компенсация за утечку персональных данных
Вам предлагают компенсацию за утечку ваших данных? Не верьте, это мошенники
Лаборатория Касперского сообщила о новом виде мошенничества — людям предлагают денежную компенсацию, но, чтобы получить её, необходимо купить временную социальную страховку.
Мошенники действуют от имени выдуманной организации — Фонда защиты персональных данных, якобы основанного Федеральной торговой комиссией США. На специально созданном фейковом сайте сообщается, что этот фонд выплачивает компенсации пользователям, пострадавшим от утечек данных, и получить их могут граждане любой страны мира. Пользователю предлагается проверить, не оказались ли его личные данные в общем доступе: для этого нужно указать имя, фамилию, телефонный номер и свои страницы в социальных сетях.
После этого сообщается, что его данные, в том числе фотографии, видео, контакты, были обнаружены в одной из утечек, что даёт право получить компенсацию, исчисляемую в тысячах долларов США. Затем мошенники просят ввести номер социального страхования SSN, но вне зависимости от того, вводит ли пользователь настоящий номер или сообщает об его отсутствии, сайт выдаёт уведомление об ошибке и предложение купить временный за 9 долларов США. Жертва перенаправляется в форму оплаты — русско- или англоязычную в зависимости от IP-адреса пользователя. Цена указывается соответственно либо в рублях, либо в долларах.
Этот вид скама эксплуатируется не только в России, но и в Алжире, Египте, ОАЭ и других странах.
Грабли: выплаты за утечку персональных данных в соцсетях
Читал в новостях про скандалы, связанные с Фейсбуком: что они там незаконно пользовались данными, чтобы показывать рекламу, а их за это оштрафовали на несколько миллиардов. И думал, куда эти штрафы пойдут.
А тут недавно наткнулся на блог некоего Константина Семина. Он говорит, что американское правительство запустило сервис, где можно заполнить заявку, что вы тоже пострадали, и получить часть штрафа. А у меня аккаунт на Фейсбуке есть.
Но разве компенсации положены россиянам? Я думал, это только для американцев. У них ведь там коллективные иски и все такое… Может, есть вариант как-то вписаться и получить деньги?
С уважением, Алексей Владимирович
Здравствуйте, Алексей. Действительно, летом 2019 года Федеральная комиссия по торговле США оштрафовала Фейсбук на рекордные 5 млрд долларов из-за утечки личных данных пользователей.
У меня тоже есть аккаунт на Фейсбуке, и я попытаюсь получить часть этих денег.
Как устроен сервис
Автор блога рассказывает о некоем официальном сервисе правительства США. Якобы достаточно ввести свои ФИО и номер телефона, он сам найдет все ваши аккаунты в соцсетях, проверит нарушения и начислит компенсацию.
На момент публикации статьи блог и сервис уже не работают. Ютуб также часто удаляет подобные видео, поэтому я сохранил его для истории. Но уверен, что скоро все это всплывет по новым адресам.
Меня смутило то, что блог ведет 32-летний программист из Питера по имени Константин Семин, а в видео этот же программист представляется Евгением Мироновым. Канал же вообще называется «Кирилл Щаников». А еще у него откуда-то взялось 627 подписчиков, хотя других видео на канале нет.
Полевые испытания
Я перешел по ссылке из блога. Константин предупреждал, что сайт только на английском, но он определил мой регион и загрузил русскоязычную версию. Очень мило со стороны Федеральной торговой комиссии США.
Сайт запретил проверять данные, которые мне не принадлежат. Мне стало интересно, как власти США проверят подлинность данных, поэтому я запросил расчет компенсации для моего друга со сложным именем Василь-Ибн-Пуперлоу Пупкин-Необманешь. Я также ввел номер телефона и запросил расчет. Сайт три минуты проверял Василя по госбазам США и обнаружил, что он активно пользовался социальными сетями и мессенджерами, а его данные утекли.
Чем все кончилось
Что ж, раз Пупкину-Необманешь положена компенсация, попробуем ее получить.
