- Ну узнает кто-то мой адрес. Чем это опасно?
- Можно ли как-то получить компенсацию от компании, которая допустила утечку данных?
- Какие персональные данные от меня могут требовать в магазине при оформлении карточки клиента?
- Можно ли требовать полностью заблокировать мои персональные данные или уничтожить? Обязаны ли это сделать компании?
- Увидел свои персональные данные в сети – что делать?
- Как узнать, кто слил мои персональные данные?
- Что делать, если владелец интернет-ресурса находится за границей?
Практически каждую неделю в Беларуси фиксируется новый случай утечки персональных данных жителей страны. Например, в 2022 году огромное количество данных было «слито» ретейлом и доставкой еды. Почему это происходит, кто несет ответственность и как себя обезопасить? Об этом Myfin.by рассказали в Национальном центре защиты персональных данных.
В 2022 году «утекли» данные:
- более 630 тысяч клиентов торговой сети «Соседи»;
- более 140 тысяч клиентов «Острова чистоты и вкуса»;
- более 230 тысяч клиентов оператора доставки еды Just-eat.
В результате утечек, как правило, распространяются ФИО, номер телефона, адреса, электронная почта, пароли и информация.
Ну узнает кто-то мой адрес. Чем это опасно?
Мошенники могут использовать полученные персональные данные для адаптации фишингового письма под конкретного человека. Получив такое письмо, человек будет более склонен поверить письму, а значит, может:
- ввести учетные либо платежные данные на фишинговой странице;
- скачать файл с вредоносным содержимым;
- предоставить злоумышленнику доступ к компьютеру либо телефону/планшету, что может повлечь утечку наиболее чувствительных персональных данных.
Можно ли как-то получить компенсацию от компании, которая допустила утечку данных?
Если оператор персональных данных (прим. оператор – это любая организация, юрлицо, лица, осуществляющие обработку персональных данных) нарушил права субъекта персональных данных и это нанесло материальный либо моральный вред последнему, то можно в соответствии с Гражданским кодексом Республики Беларусь обратиться в суд.
В настоящее время правоохранительными органами ведется административный процесс по части 4 ст. 23.7 КоАП в отношении трех юридических лиц – владельцев крупных торговых сетей.
Требования законодательства о персональных данных распространяются на всех субъектов хозяйствования вне зависимости от форм собственности и видов деятельности.
Какие персональные данные от меня могут требовать в магазине при оформлении карточки клиента?
Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Это означает, что для достижения определенной цели обработки персональных данных оператор должен запросить их минимальное количество!
Как правило, крупные торговые сети пытаются получить от нас большой объем информации, чтобы предлагать свои товары. В этой связи при оформлении карты лояльности необходимо внимательно изучать все предлагаемые к подписанию анкеты и документы. Изучайте также политику обработки персональных данных организации, внимательно читайте форму согласия на обработку ваших персональных данных, например, на маркетинговую рассылку перед тем, как дать разрешение совершать с вашими персональными данными конкретные действия. Не стесняйтесь интересоваться у оператора, на каком основании он требует от вас предоставления ему тех или иных ваших персональных данных.
Если вы уже предоставили данные и сомневаетесь, письменно запросите у оператора, для каких целей они собраны и на каком основании обрабатываются. Помните, что обработка персональных данных осуществляется только в соответствии с требованиями законодательных актов или с согласия физического лица. Очень важно, что граждане имеют «серьезные» права в отношении обработки персональных данных, закрепленные законодательством, и в этой связи каждый из нас фактически мини-контролер соблюдения данного законодательства.
Можно ли требовать полностью заблокировать мои персональные данные или уничтожить? Обязаны ли это сделать компании?
С одной стороны, в Законе «О защите персональных данных» предусмотрено право на удаление или блокирование персональных данных. Для этого нужно подать заявление оператору – в электронном виде с электронной цифровой подписью владельца персональных данных либо же на бумажном носителе с личной подписью. Порядок подачи заявления определен статьей 14 Закона.
С другой стороны, факт подачи такого заявления не означает, что компания в обязательном порядке должна удалить персональные данные. В ЗаконеРеспублики Беларусь «О защите персональных данных» предусмотрено право на удаление (при отсутствии технической возможности у оператора – блокирование) персональных данных. Основное условие – отсутствие правовых оснований для дальнейшей обработки персональных данных. Поэтому сам факт подачи заявления не означает необходимости механического удаления персональных данных. Так, например, наниматель после увольнения работника обязан в соответствии с законодательством определенное время хранить его личное дело либо организация должна хранить договоры, содержащие в т.ч. персональные данные.
Увидел свои персональные данные в сети – что делать?
Первым делом необходимо обратиться к владельцу сайта с заявлением об удалении своих персональных данных. Заявление должно содержать фамилию, собственное имя, отчество, адрес места жительства, дату рождения, требование об удалении персональных данных, а также личную подпись или электронную цифровую подпись.
Заявление должно быть рассмотрено в пятнадцатидневный срок после его получения. В случае невыполнения требований можно обратиться в Национальный центр защиты персональных данных с жалобой. Центр принимает решения в соответствии с предоставленными полномочиями. По итогам рассмотрения жалобы возможно назначение внеплановой проверки, а также инициирование привлечения к ответственности.
Как узнать, кто слил мои персональные данные?
Для этого можно обратиться в органы внутренних дел для привлечения к ответственности за нарушение законодательства о персональных данных либо за незаконные действия в отношении информации о частной жизни и персональных данных. В пределах предоставленных полномочий органы внутренних дел могут начать административный процесс и направить собранные материалы для рассмотрения в суд.
Что делать, если владелец интернет-ресурса находится за границей?
В таких ситуациях нужно направить письмо с требованием удаления своих персональных данных на адрес электронной почты владельца интернет-ресурса или через форму обратной связи.
На некоторых интернет-ресурсах также имеются специальные формы для подачи жалоб и сообщений о нарушении законодательства, которые также могут быть использованы для обращения с требованием об удалении персональных данных.
Если объективно повлиять на ситуацию с распространением информации невозможно, необходимо принять дополнительные меры безопасности: сменить логины и пароли на используемых ресурсах, платежные реквизиты, не переходить по неизвестным ссылкам и не открывать сомнительные электронные сообщения.