152-ФЗ – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
149-ФЗ – Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
РКН – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
ПДн – персональные данные.
В настоящее время всё большую популярность обретают различные боты в мессенджерах и социальных сетях. Однако вместе с удобством использования возрастают и риски утечек персональных данных. Например, в прошлом году МВД ликвидировало крупный телеграм-бот, распространявший личные данные россиян. Адреса проживания, места работы, доходы, банковские счета и т. д. Деятельность ликвидированного ресурса была связана с обработкой персональных данных, собранных в результате утечек из различных источников.
Однако распространение личных данных предоставляет злоумышленникам возможность получить доступ к различным ресурсам и возможностям для совершения преступных действий. Например:
- Мошенничество и фишинг — использование данных для обмана и получения доступа к банковским счетам и другим ресурсам.
- Вымогательство и шантаж — угрозы раскрытия конфиденциальной информации.
- Кража личных данных с целью их последующей продажи или использования в противоправных целях.
- Подделка документов и создание поддельных профилей.
- Атаки на аккаунты в социальных сетях и другие виды киберпреступных действий.
Приведенный пример еще раз подтверждает, насколько серьезной является проблема киберпреступности в современном мире. Поэтому в настоящее время крайне важна защита прав субъектов персональных данных.
В Международный день защиты персональных данных мы хотели бы обратить внимание на некоторые основные правила безопасности для операторов и субъектов ПДн, следуя которым можно снизить риски утечек и нарушения законодательства.
Если вы являетесь владельцем, администратором тг-каналов, чатов, групп в социальных сетях, с использованием которых ведете обработку ПДн:
1. Обязательно разработайте и опубликуйте Политику в отношении обработки ПДн, в которой будут описаны цели обработки ПДн с использованием ботов, каналов, чатов, а также способы и условия сбора, хранения, использования и защиты ПДн.
Кроме того, политика должна быть адаптирована под специфику конкретных каналов и способов взаимодействия с пользователями. А также регулярно обновляться с учетом изменений в законодательстве и внутренних процессов в организации.
Политику нужно обязательно сделать общедоступной — можно разместить по ссылке в описании группы или в закрепленном сообщении. Такой подход поможет в обработке персональных данных в мессенджерах и социальных сетях.
Сервис «152DOC» предоставляет удобные инструменты для быстрого и правильного формирования Политики и иных локальных актов, позволяя значительно сократить временные и трудовые затраты, а также обеспечить соответствие всех документов актуальным нормативным требованиям.
Важно обеспечить прозрачность процесса и соблюдать требования законодательства в сфере защиты ПДн, в том числе указывать обоснование необходимости обработки данных и ограничивать сбор только той информации, которая действительно необходима для достижения целей обработки.
2. Обеспечьте локализацию баз данных в РФ.
Использование зарубежных мессенджеров при обработке ПДн требует особого внимания к требованиям законодательства. В соответствии с ч. 5 ст. 18 152-ФЗ запрещается осуществлять запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации с использованием баз данных, расположенных за пределами территории Российской Федерации.
В связи с этим несоблюдение указанных требований создает риск нарушения законодательства, что может повлечь за собой серьезные правовые последствия. Включая штрафные санкции до 18 миллионов рублей (ч.ч. 8, 9 ст. 13.11 КоАП РФ), приостановление деятельности или другие меры ответственности, предусмотренные законом.
В связи с этим, для минимизации подобных рисков и обеспечения соблюдения требований нормативных актов, операторам, осуществляющим обработку ПДн, рекомендуется обеспечить локализацию баз данных на территории Российской Федерации.
Такой подход позволит повысить уровень информационной безопасности, обеспечить контроль над обработкой данных и снизить вероятность возникновения правовых рисков и негативных последствий для организации.
3. Помните о «запрещенных мессенджерах».
Обработка персональных данных в иностранных мессенджерах для ряда организаций запрещена. Такой запрет установлен ч. 8 ст. 10 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
РКН публикует Перечень мессенджеров, принадлежащих иностранным юридическим лицам и гражданам. Операторам, использующим указанные иностранные мессенджеры, рекомендуется принять меры по соблюдению действующих запретов, в том числе исключить передачу с их использованием платежных документов и предоставление информации, содержащей:
- персональные данные российских граждан;
- сведения о переводах денежных средств в рамках применяемых форм безналичных расчетов;
- данные, необходимые для осуществления платежных операций;
- сведения о счетах и вкладах российских граждан в банковских учреждениях.
Роскомнадзор рекомендует операторам отдавать предпочтение российским мессенджерам. В условиях санкционной политики, направленной против России, использование отечественных решений позволяет значительно снизить риски несанкционированного доступа к конфиденциальной информации со стороны иностранных органов власти. Кроме того, это позволяет избежать ситуации, когда из-за введённых санкций зарубежные мессенджеры могут быть заблокированы в одностороннем порядке или их работа может быть прекращена, что негативно отразится на обмене данными и коммуникациях компании.
Если полностью исключить использование зарубежных мессенджеров и ботов для обмена и передачи персональных данных невозможно, рекомендуется минимизировать объем собираемой информации через такие каналы. Важно также строго обосновывать необходимость сбора данных в каждом конкретном случае, чтобы соответствовать требованиям законодательства и обеспечить безопасность информации. Такой подход поможет снизить риски нарушения правил обработки персональных данных и защитить интересы организации.
Даже если положения ч. 8 ст. 10 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» на вашу организацию не распространяется, лучше не использовать боты, мессенджеры для обмена и передачи ПДн. Если все же это необходимо – то минимизировать сбор ПДн через чаты, боты и строго обосновывать такой сбор.
4. Следите за подозрительной активностью пользователей.
Используйте специальные настройки для ограничения подозрительной активности, мониторьте группу, чат, канал вручную.
Если вы являетесь субъектом ПДн, то также должны помнить о безопасности при использовании мессенджеров, социальных сетей.
1. Ограничивайте доступ к личной информации в профиле:
- Сократите объем личной информации в вашем профиле. Старайтесь избегать публикации избыточных данных: даты рождения, контактного телефона, домашнего адреса или места работы, если в этом нет прямой необходимости.
- В настройках конфиденциальности укажите, кто имеет право видеть ваш номер – только вы сами или круг доверенных лиц.
- Контролируйте видимость вашего профиля и публикаций, отключайте функцию определения местоположения.
- Старайтесь не привязывать личный номер телефона к публичным аккаунтам, особенно если вы не хотите, чтобы он стал широко известен. Это минимизирует риски обработки персональных данных в мессенджерах и социальных сетях.
2. Настройте приватность сообщений и групп:
- Задайте параметры, ограничивающие возможность добавления вас в группы (выберите «Мои контакты» или «Никто»), чтобы предотвратить нежелательные приглашения.
- В переписках и групповых чатах не сообщайте конфиденциальные сведения, такие как сканы документов, данные банковских карт, пароли или коды аутентификации.
3. Будьте осторожны с внешними ссылками и файлами:
3. Будьте осторожны с внешними ссылками и файлами:
- Не переходите по ссылкам, вызывающим подозрения или приходящим из неизвестных источников.
- Не открывайте приложенные файлы, полученные от непроверенных отправителей.
4. Тщательно проверяйте разрешения, запрашиваемые приложениями и ботами:
- С недоверием относитесь к сторонним ботам и приложениям, запрашивающим доступ к вашей личной информации без явной причины.
- Удаляйте ботов, которыми вы больше не пользуетесь и блокируйте их.
5. Используйте уникальные и сложные пароли для каждого аккаунта:
- Создавайте пароли длиной не менее 12 символов, комбинируя буквы разного регистра, цифры и специальные символы.
- Не применяйте один и тот же пароль для разных сервисов, чтобы уменьшить риск взлома.
- Включите двухфакторную аутентификацию.
6. Будьте внимательны к входящим сообщениям и запросам:
- Игнорируйте сообщения от незнакомых или подозрительных контактов.
- Не сообщайте личные данные в ответ на запрос, если вы не уверены в благонадежности собеседника.
7. Регулярно обновляйте программное обеспечение:
- Своевременно устанавливайте все обновления операционной системы, браузеров и приложений. Они часто содержат важные исправления уязвимостей.
- Остерегайтесь установки программ или приложений из непроверенных источников.
Таким образом, соблюдение этих мер поможет значительно повысить уровень безопасности ваших данных в интернете. Сведите к минимуму риск их раскрытия. Обработка персональных данных в мессенджерах и соцсетях становится безопаснее при регулярном контроле и снижении риска утечек.
Помните: личные данные — это ценнейший ресурс в цифровой сфере. Берегите его. Будьте бдительны и не доверяйте сомнительным источникам. И в Международный день защиты персональных данных, и в любой другой день.