Lb66.ru

Экономика и финансы
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Уголовная ответственность за распространение персональных данных

Кража персональных данных статья 152 ук РФ

Защита данных
на базе системы

В последнее время СМИ практически каждый день сообщают о краже личных данных граждан, они стали популярным товаром на черном рынке информации в даркнете. Снижается сложность использования технических и программных средств, применяемых для хищения информации. Они становятся доступными даже школьнику, вредоносные программы свободно размещены в Интернете, а готовые скрипты позволяют начинающему хакеру создать программу, способную украсть не очень хорошо защищенную информацию.

Кто рискует утратить данные

Персональные данные граждан утекают из двух источников – информационных систем организаций и личных устройств граждан, мобильных или стационарных. Если на организации и используемые ими средства защиты может повлиять регулятор – Роскомнадзор, ФСТЭК, Центробанк, то граждане беспечны и часто добровольно передают информацию мошенникам. В 2020 году уже сообщалось, что наиболее популярным способом похищения персональных данных стала установка программных ловушек при заходе на сайт-обманку с мобильного устройства. В этом случае похищаются сведения о номере телефона и паспортные данные, которые вводились при приобретении мобильного устройства. Также часто в телефоны внедряется вредоносное программное обеспечение.

Четыре самых распространенных способа похищения персональных данных:

1. Социальная инженерия. В большинстве случаев граждане сами сообщают номера кредитных карт, логины и пароли неизвестным, представляющимся сотрудниками безопасности банков, или переходят по ссылкам, в фишинговых письмах.

2. Интернет-магазины и агрегаторы заявок на мини-кредитование, специально создаваемые для сбора информации. Такие сайты собирают данные при помощи вредоносного кода или просто агрегируют их в большом объеме для дальнейшей перепродажи.

3. Сайты объявлений. Они не всегда защищены и безопасны, в итоге при оплате за продвижение объявления можно «засветить» данные банковской карты.

4. Интернет-ресурсы содержащие вредоносный код.

Базы, содержащие ПД, попадают в даркнет из-за намеренного хищения информации у операторов, банков или провайдеров мобильной связи.

Интересно, что граждане, напуганные информацией из СМИ, часто отказываются взаимодействовать даже с добросовестными операторами, например, записываться на прием в поликлинику по Интернету.

Статистика утечек

По данным аналитиков в 2019 году было скомпрометировано 1,04 млрд пользовательских записей, что в 27 раз больше, чем годом ранее. Наиболее часто индивидуальные данные граждан похищают из личных кабинетов банков и интернет-магазинов, особенно подвержены рискам утечек данных небольшие банки, использующие серые схемы платежей и не считающие необходимым полностью применять рекомендации регуляторов.

Центробанк в 2019 году опубликовал доклад, в котором рассмотрел наиболее популярные способы хищения индивидуальной информации. Специалисты регулятора отметили, что до 97 % преступлений происходят при помощи использования методов социальной инженерии.

Уголовно-правовое и административное регулирование

Кража персональных данных наказывается в рамках административного и уголовного права. Самостоятельной нормы УК РФ, предусматривающей ответственность именно за похищение ПД, не предусмотрено.

Суд, в зависимости от сути преступления, применяет один из двух составов:

  • ст. 137 УК РФ «Нарушение неприкосновенности частной жизни»;
  • ст. 272 УК РФ «Неправомерный доступ к компьютерной информации».

Наказания по обеим нормам невелики – от штрафа в несколько тысяч рублей до ограничения права занимать определенные должности. В самых серьезных случаях, при наличии существенного ущерба, использовании служебного положения или публичном распространении информации о несовершеннолетних они не превышают 5 лет лишения свободы. Но эти нормы УК РФ широко применяются при расследовании преступлений, связанных с нарушением мер защиты индивидуальных данных, предусмотренных законом «О персональных данных» № 152-ФЗ.

Способы кражи данных с использованием социальной инженерии

Популярная сегодня социальная инженерия, вынуждающая граждан добровольно передавать данные граждан мошенникам, не преследуется уголовным законодательством. Под этим термином понимается совокупность навыков манипулирования человеком. Крайне редко социнженерию можно квалифицировать как мошенничество или обман и злоупотребление доверием с целью завладения чужим имуществом.

