Business.

Читайте так же:
Входит ли служба в армии в трудовой стаж (нюансы)?

«Хотя в прошлом году и ввели миллионные штрафы (речь о нарушении требования о систематизации и хранении информации в базах данных России и штрафах до 6 млн за первое нарушение и до 18 млн за повторное. — Ред.), но наказывают ими не за утечку, а за нарушения в хранении и обработке персональных данных. Так что в целом санкции не мотивируют компании защищать данные», — резюмирует Георгий Минасян.

Конечно, по сравнению с миллионными штрафами в евро, предусмотренными в Европе по GDPR (Генеральный регламент по защите персональных данных. — Ред.), 50 тыс. рублей — это незначительная сумма для крупных компаний, говорит старший юрист Capital Legal Services Вадим Ковалев. Россия подписала в 2018 году протокол к конвенции о защите персональных данных Совета Европы. Ожидается, что протокол будет ратифицирован в этом году и в российское законодательство будет введена обязанность операторов персональных данных уведомлять Роскомнадзор о допущенных утечках персональных данных. Но говорить о каком-либо увеличении размера ответственности компаний, допустивших утечку данных, еще рано.

что делать при вымогательстве и шантаже
○ Вымогательство и шантаж (общие положения)

Вымогательство – выделенное в отдельный состав (статью 163 УК РФ) преступное деяние, под которым понимается незаконное истребование у лица денег, материальных ценностей или же совершения каких-либо действий под угрозой насильственных действий, повреждения имущества, причинения вреда здоровью и благополучию близких или распространения порочащих репутацию сведений.

Кстати, совсем недавно я выкладывал материал о том что делать если у вас вымогают деньги, полезная статья для тех у кого похожие проблемы.

Пример: требование о возврате ранее взятых денег в срок с использованием угроз не является вымогательством, поскольку подлежит квалификации по ст. 330 как самоуправство, так как гражданин, высказывающий угрозы, должен подать исковое заявление о взыскании долга, а не принуждать физически должника к исполнению обязательства.

Шантаж – сам по себе не является отдельным составом преступления, обособленным в Уголовном кодексе. Согласно сложившейся правовой практике, шантаж – это способ совершения другого преступления, чаще всего вымогательства, выраженный в виде угрозы совершения явно нежелательных для шантажируемого лица действий, не связанных с причинением прямого вреда здоровью и жизни.

То есть, шантажом не может считаться угроза причинения смерти при отказе отдать требуемое имущество, поскольку это самостоятельное преступление – угроза убийством, равно как и угроза избиения – это будет 100% вымогательство.

Упоминается шантаж и в других преступлениях, например при понуждении к интимной связи против воли лица под угрозой распространения порочащих сведений, угроз или с использованием материальной зависимости.

В описании ст. 133 УК РФ шантаж фигурирует как один из самостоятельных способов понуждения к сексуальной связи для наступления ответственности по данному составу.

Ловля на живца

Цели, которые преследовал Роман Павлов, копируя чувствительную информацию с компьютеров МВД, судом не раскрываются. Существует вероятность, что добытые им сведения он затем использовал для перепродажи третьим лицам, потому что именно на этом он и был пойман.

В апреле 2018 г. в рамках оперативно-розыскного мероприятия заказчик попросил Павлова скопировать ему информацию в отношении учредителей одного ООО в обмен на денежное вознаграждение в размере 3 тыс. руб. 19 апреля 2018 г. частный детектив предоставил заказчику запрошенные сведения в устной и письменной формах и был пойман с поличным.

Свою вину новгородский детектив признал в полном объеме.

Гражданский кодекс РФ

Гражданский кодекс РФ в ст. 946 вводит ответственность за нарушение «тайны страхования». Страховщик не вправе разглашать полученные им в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц. За нарушение тайны страхования страховщик в зависимости от рода нарушенных прав и характера нарушения несет ответственность в соответствии с кодексом и другими законами в случаях и в порядке, ими предусмотренных, а также в тех случаях и тех пределах, в каких использование способов защиты гражданских прав (компенсация морального вреда, возмещение убытков) вытекает из существа нарушенного нематериального права и характера последствий этого нарушения. Прецедент правоприменения данной статьи автору пока не известен.

Читайте так же:
Договор рассрочки на квартиру

Сведите к минимуму сбор персональных данных

В современном мире невозможно избежать попадания своих персональных данных в интернет. Но мы можем принять некоторые меры, чтобы свести их сбор к минимуму.

Во-первых, при создании учетных записей в сети следует всегда использовать надежные и уникальные пароли.

Если сайт должным образом хэширует (шифрует) пароль, то в случае кражи данных злоумышленникам будет сложнее его взломать, и пароль окажется для них бесполезным. Кроме того, если на сайте, которым вы пользовались, произошла утечка, следует сразу сменить пароль.

Ограничьте использование файлов cookie и отпечатков.

В обоих случаях используется браузер, поэтому важно, какой именно браузер вы используете. В большинстве браузеров есть настройки, позволяющие управлять файлами cookie. Используйте их, чтобы удалить все сторонние, постоянные и отслеживающие файлы cookie. Остановить создание отпечатков сложнее, поэтому здесь важен выбор браузера. Некоторые компании предоставляют защищенные браузеры, которые стоит рассмотреть как альтернативу. Например, наша компания предлагает Avast Secure Browser, предназначенный специально для обеспечения конфиденциальности и безопасности. Данный браузер не ведет историю поиска и просмотров.

Он предоставляет удобные средства управления, позволяющие скрывать свои личные данные с помощью современной технологии защиты от отслеживания, а также содержит встроенный модуль для блокировки рекламы.

Удалите вредоносные приложения.

В частности, следует избегать потенциально опасных приложений. Главное правило — скачивать программы только из надежных источников, например с сайтов хорошо знакомых вам разработчиков или из официального магазина приложений. Но и это не гарантирует полной защиты от вредоносных приложений. Вам понадобится хороший антивирусный продукт, способный обнаружить и удалить потенциально опасные программы. Например, Avast Free Antivirus.

Не спешите добровольно передавать данные.

Контролировать законный сбор данных практически невозможно. Его стоит рассматривать как сделку. Убедитесь, что условия вас устраивают. Подумайте: настолько ли Facebook важен для вас, чтобы расплатиться своей конфиденциальностью за его услуги? Действительно ли необходимы для трудоустройства сведения, запрашиваемые формой отклика на вакансию в интернете? Если вас не устраивают «условия» соглашения, откажитесь от него или найдите другой способ передачи своих сведений.

Используйте средства защиты на своих устройствах.

Риск кражи данных непосредственно с компьютера или мобильного телефона можно снизить, используя эффективные меры безопасности. Такие средства обеспечения безопасности, как Avast Secure Browser, Avast Mobile Security и антивирусное программное обеспечение, отлично блокируют угрозы.

Регулярно проверяйте, не стали ли вы жертвой взлома.

Опасаетесь, что ваши данные могли быть украдены из используемых вами веб-сервисов? Повлиять на это практически невозможно. Если вы отправляете свои данные в сеть, рано или поздно они могут быть украдены. Рекомендуем раскрывать как можно меньше личных сведений и регулярно проверять, не затронул ли взлом вашу информацию. Для этого существуют различные средства, такие как Avast Hack Check.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector