Авторы: Мушвиг Мамедов, официальный представитель «Лаборатории Касперского» в Азербайджане и Эльчин Сулейманлы, адвокат, Член Коллегии Адвокатов Азербайджанской Республики.
— Что относится к персональным данным?
Мушвиг Мамедов: Персональные данные — это сведения, при помощи которых можно идентифицировать физическое лицо: имя, фамилия, отчество, пол, место рождения и адрес проживания, семейное положение. То есть информация, позволяющая прямым или косвенным образом установить личность человека. К персональным данным так же можно отнести различные медицинские данные или сведения об имуществе.
Однако помимо юридической формулировки, существует определение, которое используется в сфере кибербезопасности. Там под персональными данными понимается любая информация, которую злоумышленники могут использовать во вред пользователю.
— Для чего компании хранят персональные данные?
Эльчин Сулейманлы: Компании хранят эту информацию для простоты использования и идентификации при будущих взаимодействиях с данными владельцев. Целью защиты персональных данных является защита основных прав и свобод человека и гражданина, в том числе права на неприкосновенность частной и семейной жизни. Законодательная основа и общие принципы сбора, обработки и защиты персональных данных определяются Законом Азербайджанской Республики «О персональных данных».
— Что нужно знать о получении разрешений на обработку персональных данных?
Эльчин Сулейманлы: В соответствии с Законом Азербайджанской Республики «О персональных данных», информация, позволяющая установить личность субъекта на основании согласия субъекта на обработку персональных данных, цели сбора и обработки персональных данных, по истечении установленного срока хранения персональных данных в соответствующей информационной системе либо после смерти субъекта включаются сроки уничтожения или архивирования собранных персональных данных в порядке, определяемом законодательством. Предоставление доказательств получения согласия субъекта на сбор и обработку его персональных данных является обязанностью владельца или оператора, если обработка персональных данных об умерших лицах не запрещалась при жизни субъекта.
— Возможно ли получение согласия на обработку персональных данных по телефону?
Эльчин Сулейманлы: Закон Азербайджанской Республики «О персональных данных» не содержит каких-либо положений, в том числе запрета на получение согласия на сбор и обработку персональных данных по телефону. Согласно закону, письменное согласие и соблюдение указанных условий считаются достаточными для сбора и обработки персональных данных.
— Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?
Эльчин Сулейманлы: Закон Азербайджанской Республики «О персональных данных» не содержит каких-либо положений об особенностях обработки персональных данных при покупке товаров в интернет-магазинах. Я считаю, что это должно определяться совокупным толкованием общих требований закона. Таким образом, при заполнении веб-формы заявки на приобретение товара на сайте интернет-магазина в информационно-телекоммуникационной сети Интернет, не учитывается критерий, свидетельствующий о получении оператором согласия субъекта на обработку его данных является электронная цифровая подпись. Кроме того, в ряде случаев предложения оператора (интернет-магазина) о продаже товаров могут считаться открытой офертой. Это само по себе является предложением, адресованным неопределенной группе лиц.
Согласно статье 408.2 Гражданского кодекса Азербайджанской Республики, реклама и иные предложения, адресованные неопределенному кругу лиц, рассматриваются как приглашение делать оферты, если иное прямо не указано в предложении. Таким образом, субъект подчеркивает указанное предложение, совершая тем самым подразумеваемые действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при оформлении заявки на приобретение товара. Еще раз хочу заявить, что получение согласия на обработку персональных данных посредством телефона и SMS-сообщений не определено действующим законодательством.
— Чем опасно распространение персональных данных для человека?
Мушвиг Мамедов: Распространяя любые данные о себе, во-первых, человек может стать жертвой социальной инженерии. Злоумышленник легко может составить психологический портрет пользователя, если тот часто выкладывает фотографии с отметкой конкретных мест посещения и делиться подробной информацией о себе. Обладая такими сведениями, мошенник легко может втереться в доверие пользователю и попытаться обмануть его. И чем больше у злоумышленника личной информации, тем более достоверным может выглядеть разговор с мошенником.
Воспользовавшись личными данными, злоумышленники могут украсть денежные средства пользователя. Один из самых распространенных способов мошенничества – звонок из службы поддержки банка. Если пользователь оставил в сети свои ФИО, номер карты и телефона, велик риск, что ему позвонят мошенники используют ее и каким-либо образом попытаются выманить информацию, необходимую для получения доступа к счетам жертвы в онлайн-банке. В последнее время мы фиксируем всё более изощрённые схемы, которыми пользуются злоумышленники, чтобы обмануть пользователей.
Информация из персональные данных (девичья фамилия мамы, день рождения) часто используется для создания паролей к учетным записям. Злоумышленники, ей завладевшие, могут получить доступ к аккаунту пользователя.
Также персональные данные могут быть использованы для обмана родителей пользователя, его друзей или коллег. Так, зная данные об автомобиле, злоумышленник может попытаться сымитировать звонок от якобы попавшего в аварию родственника. Или, имея доступ к медицинским данным, предложить лечение или медикаменты «по выгодным ценам».
— Кому можно передавать свои персональные данные, а кому нельзя?
Мушвиг Мамедов: Стоит обращать внимание, кому и как вы передаёте свои данные. Наша повседневная жизнь складывается таким образом, что мы вынуждены делиться ими довольно часто. Обезопаситься от утечки наверняка довольно сложно. Но что можно сделать наверняка – не упрощать жизнь злоумышленникам. Например, не выкладывать сканы документов или номера телефонов в социальные сети или облачные хранилища. Делиться персональными данными в зашифрованном виде. Использовать надежные и отдельные для каждого аккаунта. Всегда нужно быть готовым к тому, что злоумышленники могут попытаться воспользоваться вашими данными, чтобы ввести вас в заблуждение.
— Как уменьшить цифровой след или сделать свою информацию более анонимной?
Мушвиг Мамедов: Лучше избегать раскрытия излишней информации в социальных сетях. Можно проверить параметры конфиденциальности в социальных сетях – этот шаг поможет скрыть публикации от лишних глаз. Также стоит удалить неиспользуемые учетные записи в соцсетях – это так же снижает вероятность утечки данных.
Важно помнить, что у многих сервисов можно запросить данные, которые они «знают» о пользователе, а затем попросить удалить их.
— Какие существуют средства защиты от мошенников, если данные человека уже попали к ним?
Мушвиг Мамедов: При малейшем подозрении, что ваши данные могли быть скомпрометированы в результате взлома, стоит незамедлительно сообщить об этом ответственной организации. Например, в случае финансовых данных – банку. Также необходимо сменить все пароли, которые могли быть раскрыты.
— Выделите, пожалуйста, несколько основных правил, как защититься от утечки персональных данных в современной жизни?
Мушвиг Мамедов: Подписывая документы об обработке персональных данных, стоит уточнить у оператора, зачем он их собирает, собирается ли передавать третьим лицам или выгружать в сеть.
Важно регулярно обновлять программное обеспечение – вредоносные ссылки в 90% случаев используют уязвимости в популярном программном обеспечении.
Нужно использовать сложные надежные пароли – от 12 знаков с буквами в разном регистре, цифрами и спецсимволами. Они не должны быть связаны с жизнью человека – родственниками, хобби, датами.
Главная рекомендация – быть бдительным. Если пользователь получил ссылку от знакомого, с которым они уже давно не общались, это должно вызвать подозрения.