Для квалификации похищения персональных данных по ч. 3 ст. 158 УК РФ необходимо установить факт кражи денег с банковских счетов, сопровождающийся высокотехнологическими хакерскими атаками или использованием средств манипуляции личностью либо средствами социальной инженерии. В судебной практике встречается упоминание методов социальной инженерии, при помощи которых создавался сайт, схожий по дизайну с интернет-магазином обуви.

По сути, мошенники завлекают посетителей на фишинговый сайт, чтобы внедрить в их компьютеры вредоносный код, созданный с целью хищения и дальнейшей продажи персональных данных. В случае многократной повторяемости такого преступления и причинения существенного вреда интересам граждан есть вероятность, что дело будет доведено до суда и приговора. Высокая квалификация сотрудников правоохранительных органов помогает проводить анализ информационной системы злоумышленника, устанавливать факт внедрения вредоносного кода и его использования с целью хищения данных.

Как избежать похищения персональных данных

Для защиты от похищения информации пользователи должны соблюдать простые правила безопасности, которые помогут избежать дальнейшего хищения не только конфиденциальной информации, но и из электронного кошелька или с банковской карты:

  • никогда не сообщать данные своей учетной записи или банковской карты по телефону, кем бы ни представился человек на другом конце линии;
  • никогда не предоставлять персональные данные организациям и гражданам, лично или по Интернету, без оформления письменного согласия;
  • совершать платежи через Интернет, с помощью отдельной банковской карты с минимальной суммой на счету;
  • контролировать использование и распространение своих ПД и персональных данных детей, например, исключать случаи публикации сведений о детях в открытом доступе на сайте образовательного учреждения, например, путем обращения в Роскомнадзор;
  • использовать средства фильтрации электронной почты, это поможет избежать проникновения вредоносных программ и фишинговых писем;
  • использовать средства защиты баз данных телефонов и адресов знакомых, дополнительные пароли, архивирование, шифрование;
  • в случае выявления утечки своих ПД, например, появления их в продаже в открытых источниках, при понимании, какой оператор виновен в утечках, взыскивать с него причиненный финансовый и моральный ущерб;
  • никогда не передавать логины и пароли от любых учетных записей третьим лицам, даже коллегам по работе в производственных целях.
Читать еще:  Налог с прибыли ооо сколько процентов

Выявление похищения персональных данных должно побудить гражданина немедленно совершить ряд действий в защиту своих интересов:

  • обратиться с заявлением в Роскомнадзор, если выяснилось, что утечка произошла от легитимно получившего персональные данные оператора. Направить заявление можно по электронной почте, воспользовавшись формой на сайте ведомства, обычной почтой, заказным письмом с уведомлением о вручении, при личном визите в региональное подразделение на прием к руководителю;
  • подать заявление в прокуратуру, а если можно предполагать, что в данной ситуации применяется ст. 137 УК РФ, – в МВД РФ с просьбой проверить сведения и возбудить уголовное дело;
  • незамедлительно сменить логины и пароли на всех устройствах, заблокировать скомпрометированную карту;
  • установить на мобильные устройства антивирусные программы.

Выполнение этих рекомендаций поможет устранить причину похищения ПД и привлечь к ответственности преступника или недобросовестного оператора. Процесс обработки персональных данных часто связан с тем, что недобросовестные сотрудники совершают хищение информации ради перепродажи, и не всегда оператор готов нести ответственность за недобросовестность сотрудника. Эти обстоятельства следует учитывать, определяя виновника причиненного ущерба. В рамках Федерального закона «О персональных данных» оператора-организации или его должностное лицо можно привлечь к административной ответственности, сотрудник понесет уголовную по 137-й или 272-й ст. УК РФ.

Минцифры хочет ранжировать операторов персональных данных

Строже всего будут наказывать за слив информации об интимной жизни и судимости россиян

Контролировать операторов персональных данных государство начнёт по принципу риск-ориентированности. Ревизоры станут чаще наведываться в учреждения, где хранится наиболее интимная информация и которые допускают утечки сведений о частной жизни россиян. А добросовестные компании, наоборот, станут видеться с инспекторами реже. Это предполагает проект постановления, который Минцифры опубликовало 20 мая. Публичное обсуждение документа на портале проектов нормативных актов продлится до 2 июня. Как сегодня закон защищает персональные данные россиян, разобралась «Парламентская газета».

