Рубрика: Новости

В последнее время участились случаи утечки персональных данных. Базы данных клиентов интернет-магазинов, сервисов по доставке, оказанию услуг представляют особый интерес для злоумышленников.

В результате таких неправомерных действий указанные лица получают доступ к сведениям о фамилии, собственном имени, отчестве, паспортных данных, номерах мобильных телефонов, адресах электронной почты, покупках и т.п. После чего базы данных с соответствующими сведениями выставляются на продажу на различных интернет-ресурсах или публикуются в открытом доступе, а их удаление является затруднительным, а иногда – и невозможным.

Подобная информация представляет огромный интерес для недобросовестных субъектов хозяйствования, а также мошенников.

Так, имея ”на руках“ базу персональных данных осуществляются:

• агрессивная реклама;
• звонки с целью хищения денежных средств;
• направление ссылок с вредоносным программным обеспечением, которое предоставляет преступникам возможность удаленно управлять устройством;
• создание фейковых аккаунтов в социальных сетях и осуществление действий от чужого имени;
• шантаж;
• вмешательство в частную жизнь и др.

Полностью предотвратить утечки данных довольно трудно, но свести риск неблагоприятных последствий от них к минимуму – в ваших силах. В этой связи Центр напоминает о необходимости соблюдения правил цифровой гигиены и бережного отношения к своим персональным данным.

Как персональные данные утекают в интернет?

• взлом серверов, где хранятся данные
• компрометация устройства одного из сотрудников с последующим выходом в корпоративную сеть.
• сотрудник компании с доступом к личной информации может вывести ее на внешний носитель и передать в третьи руки.

Организациям и иным лицам, которые обрабатывают персональные данные, необходимо принимать все предусмотренные законодательством меры по обеспечению защиты личной информации граждан от несанкционированного или случайного доступа к ней.

Операторы, которые допустили утечку персональных данных, несут ответственность в соответствии с законодательством,  а также значительные репутационные издержки.

В текущем месяце произошел ряд крупных утечек персональных данных. В общей сложности более миллиона личных данных (ФИО, e-mail, телефон, адрес) белорусских граждан  утекли в сеть.

Это клиенты интернет-магазинов ostrov-shop.by, buslik.by, а также частного предприятия ”Юркас“.

Утечка персональных данных подразумевает под собой  незаконное попадание какой-либо личной информации в открытый доступ или в руки других людей, что, в свою очередь, может вызывать целый ряд негативных последствий.

Статьей 16 Закона ”О защите персональных данных“ на операторов возложена обязанность уведомлять Национальный центр защиты персональных данных о нарушениях систем защиты персональных данных. Указанные организации сделали это своевременно.

При анализе последних инцидентов было установлено, что злоумышленники воспользовались уязвимостью межсайтовых сценариев информационной системы Битрикс для загрузки на сервера организаций сторонних файлов-скриптов в формате *.php (adminer.php, testing.php и т.п.).

Такая уязвимость системы безопасности позволяет злоумышленнику размещать клиентские скрипты (обычно JavaScript) на веб-страницах, что допускает осуществление несанкционированного доступа к базе данных информационного ресурса.

Уязвимость возникает:

• вследствие блокировки обновлений (в том числе из-за использования пользовательского кода при доработке/разработке информационной системы),
• отсутствия контроля за обеспечением информационной безопасности в организациях,
• необеспечения технической и криптографической защиты персональных данных в установленном порядке.

Центр напоминает операторам о необходимости своевременного обновления системного программного обеспечения и реализации в полном объеме требований технической и криптографической защиты персональных данных.

Карты лояльности торговых сетей предоставляют возможность совершать покупки выгоднее. Однако участие в таких программах влечет необходимость предоставления своих персональных данных, в связи с чем возникают дополнительные риски нарушения приватности.

Утечка такой информации может привести к серьезным последствиям. На первый взгляд, кажущаяся безвредной информация (фамилия, имя, адрес электронной почты и номер мобильного телефона) может позволить получить несанкционированный доступ к учетным записям человека.

Используя такой набор персональных данных, содержащихся в базе данных одной из торговых сетей, незаконно опубликованной в сети Интернет, на днях злоумышленники получили доступ к личному аккаунту в социальной сети участника программы лояльности.

Это позволило заполучить денежные средства путем размещения от гражданина призыва о срочном сборе финансовых средств на «лечение» близкого человека.

