Авторы:
Мушвиг Мамедов, официальный представитель «Лаборатории Касперского» в Азербайджане
Эльчин Сулейманлы, адвокат, Член Коллегии Адвокатов Азербайджанской Республики
Что относится к персональным данным?
Мушвиг Мамедов: Персональные данные — это сведения, при помощи которых можно идентифицировать физическое лицо: имя, фамилия, отчество, пол, место рождения и адрес проживания, семейное положение. То есть информация, позволяющая прямым или косвенным образом установить личность человека. К персональным данным так же можно отнести различные медицинские данные или сведения об имуществе.
Однако помимо юридической формулировки, существует определение, которое используется в сфере кибербезопасности. Там под персональными данными понимается любая информация, которую злоумышленники могут использовать во вред пользователю.
Для чего компании хранят персональные данные?
Эльчин Сулейманлы: Компании хранят эту информацию для простоты использования и идентификации при будущих взаимодействиях с данными владельцев. Целью защиты персональных данных является защита основных прав и свобод человека и гражданина, в том числе права на неприкосновенность частной и семейной жизни. Законодательная основа и общие принципы сбора, обработки и защиты персональных данных определяются Законом Азербайджанской Республики «О персональных данных».
Что нужно знать о получении разрешений на обработку персональных данных?
Эльчин Сулейманлы: В соответствии с Законом Азербайджанской Республики «О персональных данных», информация, позволяющая установить личность субъекта на основании согласия субъекта на обработку персональных данных, цели сбора и обработки персональных данных, по истечении установленного срока хранения персональных данных в соответствующей информационной системе либо после смерти субъекта включаются сроки уничтожения или архивирования собранных персональных данных в порядке, определяемом законодательством. Предоставление доказательств получения согласия субъекта на сбор и обработку его персональных данных является обязанностью владельца или оператора, если обработка персональных данных об умерших лицах не запрещалась при жизни субъекта.
Возможно ли получение согласия на обработку персональных данных по телефону?
Эльчин Сулейманлы: Закон Азербайджанской Республики «О персональных данных» не содержит каких-либо положений, в том числе запрета на получение согласия на сбор и обработку персональных данных по телефону. Согласно закону, письменное согласие и соблюдение указанных условий считаются достаточными для сбора и обработки персональных данных.
Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?
Эльчин Сулейманлы: Закон Азербайджанской Республики «О персональных данных» не содержит каких-либо положений об особенностях обработки персональных данных при покупке товаров в интернет-магазинах. Я считаю, что это должно определяться совокупным толкованием общих требований закона. Таким образом, при заполнении веб-формы заявки на приобретение товара на сайте интернет-магазина в информационно-телекоммуникационной сети Интернет, не учитывается критерий, свидетельствующий о получении оператором согласия субъекта на обработку его данных является электронная цифровая подпись. Кроме того, в ряде случаев предложения оператора (интернет-магазина) о продаже товаров могут считаться открытой офертой. Это само по себе является предложением, адресованным неопределенной группе лиц.
Согласно статье 408.2 Гражданского кодекса Азербайджанской Республики, реклама и иные предложения, адресованные неопределенному кругу лиц, рассматриваются как приглашение делать оферты, если иное прямо не указано в предложении. Таким образом, субъект подчеркивает указанное предложение, совершая тем самым подразумеваемые действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при оформлении заявки на приобретение товара. Еще раз хочу заявить, что получение согласия на обработку персональных данных посредством телефона и SMS-сообщений не определено действующим законодательством.
Чем опасно распространение персональных данных для человека?
Мушвиг Мамедов: Распространяя любые данные о себе, во-первых, человек может стать жертвой социальной инженерии. Злоумышленник легко может составить психологический портрет пользователя, если тот часто выкладывает фотографии с отметкой конкретных мест посещения и делиться подробной информацией о себе. Обладая такими сведениями, мошенник легко может втереться в доверие пользователю и попытаться обмануть его. И чем больше у злоумышленника личной информации, тем более достоверным может выглядеть разговор с мошенником.
Воспользовавшись личными данными, злоумышленники могут украсть денежные средства пользователя. Один из самых распространенных способов мошенничества – звонок из службы поддержки банка. Если пользователь оставил в сети свои ФИО, номер карты и телефона, велик риск, что ему позвонят мошенники используют ее и каким-либо образом попытаются выманить информацию, необходимую для получения доступа к счетам жертвы в онлайн-банке. В последнее время мы фиксируем всё более изощрённые схемы, которыми пользуются злоумышленники, чтобы обмануть пользователей.
Информация из персональные данных (девичья фамилия мамы, день рождения) часто используется для создания паролей к учетным записям. Злоумышленники, ей завладевшие, могут получить доступ к аккаунту пользователя.
Также персональные данные могут быть использованы для обмана родителей пользователя, его друзей или коллег. Так, зная данные об автомобиле, злоумышленник может попытаться сымитировать звонок от якобы попавшего в аварию родственника. Или, имея доступ к медицинским данным, предложить лечение или медикаменты «по выгодным ценам».
Кому можно передавать свои персональные данные, а кому нельзя?
Мушвиг Мамедов: Стоит обращать внимание, кому и как вы передаёте свои данные. Наша повседневная жизнь складывается таким образом, что мы вынуждены делиться ими довольно часто. Обезопаситься от утечки наверняка довольно сложно. Но что можно сделать наверняка – не упрощать жизнь злоумышленникам. Например, не выкладывать сканы документов или номера телефонов в социальные сети или облачные хранилища. Делиться персональными данными в зашифрованном виде. Использовать надежные и отдельные для каждого аккаунта. Всегда нужно быть готовым к тому, что злоумышленники могут попытаться воспользоваться вашими данными, чтобы ввести вас в заблуждение.
Как уменьшить цифровой след или сделать свою информацию более анонимной?
Мушвиг Мамедов: Лучше избегать раскрытия излишней информации в социальных сетях. Можно проверить параметры конфиденциальности в социальных сетях – этот шаг поможет скрыть публикации от лишних глаз. Также стоит удалить неиспользуемые учетные записи в соцсетях – это так же снижает вероятность утечки данных.
Важно помнить, что у многих сервисов можно запросить данные, которые они «знают» о пользователе, а затем попросить удалить их.
Какие существуют средства защиты от мошенников, если данные человека уже попали к ним?
Мушвиг Мамедов: При малейшем подозрении, что ваши данные могли быть скомпрометированы в результате взлома, стоит незамедлительно сообщить об этом ответственной организации. Например, в случае финансовых данных – банку. Также необходимо сменить все пароли, которые могли быть раскрыты.
Выделите, пожалуйста, несколько основных правил, как защититься от утечки персональных данных в современной жизни?
Мушвиг Мамедов: Подписывая документы об обработке персональных данных, стоит уточнить у оператора, зачем он их собирает, собирается ли передавать третьим лицам или выгружать в сеть.
Важно регулярно обновлять программное обеспечение – вредоносные ссылки в 90% случаев используют уязвимости в популярном программном обеспечении.
Нужно использовать сложные надежные пароли – от 12 знаков с буквами в разном регистре, цифрами и спецсимволами. Они не должны быть связаны с жизнью человека – родственниками, хобби, датами.
Главная рекомендация – быть бдительным. Если пользователь получил ссылку от знакомого, с которым они уже давно не общались, это должно вызвать подозрения.