Смотрим на риски

Проект постановления содержит Положение о федеральном госнадзоре за обработкой персональных данных. Планируется, что оно вступит в силу 1 июля этого года, заменив собой действующие правила.

Контролировать операторов персональных данных по-прежнему будет Роскомнадзор. Он проверит, как они соблюдают требования закона по обработке информации и выполняют предписания по итогам проверок.

Систему надзора выстроят по новому принципу: операторам будут присваивать категории риска причинения ущерба. Всего их пять — высокий, значительный, средний, умеренный и низкий. Высшую категорию получат те, кто обрабатывает документы, где есть данные о расовой и национальной принадлежности, политических и философских взглядах, состоянии здоровья, интимной жизни и о судимости. Ещё сюда относятся компании и учреждения, которые работают с биометрическими данными, используют базы данных за пределами России или передают информацию за рубеж. Категорию низкого риска присвоят тем, кто работает с обезличенными или общедоступными персональными данными и не допускает никаких нарушений. От степени риска зависит частота проверок. Это главное отличие нового положения от действующих правил контроля.

От степени риска зависит частота проверок. Это главное отличие нового положения от действующих правил контроля».

Логика проста: чем более важные и чувствительные персональные данные у компании, тем серьёзнее должен быть контроль, пояснил «Парламентской газете» зампредседателя Комитета Госдумы по информационной политике, информационным технологиям и связи Андрей Свинцов.

«Понятно, что за компаниями, которые хранят паспортные данные, сведения о состоянии здоровья, о финансовых операциях, должен быть максимально пристальный и регулярный надзор, чтобы они не относились к защите данных спустя рукава», — отметил депутат от ЛДПР.

А вот данные, скажем, о вкусовых предпочтениях, например какие фильмы люди смотрят, на каких машинах ездят, в какие рестораны ходят, — это не настолько чувствительная информация, чтобы вести за ней сверхчуткий надзор, добавил он.

«Даже если такие сведения утекут на сторону, злоумышленникам будет сложно причинить серьёзный вред человеку», — пояснил Свинцов.

Надзорные мероприятия останутся те же: выездная или документарная проверка. Ещё возможны выборочный контроль и инспекционные визиты. Для профилактики ревизоры могут информировать и консультировать операторов, а также объявлять им предостережения.

Информация под защитой

С 1 марта в России действует закон, позволяющий россиянам самим решать, какая информация о них должна оставаться приватной, а какую можно оставить в открытом доступе. Все сайты и соцсети, помимо традиционного согласия на обработку персональных данных, теперь должны предлагать дополнительное соглашение — о согласии на распространение сведений. В нём пользователь может указать, какую информацию он запрещает публиковать. Это могут быть адрес, семейное положение, диагноз, судимость, политические убеждения и так далее. Кроме того, пользователи теперь вправе отзывать согласие на обработку данных и требовать их удаления из общего доступа.

Операторами персональных данных считаются все компании и учреждения, использующие в своей работе чью-то личную информацию — от Ф. И. О. и номера телефона до родственных связей и диагнозов. Такие организации должны регистрироваться в Роскомнадзоре, который следит, как операторы выполняют требования Закона «О персональных данных» — в нём написано, как можно и нельзя обрабатывать сведения, как их защищать от утечек, блокировки и прочего. Одно из главных требований — собирать информацию строго в соответствии с указанной целью. Например, компания по доставке еды не вправе интересоваться профессией клиента, а банку совсем ни к чему знать, состоит ли в какой-то политической партии заёмщик.

Читать еще:  Как продать часть земельного участка без межевания

Также на законодательном уровне закреплены методы защиты персональных данных. Они зависят от категории и объёма сведений в базе оператора. Компании, имеющие дело со сведениями, которые позволяют идентифицировать людей или узнать об их интимной жизни, взглядах и национальности, в ряде случаев должны получать лицензии Федеральной службы по техническому и экспортному контролю на техническую защиту конфиденциальной информации.

За слив — в тюрьму

Чаще всего ответственность за нарушения при обработке персональных данных административная. Есть штрафы за использование несертифицированных средств защиты информации, за разглашение личных данных, за некачественную защиту данных, из-за чего они попали в чужие руки и так далее.

Разглашение тайны частной жизни считается уже уголовным преступлением. Тут виновного могут отправить за решётку на четыре года максимум. До двух лет светит тем, по чьей вине откроется доступ к охраняемой законом компьютерной информации.