⚠️Субъектам персональных данных необходимо уделять пристальное внимание защите своих персональных данных, использовать надежные и уникальные пароли для каждой учетной записи, регулярно их обновлять и использовать дополнительные способы защиты, например, двухфакторную аутентификацию.

⚠️Центр напоминает организациям и иным лицам, обрабатывающим персональные данные, о необходимости принятия всех предусмотренных законодательством мер по обеспечению защиты личной информации граждан от несанкционированного или случайного доступа к ней (статья 17 Закона о защите персональных данных).

Основными правовыми основаниями обработки персональных данных при организации и проведении вступительной кампании в учреждениях высшего образования являются:

выполнение обязанностей (полномочий), предусмотренных законодательными актами (абзац двадцатый статьи 6 или абзац семнадцатый пункта 2 статьи 8 Закона о защите персональных данных).

Так, главой 2 Правил приема лиц для получения общего высшего образования, специального высшего образования, утвержденных Указом Президента Республики Беларусь от 27 января 2022 г. № 23 (далее – Правила), определен перечень документов, предоставляемых в приемные комиссии;

договорные отношения с субъектом персональных данных (абзац пятнадцатый статьи 6 Закона о защите персональных данных).

В статье 59 Кодекса об образовании перечислены виды договоров в сфере образования, в том числе и договоры о подготовке специалиста с высшим образованием,  о целевой подготовке специалиста с высшим образованием,  о подготовке специалиста с высшим образованием на платной основе.

Получение согласия абитуриента (его законного представителя) для поступления в учреждение высшего образования является избыточной обработкой персональных данных и не отвечает требованиям Закона о защите персональных данных. При этом объем обрабатываемых персональных данных не должен выходить за рамки, предусмотренные законодательными актами и договором.

Вместе с тем на практике имеют место случаи истребования для рассматриваемой цели ксерокопий отдельных страниц паспорта (как правило, с. 30–33), иных документов, подаваемых в приемную комиссию в оригинале, либо абитуриенту предлагается заполнить анкету.

В этой связи обращаем внимание, что в соответствии с абзацем вторым пункта 14 Правил в случае подачи документов абитуриентом документ, удостоверяющий личность, предъявляется им лично. При подаче документов от имени абитуриента его законным представителем, либо от имени абитуриента его представителем, действующим на основании доверенности, предъявляется копия документа, удостоверяющего личность абитуриента (абзац третий пункта 14 Правил).

Заявление, форма которого утверждена постановлением Министерства образования Республики Беларусь от 23 марта 2006 г. № 23, предусматривает указание в том числе данных документа, удостоверяющего личность. Соответственно, абитуриент самостоятельно указывает необходимые паспортные данные в заявлении. Правовые основания для приобщения копии паспорта к пакету документов абитуриента и последующего ее хранения в этом случае законодательством не установлены.

Что касается ксерокопий документов об образовании и приложений к ним, то в соответствии с абзацем пятым части второй пункта 11 Правил их возможно истребовать и приобщать в пакет документов абитуриента только в отношении лиц, обучающихся в учреждении высшего образования и поступающих для получения второго и последующего высшего образования.

В отношении ксерокопий сертификатов централизованного экзамена, сертификатов централизованного тестирования отмечаем, что Правилами четко определено предоставление оригиналов указанных документов (абзацы шестой и седьмой части второй пункта 11 Правил).

Отдельные учреждения высшего образования предлагают абитуриентам зарегистрировать на сайте учреждения образования личный (электронный, цифровой) кабинет. Обращаем внимание, что создание личного кабинета не предусмотрено законодательством об образовании. Поэтому для обработки персональных данных при создании личного кабинета необходимо самостоятельное правовое основание, которым может выступать согласие субъекта персональных данных.

При этом оно должно соответствовать требованиям статьи 5 Закона. Согласие должно быть свободным, однозначным, информированным. Только при соблюдении этих критериев в совокупности согласие на обработку персональных данных соответствует законодательству.

Сегодня в Гродно состоялся первый региональный семинар для прокурорских работников по проблемным вопросам применения законодательства о персональных данных, организованный Национальным центром защиты персональных данных совместно с Генеральной прокуратурой.

Участники семинара обсудили ключевые вопросы применения законодательства о персональных данных, и поделились своим опытом в этой области.

Проведение семинара направлено на обмен опытом между экспертами Центра и прокурорскими работниками.

Аналогичные семинары будут организованы Центром и Генеральной прокуратурой во всех областях в целях обеспечения единого подхода к применению законодательства о персональных данных.

1 июня в Международный день защиты детей в Национальном центре защиты персональных данных в формате Дня открытых дверей прошла встреча с участниками VI Фестиваля школьников и студентов ”Медиация будущего“.

Для детей был организован образовательный митап, в рамках которого они узнали о важных правилах безопасности персональных данных, о личной и цифровой безопасности.

Участникам мероприятия также рассказали о том, что на сайте Национального центра защиты персональных данных  появился новый раздел ”Детям о персональных данных“, где размещается полезный контент для детей. Сегодня там можно найти  памятки, презентации, видео-гайды о безопасности персональных данных и о правилах цифровой гигиены. Раздел постоянно будет дополняться.

В доступном и юмористическом формате были представлены ”Вредные советы о персональных данных“, а также проект ”Персональные данные устами детей“.

В рамках дискуссионной панели ребята активно задавали вопросы о своих правах, предоставленных Законом о защите персональных данных, о работе мобильных приложений, социальных сетей и собираемых ими персональных данных.

Для детей также была организована ознакомительная экскурсия по Центру, многие из них заинтересовались профессией – специалист по внутреннему контролю за обработкой персональных данных.

Встречи и мероприятия с детьми и молодежью с целью проведения разъяснительной работы  и правового просвещения о законодательстве о персональных данных уже стали доброй традицией Центра.

По случаю Международного дня защиты детей Национальным центром защиты персональных данных разработана памятка ”Детям о персональных данных“.

В ней отражены ключевые правила личной и цифровой безопасности, а также советы для детей по бережному отношению к своим персональным данным и уважительному отношению к личным данным других людей.

1. Советуйтесь со взрослыми. К примеру, если хотите зарегистрироваться на каком-либо сайте, создать профиль в социальной сети и выложить свои фотографии, лучше перед этим посоветоваться с родителями. Взрослый человек сможет лучше проанализировать ситуацию и понять, опасен ли сайт, а также помочь выбрать снимки, которые можно выложить на всеобщее обозрение.
2. Не указывайте избыточную информацию о себе и о своих  близких.  Номер телефона, адрес, номер школы и класса, место работы родителей, время, когда в квартире нет взрослых (к примеру, если родители уехали в отпуск), а также данные из документов, номера банковских карт – такую информацию ни в коем случае нельзя размещать в сети.
3. Бережно относитесь к персональным данным (своим и чужим). На онлайн-просторах не стоит делать того, что неприемлемо в повседневной жизни. Не позволяйте нарушать ваши личные границы и приватность. Если вы столкнулись с травлей, преследованием,  шантажом, не молчите. Лучше всего сообщить об этом родителям. Злоумышленникам трудно противостоять в одиночку, поэтому здесь важна поддержка близких людей. Главное не бояться говорить об этом! Если вас кто-то обижает в сети, сообщите об этом взрослым.
4. Помните о безопасности! Используйте лицензионное программное обеспечение, надежные антивирусные службы, уделите внимание настройкам конфиденциальности, установите двухэтапную защиту аккаунтов в соцсетях. Не открывайте подозрительные письма, игнорируйте сообщения, полученные от незнакомцев, не переходите по ссылкам, обещающим много интересного бесплатно. Например, если кто-то в письме или сообщении в чате просит помощи, лучше уточнить, что произошло и произошло ли это на самом деле – лучше перезвонить родителям, родственникам, друзьям.
5. Цените приватность. Нельзя передавать свои личные данные и личные данные своих близких незнакомым людям, в том числе номера их мобильных телефонов. Пересылать фото или копии документов незнакомцам тоже нельзя.
6. Будьте осторожны! Общайтесь только с людьми, которых вы знаете и которым доверяете. Блокируйте сообщения от незнакомцев. Такие сообщения могут содержать шпионские программы, спам или фишинговую ссылку. Помните, что за аккаунтом в сети может скрываться кто угодно. Не делитесь в соцсетях подробностями личной жизни, которые могут быть использованы для шантажа. Фото, видео, ваша сетевая переписка могут стать объектами противоправных действий.
7. Настройте уникальные пароли для всех своих учетных записей в соцсетях. Использование одних и тех же многократно подвергает их риску.
8. 7 раз подумал, 1 раз опубликовал. Прежде чем публиковать очередной пост в соцсетях или что-то писать в публичном чате, необходимо подумать, проверить и убедиться в необходимости такой публикации. И хотя всегда можно удалить нежелательные сообщения, вы не знаете, кто собрал эту информацию раньше и что с ней собирается сделать дальше, в том числе, возможно использовать ее против вас.
9. Не распространяйте чужие личные данные. Не публикуйте без предварительного согласия фото друзей и знакомых. Это касается и видео, и иной личной информации. По закону распространение такой информации возможно только с разрешения человека.
10. Не позволяйте публиковать ваши личные данные и фото без вашего согласия. Поговорите с родителями и друзьями о вашем праве иметь личное пространство.