Я попытался узнать подробности перед оплатой и нажал на «Условия сервиса». Условия так и не открылись: кнопка оказалась декорацией. Понадеявшись на честность заокеанских партнеров, я ввел реквизиты карты и нажал «Оплатить». Деньги списались, но на сайте продолжала гореть надпись «Ожидается SSN», а все мои данные куда-то пропали — вместо них появилось слово undefined. Выплату я так и не получил.
Задним умом
Вот что должно было меня насторожить.
Дайте денег, чтобы мы дали вам денег. Мошенники готовы отдать вам хоть все 5 миллиардов, но никогда не согласятся взять деньги за «комиссии» и «налоги» из суммы выплат. Через интернет действительно можно получить вычеты и компенсации, например социальные налоговые вычеты за лечение и учебу. Но подать заявление и получить деньги можно совершенно бесплатно.
Нет проверки данных. Сайт никак не проверяет мое имя и номер телефона. Я могу ввести любой набор символов — и все равно мне назначат выплаты. Единственное, что точно проверят мошенники, — реквизиты вашей карты, с которой спишут деньги. А ФНС, например, попросит СНИЛС, ИНН, паспортные данные и номер телефона, даже если вы просто решите посмотреть информацию о своих налогах.
Только восторженные отзывы. На подобных сайтах нет критики: их владельцы боятся, что жертвы передумают. Поэтому мошенники сами пишут отзывы от лица разных людей. Для большей убедительности они добавляют, что СМИ замалчивают информацию. Но обязательно найдется комментатор, у которого не получилось забрать деньги. В ответ ему напишут, что он сам дурак, а нормальные люди уже давно все получили.
Путаница с именами. Мошенников никто не любит, поэтому их сайты постоянно блокируют, а видео удаляют. Аферистам приходится регистрировать новые сайты и придумывать новые личности. В блог пишет Константин Семин, видео снимает Евгений Миронов. Имена специально выбирают такие, чтобы в интернете было сложно найти информацию об аферистах. Константин Семин — блогер и журналист, а Евгений Миронов — актер. Поисковик прежде всего выдаст информацию об этих людях.
Сайты-пустышки. Создавать правдоподобные сайты долго и дорого. Поэтому сайты мошенников — это только имитации. Если это блог человека, который якобы давно его ведет, в нем не будет других записей. Сайты будут заточены под развод — на них не будет другой информации. Часть ссылок не будет работать.
Если сталкивались с подозрительными компаниями, пишите. Прищуримся.
Утечка персональных данных
Читательница Карина спрашивает:
Продавец выложил в социальных сетях имена, телефоны и историю заказов клиентов, потому что я его уволила. Еще грозится опубликовать на Пикабу, вряд ли клиенты обрадуются, что теперь весь интернет знает об их покупках с именами и телефонами. Что мне делать?
Карина, с юридической точки зрения платить клиентам сразу после утечки не нужно — только по решению суда. С точки зрения пиара можно заплатить и сразу. А вообще у вас есть несколько вариантов: ничего не говорить клиентам и ждать — может, они сами узнают, а может, нет; рассказать и предложить компенсацию до суда; решать всё через суд и с клиентами, и с бывшим сотрудником. Это если кратко, а в статье — с подробностями.
Шаг 1. Предупредить сотрудника о штрафах за публикацию персональных данных
В вашей ситуации есть плюс: вы знаете, кто виноват. Поэтому сначала нужно попросить бывшего сотрудника удалить персональные данные клиентов. Чтобы просьба была весомей, расскажите о штрафах за утечку персональных данных. За распространение персональных данных могут оштрафовать на 1000, а могут и на 300 000 рублей:
О штрафах можно предупредить устно или отправить досудебную претензию. Письменная претензия пугает больше, но если договориться не получится, пишите заявление в полицию или Роскомнадзор:
Такой-то такой-то незаконным образом распространил персональные данные клиентов без их согласия. Прошу принять меры по удалению данных из сети Интернет, а именно со страницы такого-то в социальной сети Вконтакте.