В Минцифры предлагают включить в Уголовный кодекс ещё одну статью, которая установит ответственность за массовые утечки персональных данных. О том, что такой законопроект уже готов, глава ведомства Максут Шадаев сообщил на заседании Комитета Госдумы по информационной политике и технологиям 15 апреля, но пока документ не поступил в палату.

Ответственность за нарушение закона о персональных данных

Долгое время из-за несовершенства законодательства личная информация граждан вообще никак не защищалась. Номера телефонов, паспортные данные и другие чувствительные сведения использовались как угодно и кем угодно. А когда они становились не нужны, их могли перепродать или просто выбросить.

Благодаря тому, что государство стало более внимательно относиться к вопросу защиты персональных данных (ПДн), выпустив Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных», организации стали аккуратнее использовать эту информацию. Со своей стороны на это повлияли изменения в КоАП, Трудовом кодексе, а также гражданском и уголовном. Появились вполне реальные штрафы и наказания, которые контролирующие органы могут накладывать на любую компанию, не обеспечивающую надлежащий уровень защиты ПДн или незаконно их использующую.

Наказывают, как правило, за непредоставление доступа к политике обработки ПДн, использование личных сведений не по назначению и избыточный сбор такого рода данных. Причём довольно часто нарушения являются следствием халатности и незнания законов, хотя и корыстные мотивы тоже встречаются.

Как показывает практика, наиболее распространённой формой наказания за несоблюдение законодательства в этой сфере является штраф. Наказать могут компанию-нарушителя и её сотрудников. Но только лишь штрафами дело может не ограничиться, если выявленные нарушения слишком серьёзные. Что ещё грозит за нарушение закона о персональных данных?

Дисциплинарная ответственность

ТК РФ в главе 14 описывает порядок действий работников компании, желающих защитить свои персональные данные. Согласно закону, он могут обжаловать в суде действия работодателя при обработке их персональных данных. Виновные в нарушениях сотрудники организации понесут наказание в виде замечания или выговора, а если нарушение грубое, — то даже уволены.

Также в этой главе говорится о том, что разглашение любой тайны, охраняемой законом (в т.ч. ПДн другого сотрудника) может последовать увольнение по инициативе работодателя.

Уголовная ответственность

В УК РФ прописаны требования по защите личных или семейных тайн человека от незаконного сбора и/или распространения этих сведений. За нарушение предусмотрен штраф в размере 300 000 рублей и выше, или лишение свободы на срок до 4 лет.

Административная ответственность

Согласно КоАП, невыполнение требований закона о защите ПДн даёт Роскомнадзору или другим контролирующим органам право наложить штраф в размере 10 000 рублей на физическое или должностное лицо, ИП или компанию. Здесь важно подчеркнуть, что штрафовать могут не только компанию, но и конкретных сотрудников. Например, руководителя или ответственного за организацию защиты персональных данных.

Впрочем, в первый раз могут оставить предписание об устранении нарушений. Но если проигнорировать это предписание или проигнорировать запрос РКН, компанию могут оштрафовать на 20 000 рублей. Кстати, вопросом организации систем обработки ПДн может интересоваться и трудовая инспекция. Нарушение ТК (в том числе гл. 14, про которую мы говорили ранее), карается штрафом в размере 50 000 рублей.

Гражданско-правовая ответственность

ФЗ-152 выделяет право каждого человека на возмещение морального и имущественного ущерба, а также других понесённых убытков, вызванных некорректным управлением его ПДн. Сумма возмещения ничем не ограничена, поэтому размер выплаты определяется судом.

В ст. 13.11 КоАП РФ зафиксирована возможность назначения штрафов за нарушение порядка сбора, хранения, использования или распространения личной информации о гражданах России, а также за незаконную обработку данных и их использование не по назначению. Размеры определены следующим образом:

  • 1000 – 3000 р. для частных лиц;
  • 5000 – 10 000 р. для должностных лиц;
  • 30 000 – 50 000 р. для юридических лиц.