Берегите себя и свои персональные данные! Ведь данные персональные, а вы уникальные!

Памятка для детей (для скачивания).

Национальный центр защиты персональных данных принимает участие в практической конференции ”Актуальные правовые вопросы в банковской практике“. Организаторы мероприятия – Ассоциация белорусских банков и ООО ”ЮрСпектр“, участники – руководители и сотрудники юридических служб банков, подразделений банков по защите информации, служб внутреннего контроля банков.

Практикующие юристы и эксперты из банковского сообщества обсуждают проблемные вопросы влияния практики правоприменения на деятельность банков в Республике Беларусь, обмениваются практическим опытом.

Актуальным для сферы остается тема защиты персональных данных. Выступая с докладом, директор Национального центра защиты персональных данных Андрей Гаев остановился на соотношении законодательства о персональных данных и банковского законодательства. В его выступлении отражены важные аспекты обработки персональных данных, входящих в состав охраняемой законом тайны, а также проблемные вопросы, в частности получения персональных данных при заключении договора и на основании согласия, а также избыточности обрабатываемой личной информации.

В ходе пленарной части участники конференции ознакомились с ключевыми изменениями, ожидаемыми в Банковском кодексе Республики Беларусь, а в рамках панельной дискуссии обсудили совместное применение на практике законодательства о персональных данных и банковского законодательства, а также правовые основания получения банками информации в отношении физических лиц посредством ОАИС.

Национальный центр защиты персональных данных продолжает проводить широкую разъяснительную работу по соблюдению законодательства о персональных данных в сфере образования.

Семинары для сотрудников, работающих с персональными данными и осуществляющими внутренний контроль за их обработкой в учреждениях образования Брестской, Витебской и Гомельской областей прошли в онлайн-формате. Участие в них приняло более тысячи человек.

Эксперты Центра осветили характерные для сферы проблемные вопросы применения учреждениями образования законодательства о персональных данных, правовые основания для обработки персональных данных для различных целей, в том числе при ведении электронных дневников и журналов, организации питания учащихся, при оказании психологической помощи обучающимся, при распределении выпускников, при предоставлении персональных данных третьим лицам и в иных случаях.

Отдельно остановились на подготовке и повышении квалификации кадров в сфере защиты персональных данных и обучении сотрудников вопросам обеспечения информационной безопасности.

Цикл обучающих семинаров продолжится, на текущей неделе мероприятия пройдут в Гродненской и Могилевской областях.

Проект реализуется с целью обеспечения надлежащей работы с персональными данными в сфере образования.

Сегодня в образовательно-оздоровительном центре ”Лидер“ стартовал VI Фестиваль школьников и студентов ”Медиация будущего“. В программе круглые столы, тренинги, мастер-классы, профориентационные встречи и секции среди школьников и студентов, учителей и родителей по вопросам урегулирования споров.

Организатором Фестиваля выступил Белорусский республиканский союз юристов при поддержке ряда государственных органов и организаций, а также Детского фонда ООН (ЮНИСЕФ) в Республике Беларусь и Белорусского фонда мира.

Национальный центр защиты персональных данных впервые выступил партнером Фестиваля, а главной его темой стала ”Конфликты в сети и возможности медиации в их разрешении“. В рамках тематических кругов сообществ школьники и студенты вместе с экспертами Центра обсудили важные правила безопасного оборота персональных данных в Интернете, в том числе в популярных социальных сетях. Использовались при этом медиативные техники, направленные на разрешение конфликтных ситуаций. На примерах в рамках работы с профессиональными медиаторами ребята учились альтернативным способам урегулирования конфликтов и восстановительной коммуникации.

Открывая Фестиваль, директор Национального центра защиты персональных данных Андрей Гаев отметил большую проводимую работу организаторов Фестиваля по популяризации и развитию школьной медиации, а также отметил важность темы Фестиваля, которая неразрывно связана с защитой персональных данных и личной безопасностью каждого.

Фестиваль школьников и студентов ”Медиация будущего“ проводится с 2018 года. Проект направлен на развитие практики миротворчества и медиации, пропаганду ценностей конструктивного поведения в конфликтных ситуациях.