Перед заявлением в полицию или Роскомнадзор нужно проверить, что у вас есть:
Без документов есть риск штрафа для магазина от Роскомнадзора. Поэтому, если документов нет, лучше договариваться мирно с продавцом или просить удалить данные администрацию сайта, на котором продавец их опубликовал.
Для магазина тоже есть штрафы за утечку персональных данных:
Кроме штрафов у магазина может возникнуть еще две проблемы: клиенты потребуют компенсации морального вреда и убытков или пожалуются в Роскомнадзор, прокуратуру, и те придут с проверками.
Для защиты от утечек стоит ужесточить политику защиты персональных данных, например подписать со всеми сотрудниками договор о неразглашении, НДА. О том, что делать, если НДА был, а сотрудник его нарушил, мы подробнее писали в другой статье.
Как защититься с НДА
Если бы сотрудник еще работал в магазине, вы могли бы его уволить за однократное грубое нарушение трудовых обязанностей, а именно разглашение персональных данных клиентов.
В суд обратилась бывшая сотрудница банка с требованием восстановить ее в должности и выплатить зарплату за месяцы незаконного увольнения. Ее уволили за то, что анкеты с персональными данными клиентов оказались в мусорке возле отделения банка. А это разглашение банковской тайны и конфиденциальных данных клиентов.
Бывшая сотрудница считала, что ее уволили незаконно, потому что она анкеты клиентов не выбрасывала. Но суд решил, что именно она как руководитель отдела должна была проследить, чтобы анкеты уничтожили правильно — измельчили в шредере, как требует инструкция банка. Раз сотрудница нарушила трудовые обязанности, ее увольнение законно.
Шаг 2. Решить, стоит ли говорить клиентам об утечке данных
С клиентами, данные которых бывший сотрудник опубликовал, есть два варианта:
Какой вариант выбрать, решать вам. Всё зависит от масштаба утечки, клиентов и информации, которую опубликовал бывший сотрудник.
Об утечках в крупных компаниях клиенты узнают через СМИ. К примеру, в октябре этого года была опубликована база абонентов Билайна, но компания не связывалась с клиентами, а общалась только со СМИ, хотя могла разослать смс или пуш-уведомления.
Еще один пример — Сбербанк, который в таких случаях тоже общается через СМИ и пишет что-то вроде: да, была утечка, мы виноваты, проблему исправили, лазейку закрыли, установили новые программы, а всех сотрудников наказали.
Компенсацию морального вреда за утечку клиент может получить от компании только через суд. На практике суды назначают небольшие компенсации по 5000—15 000 рублей. Максимум до 25 000 рублей, если компания опубликовала информацию об анализах, болезнях или пластических операциях клиентов.
Судебных дел по утечке персональных данных почти нет. А в тех, что есть, люди судятся в основном со СМИ из-за разглашения тайны усыновления, публикации фотографий с любовницами и списков недвижимости, а не из-за истории заказов из магазина.
Шаг 3. Переложить ответственность за утечку на бывшего сотрудника
Ответственность за утечку лежит на бывшем сотруднике — именно он выложил данные от своего имени. Чтобы он отвечал за это, на него можно подать регрессный иск — это такой иск, который перенаправляет претензии клиентов на настоящего виновника.
Сначала нужно отправить бывшему сотруднику претензию с минимальной суммой:
Дорогой Василий! Ты слил персональные данные наших клиентов в интернет, это нанесло непоправимый вред репутации нашей компании. Мы требуем с тебя компенсацию — 300 рублей.
Здесь важна не сумма компенсации, а сам процесс передачи ответственности. Если сотрудник выплатит 300 рублей, он подтвердит этим свою вину, а у вас появятся документальные доказательства. Тогда в суде можно будет сказать: «Мы не виноваты. Да, мы собирали данные, но опубликовал их Василий, он с этим согласен, потому что выплатил нам компенсацию. Все претензии теперь к нему».
Если бывший сотрудник решит не платить по претензии, а клиенты пойдут в суд, нужно подать на него иск за незаконное распространение персональных данных. В иске пишем:
«Требуем взыскать с продавца такую-то сумму, которую магазин уплатил в качестве компенсации морального вреда и убытков клиентам в результате нарушение закона продавцом»
Сотрудник возмещает ущерб — статья 238 трудового кодекса
В иске ссылаемся на трудовой договор с продавцом и статью 238 трудового кодекса. По этой статье сотрудник возмещает работодателю прямой действительный ущерб, а именно затраты магазина на возмещение ущерба клиента, который причинил продавец. Но ничего взыскать не получится, если сотрудник работал без договора.
Материальная ответственность сотрудников
Раздел для тех, кто хочет получить деньги через Фонд компенсации утечки персональных данных
Битва за персональные данные
Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? Если ваши права нарушили – сражайтесь. Закон на вашей стороне
Драться – плохо. Но если дерешься – побеждай!
(из х/ф «Парень-каратист»)
Купил сим-карту известного сотового оператора. Казалось бы, ничего особенного. А все-таки приятно: новый номер – можно сказать, жизнь с чистого листа. Однако маленькую радость омрачает звонок с неизвестного номера:
«Наталья Михайловна, добрый день. Это сотрудник коллекторского агентства. Звонок записывается. Уведомляем, что за вами числится задолженность…»
И так с десяток звонков ежедневно, включая выходные.
Родители учили быть вежливым. Потому во время первого разговора с коллектором представился, подробно объяснил, что произошла ошибка, что никакой Натальи Михайловны не знаю и знать не хочу, и настоятельно попросил больше не беспокоить. Но собеседник оказался настоящим профессионалом, верным своему нелегкому ремеслу:
«Еще раз спрашиваю, вы – Наталья Михайловна?»
Настроение и карма стремительно портятся. В голове пробежала мысль: взять свои боксерские перчатки и по-мужски ответить обидчику. Потом, правда, берешь себя в руки, вспоминаешь про этику поведения и диспозиции некоторых норм Уголовного кодекса.
Приходится ежедневно блокировать поступающие номера коллекторов, которые, несмотря на мужской голос в трубке, каждый раз недоверчиво интересуются, не Наталья ли ты Михайловна. Список заблокированных номеров близится к нескольким сотням, но звонки продолжают поступать.
Знакомая ситуация? Что делать? Давайте разберемся без лишних эмоций.
Вправе ли банки и МФО передавать персональные данные клиентов коллекторам и другим лицам?
Уважаемый читатель, прошу прощения, но вынужден привести немного сухой теории. Она нам пригодится.
Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
В соответствии с законом персональные данные представляют собой любую информацию, относящуюся к физическому лицу – субъекту этих данных.
Под обработкой персональных данных понимается любое действие с ними, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
По общему правилу, обработка персональных данных и передача этой обязанности другому лицу допускаются только с согласия субъекта данных. При этом согласие на обработку данных должно быть конкретным, информированным, сознательным и в любой момент может быть отозвано. Без него операторы 1 и иные лица, получившие доступ к личной информации, не вправе раскрывать и распространять данные, если иное не предусмотрено федеральным законом.
Выдавая кредит, банк обычно получает у заемщика письменное согласие на обработку и передачу его персональных данных третьим лицам, в частности коллекторам. Вместе с тем законодательством предусмотрено право заемщика отозвать это согласие. Так закон защищает должника, если он при заключении кредитного договора или договора займа не подумал о возможных негативных сценариях. Для реализации указанного права достаточно сообщить кредитору об отзыве согласия заказным письмом с уведомлением о вручении или сделать это через нотариуса.
Но на этом все может и не закончиться. Дело в том, что Закон о персональных данных предусматривает исключения, когда согласие на обработку данных не требуется. К примеру, их обработка допускается:
В тех случаях, когда заемщик не предоставил банку «универсальное» согласие или отозвал его, кредитная организация может сослаться на вышеуказанные исключения. Тем самым якобы подтверждая правомерность передачи данных третьим лицам.
Между тем ссылка эта сомнительная, поскольку заемщик не является стороной по договору, заключенному между банком и коллекторами. Судебная практика подтверждает: передача банком по агентскому договору другой организации персональных данных заемщика без его согласия недопустима (см., к примеру, Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 1 августа 2017 г. № 78-КГ17-45).
(Как не допустить передачи долга коллекторскому агентству и что делать тем, на кого взыскатели оказывают давление, читайте в материалах «Берете кредит – помните о коллекторах», «Как должнику защититься от грубого произвола представителей банка».)
Как происходит утечка персональных данных?
Законодательство обязывает операторов принимать серьезные меры по обеспечению безопасности персональных данных при их обработке (подробнее об этом читайте в публикации «Операторов обработки персональных данных начнут проверять по новым правилам»). Эти требования столь объемные и затратные, что многие операторы предпочитают их игнорировать.
В небольших компаниях защите персональной информации часто вообще не уделяется внимания. И даже солидные холдинги не всегда выстраивают адекватную систему защиты данных, причем как клиентов, так и своих работников.
Известны случаи, когда документы, содержащие персональные данные, в том числе копии договоров, паспортов, анкет, выбрасывались на помойку. Причинами такого поведения могут быть халатность работников, отсутствие сформированной культуры «конфиденциальности» и контроля работодателей за ее соблюдением, а иногда –надлежащих условий хранения документации. Не менее весомым фактором является то, что сейчас нет тотального контроля за соблюдением требований со стороны регулятора – Роскомнадзора.
Порой информация становится доступной посторонним лицам из-за неосторожности: когда данные отправляются по электронной почте по незащищенным каналам связи (без использования средств шифрования) или через мессенджеры. Бывают случаи «невинного» распространения данных через селфи. Также информация разглашается путем копирования ее на флеш-карты или в результате выноса из здания организации не до конца уничтоженных документов.
Иногда персональная информация раскрывается работниками оператора умышленно из корыстных мотивов. В результате данные кредитных карт, паспортов, анкет клиентов могут попасть в руки мошенников.
Какими могут быть последствия утечки данных?
В эпоху цифровых технологий информация становится валютой. Тем не менее многие раздают свои персональные данные «направо-налево», не думая о последствиях. А они могут быть весьма неприятными. Как минимум это бесконечные звонки из разных организаций. Но бывают последствия и посерьезнее: мошенники могут открыть от вашего имени кредитные линии, удачно пошопиться в Интернете или купить авиабилет в экзотическую страну.
Что делать, если в распространении личной информации виноват банк?
Вычислить вину кредитной организации в разглашении персональных данных не так просто. Для этого необходимо провести настоящее расследование, поэтому запасайтесь терпением.
Для начала следует направить в банк и коллекторам запрос о предоставлении информации, касающейся обработки ваших данных. Такое право предусмотрено ч. 7 ст. 14 Закона о персональных данных. Вы можете рассчитывать на получение следующей информации:
После получения ответов на запросы направляем жалобы в территориальный орган Роскомнадзора и прокуратуру с подробным изложением обстоятельств неправомерного разглашения персональных данных. Результаты проведенных проверок пригодятся вам во время защиты своих интересов в суде.
Далее собираем все обращения и ответы на них, готовим претензию о прекращении неправомерного использования персональных данных, возмещении убытков и компенсации морального вреда. Если претензия остается без удовлетворения или ответа – идем в суд.
Помните: персональные данные – настоящая находка для мошенников. Будьте внимательнее при подписании документов. Это поможет уберечься от битвы за свои личные данные, а также от порчи настроения и кармы.
«Драться – плохо. Но если дерешься – побеждай!» – советовал Мастер из старого доброго боевика. Если ваши права нарушены, надо сражаться. Но не стальными кулаками, как учил Мастер. Силой закона.
1 Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных).
Продается все о каждом
В ходе рассмотрения этого дела было наглядно продемонстрировано, как правильно поступать в подобных случаях. Ведь саму процедуру таких исков не всегда до конца понимают даже наши суды.
А подобных споров о защите персональных данных в последнее время стало так много, что на проблему приходится обращать внимание не только самим гражданам, но и правоохранителям, юристам, законодателям.
Поэтому имя человека, его адрес, паспортные данные и прочее с каждым днем становятся все дороже. В итоге сложился целый нелегальный рынок, на котором можно купить персональные данные, а их хозяева даже знать об этом не будут.
Между тем, сегодня, чтобы взыскать через суд убытки от утечки персональных данных, гражданин должен обладать железными нервами и здоровьем. Ему надо доказать не только факт нарушения, но и размер своих убытков от разглашения, а также причинно-следственную связь между нарушением и убытками. Да и штрафы Роскомнадзора за нарушение прав субъектов персональных данных доходят лишь до 75 000 рублей.
Но и такие суммы за последние годы не присуждали.
Наши суды ограничиваются 10-20 тысячами рублей компенсации. Хотя в Европе предусмотрены штрафы до 4 процентов оборота компании. А это заставляет организации ответственно подходить к вопросам защиты персональных данных.
Наша история началась на Дальнем Востоке, где гражданин написал заявление в местное управление Роскомнадзора. В заявлении было сказано, что в интернете без его разрешения некая фирма с Багамских островов распространяла его персональные данные.
В итоге всех споров дело дошло до Судебной коллегии по гражданским делам Верховного суда. И там с мнением дальневосточных судов не согласились.
Верховный суд начал с того, что напомнил: Роскомнадзор имеет право обратиться в суд с иском в защиту субъектов персональных данных. В том числе и неопределенного круга лиц. Это сказано в Законе «О персональных данных». Также ведомство имеет право представлять пострадавших в суде.
А еще Верховный суд указал на статью 26 Гражданского процессуального кодекса. Там сказано, что иски о защите прав субъекта персональных данных, в том числе об убытках или компенсации морального вреда, можно предъявлять в суд по месту жительства истца. Поэтому заявление в защиту жителя Дальнего Востока надо было рассмотреть в порядке гражданского судопроизводства.
Как правило, истцом в судах о защите персональных данных обычно выступает гражданин, с персональными данными которого совершены незаконные, по его мнению, действия. Сам Роскомнадзор реже, чем простые граждане, обращается с исками в суд. Обычно ответчиком в таких спорах оказывается оператор персональных данных или тот, кто получил доступ к персональным данным гражданина.
Весной этого года стало известно, что Госдуме и Роскомнадзору предложили законодательно ужесточить ответственность за нарушения в сфере персональных данных. Если предложение пройдет, то за каждый доказанный случай утечки данных граждане смогут требовать от бизнеса и госорганов компенсацию от 500 000 до 5 миллионов рублей. Такую инициативу озвучила Ассоциация юристов России. Там подготовили предложения по изменению закона «О персональных данных». АЮР хочет обязать операторов персональных данных, в числе которых есть все госорганы, компании и физические лица, обрабатывающие такие сведения, по требованию граждан выплачивать им, по решению суда, в случае утечки компенсацию в размере от 500 000 до 5 миллионов рублей. Если утечка данных произошла по вине пользователя, то оператор освобождается от ответственности.
Возможность взыскать компенсацию с компании в случае утечки теоретически есть и сейчас, но, по мнению АЮР, она сильно затруднена.
_t_310x206.jpg "iStock")
При этом иски о защите прав хозяина персональных данных, в том числе о возмещении убытков, компенсации морального вреда, могут предъявляться и в суд по месту жительства истца.
Требования, связанные с нарушением прав на обработку персональных данных, рассматриваются в порядке гражданского судопроизводства на основании норм ГПК. Это означает, что суды самостоятельно оценивают, относится ли та или иная информация к персональным данным, подлежит ли она защите.
В нашем случае Верховный суд отменил отказные решения дальневосточных коллег и велел рассмотреть требование гражданина.