Если компания выполняет обработку ПДн гражданина без его согласия, то такое своеволие гарантированно будет наказано штрафом:

  • 3000 – 5000 р. для частных лиц;
  • 10 000 – 20 000 р. для должностных лиц;
  • 15 000 – 75 000 р. для юридических лиц.
Читать еще:  Проверка на запрет регистрационных действий сайт гибдд

Если компания-оператор персональных данных не опубликовала информацию о политике обработки ПДн и не позаботилась о свободном доступе к этому документу с перечнем условий использования персональных данных всем желающим, ей может грозить предупреждение или административный штраф:

  • 700 – 1500 р. для частных лиц;
  • 3000 – 6000 р. для должностных лиц;
  • 5000 – 10 000 р. для ИП;
  • 15 000 – 30 000 р. для юридических лиц

Заключение

Чтобы исключить риск появления претензий со стороны РКН, трудовой инспекции и других представителей власти, Cloud4Y рекомендует всерьёз озаботиться вопросом корректной организации системы обработки и защиты персональных данных. Легкомысленное отношение приводит к проблемам, и вопрос всё равно придётся решать.

Если вы не уверены в способности организовать надёжную систему защиты самостоятельно, обратитесь к нам, заказав услугу Облако ФЗ-152. Опыт компании по организации безопасной и соответствующей всем стандартам системы хранения ПДн позволяет брать на себя ответственность за создание подобных систем, соответствующих требованиям законодательства.

Cloud4Y успешно поддерживает частный бизнес, некоммерческие организации и госучреждения, поскольку наш защищённый облачный контур имеет необходимые сертификаты от ФСБ, ФСТЭК и других организаций. Благодаря наличию аттестатов УЗ1-4, 1К и 1Г работать с нами — надёжно и безопасно. Мы гарантируем соблюдение всех технических требований действующего закона в части защиты персональных данных.

Обращаем ваше внимание, что суммы штрафов в статье приведены справочно и актуальна на 2021 год. В зависимости от изменений на законодательном уровне их размеры могут меняться. Но, как правило, лишь в сторону увеличения.

Ответственность за разглашение персональных данных работника

Римова Наталия Владиславовна, ведущий эксперт-консультант Департамента правовой поддержки компании ПРАВОВЕСТ

Конституцией РФ установлено, что каждый гражданин имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту чести и доброго имени. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются 1. В то же время при приеме на работу от соискателя часто требуют предоставления сведений личного характера. Но кто будет нести ответственность за сохранность этих данных?

Персональные данные накапливаются и используются, например, в налоговых инспекциях при передаче организациями сведений о руководителе и главном бухгалтере организации; в правоохранительных органах; страховых агентствах; туристических и гостиничных фирмах; в некоторых подразделениях муниципальных органов самоуправления и т. д. Однако чаще всего сведения о персональных данных гражданина находятся в кадровой документации (документации по личному составу) организации, то есть в отделе кадров.

Информация о персональных данных может быть получена (из документов и устной беседы) при заключении трудового договора между предполагаемым работником и работодателем. Ст. 65 ТК РФ определен перечень документов, предъявляемых при заключении договора:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовая книжка, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
  • страховое свидетельство государственного пенсионного страхования;
  • документы военного учета;
  • документ об образовании, квалификации или наличии специальных знаний или специальной подготовки, а также иные документы, предусмотренных законодательством.

Ответственность за распространение персональных данных несет в первую очередь работодатель, а также ответственные лица: отдел кадров или работник, отвечающий за сохранность этих данных, согласно условиям трудового договора или должностной инструкции.

Работа отдела кадров любой организации связана с подбором персонала, а также с накоплением, формированием, обработкой, хранением и использованием значительных объемов персональных данных сотрудников организаций. Эти сведения являются конфиденциальными, поскольку составляют информацию о фактах, событиях и обстоятельствах личной или семейной жизни гражданина и подлежат защите в соответствии с законом 3. В связи с этим отдел кадров должен обеспечить безопасность таких сведений, их защиту от угроз со стороны потенциальных злоумышленников, которые могут использовать данные в противозаконных целях.

Так, ст. 137 УК РФ устанавливает, что незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказывается штрафом в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев. При этом те же деяния, совершенные лицом с использованием своего служебного положения, наказываются штрафом в размере от 100 000 до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев.

Защита конфиденциальных данных предусмотрена ст. 13.14 КоАП РФ. Если лицо, получившее доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, разгласило ее, то на такого работника будет наложен административный штраф в размере от 40 до 50 МРОТ.

1) ст. 23, 24 Конституции РФ

3) Федеральный закон от 20.02.1995 N 24-ФЗ «Об информации, информатизации и защите информации»

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector