Утечка личных данных грозит неприятными последствиями, в том числе – кражей идентичности. Мы решили выяснить, какие компании, учреждения и сервисы могут законно попросить вас предъявить ваши личные данные, в том числе персональный код. И в каких случаях вы не обязаны предоставлять третьим лицам эту информацию.
Кража идентичности
Недавно в «МК-Латвии» была рассказана история Яниса (имя изменено), который стал жертвой кражи идентичности. Мошенники взяли два кредита на его имя, воспользовавшись его персональным кодом. Указания об этих кредитах появились в базе данных manakreditvesture.lv. Янис предположил, что воспользоваться его данными мошенники могли в то время, когда кредитные учреждения давали клиентам возможность идентифицировать себя при помощи только персонального кода.
Прочитав статью о Янисе, наша читательница Елена забеспокоилась, что и ее личные данные могут использовать не по назначению.
– Я работаю в торговой сети Narvesen, – рассказывает Елена. – Однажды в магазин зашел мужчина, который представился инспектором одного госучреждения. Он показал мне удостоверение (я не успела его рассмотреть), попросил меня предъявить паспорт и переписал мои данные.
Поначалу я не заподозрила ничего дурного, но вернувшись домой, наткнулась в «МК-Латвии» на историю Яниса. И заволновалась: вдруг и моими личными данными воспользуются злоумышленники. Какой вред они могут мне причинить?
Принцип минимизации
На наши вопросы отвечает присяжный адвокат, специалист по защите данных Иво Криевс.
– Что считается личными данными?
– Это очень обширная категория – по сути вся информация, которая используется для идентификации людей. Сюда относятся имя, фамилия, персональный код, номер паспорта или eID-карты, место работы и занимаемая должность, адрес, телефонный номер, электронная почта, также сюда входит информация о том, где вы перемещаетесь, какие сайты смотрите в Интернете, что и где вы покупаете, о ваших данных в смартфоне, IP-адресах.
– Какие законы регулируют использование персонального кода и других личных данных?
– Вопросы защиты личных данных регулируются Законом об обработке личных данных (Personas datu apstrādes likums). И по всей Европе использование личных данных регулирует Общий регламент по защите данных (General Data Protection Regulation, сокращенно GDPR).
Следует учесть, что конкретные требования к обработке данных могут быть установлены также в разных отраслевых нормативных актах и отражены в политике приватности (privacy policy) учреждения или компании (зачастую этот термин переводят на русский язык как политика конфиденциальности. – Прим. авт.).
– На чем основывается защита личных данных?
– Защита данных основывается на принципе минимизации: клиент должен предоставить столько личных данных, сколько минимально необходимо для реализации цели компании/учреждения, например, для идентификации личности клиента.
Обычно компаниям нужны персональные данные, чтобы идентифицировать персону. При этом компания обязана охранять эти данные, не допуская их утечки.
Это важно!
Как подчеркивает представитель Госинспекции данных Агита Силниеце, каждый человек имеет право попросить предоставить правовой акт, на основании которого учреждение или компания просит у него копию документа, удостоверяющего личность (см. Общий регламент по защите данных, статья 6, пункт 1, подпункт «c»). «Нужно убедиться в том, что у вас запрашивают не больше личной информации, чем требуется по закону. Если у вас требуют копию документа без законных оснований, вы можете подать жалобу (с приложением подтверждающей информации) в Государственную инспекцию данных».
По словам Агиты Силниеце, в латвийском законодательстве нет отдельного уголовного преступления, как кража личных данных. Но риск, что ваши личные данные используют мошенники, всегда существует.
«Личные данные мошенники могут использовать для создания фейковых профилей в Интернете, для введения в заблуждение других людей или распространения ложной информации о вас, для создания поддельных документов и т. д. Однако, зная лишь ваш персональный код и не зная кодов доступа к интернет-банку, мошенники вряд ли смогут снять деньги с вашего банковского счета. Тем более что компании быстрых кредитов внедряют технические решения для снижения рисков, например, требуют от заемщика отправить определенную сумму денег для авторизации платежа, таким образом убеждаясь, что за кредитом обратился конкретный человек».
Законно или нет?
– Куда можно пожаловаться, если компании нарушают законы о защите данных, например, беспочвенно требуют у меня копию паспорта?
– В Государственную инспекцию данных.
– Как клиенту понять – законно ли у него требуют персональный код и другие личные данные или нет?
– Как я уже говорил, у каждого учреждения или компании должна быть своя политика приватности, которая регламентирует, каким образом в компании проходит сбор и обработка данных. Также в этом документе прописано, на каком основании работники учреждения могут просить у клиентов личные данные. Компания (учреждение) обязаны предоставить клиенту этот документ (он может размещаться на сайте или быть в бумажном формате), там клиент и найдет ответ – легально или нет его просят предоставить личные данные.
– Какие учреждения и в каких случаях законно могут потребовать, чтобы человек предъявил документ или копию документа с персональным кодом?
– Хотя персональный код защищен, он не относится к категории данных, которые могут обрабатываться лишь в особых случаях. Важно – кто и с какой целью собирает и обрабатывает ваши личные данные, в том числе персональный код.
Обработка персональных кодов разрешена учреждениям или компаниям во всех случаях, когда им необходимо идентифицировать человека, то есть убедиться, что этот человек является именно тем, за кого себя выдает. Проверка персонального кода (действительно ли он принадлежит этому клиенту) может происходить после просьбы предъявить документ, удостоверяющий личность, поэтому требование предъявить паспорт или eID-карту почти всегда будет обоснованным.
Персональный код законно могут потребовать предъявить в госучреждениях и в учебных учреждениях, в медицинских учреждениях, при получении банковских услуг, например, при оформлении потребительских кредитов, при оформлении нотариальных документов (например, доверенности), при заключении договоров (например, договоры со спортклубом), в домоуправлениях и т. д.
– А при оформлении клиентских карт в магазинах?
– При оформлении карт лояльности компании могут обойтись без персонального кода. Поэтому требовать его не должны, за исключением случаев, когда запрос персонального кода нужен для какой-то дополнительной цели (например, для выставления счетов).
– Обязан ли клиент предъявлять личные данные, чтобы записать ребенка в кружок или в лагерь?
– При заключении договора с лагерем родитель должен предоставить личные данные ребенка и свои данные, в лагере должны знать, за какого ребенка берут ответственность. При записи в детские кружки тоже, если это не одноразовое посещение, просят указать личные данные ребенка и данные родителя.
– А при устройстве на работу?
– Конечно, вам придется указать свои личные данные и предъявить удостоверяющий личность документ.
– Имеет ли право работодатель или его сотрудники забрать у меня копию паспорта?
– На рабочем месте достаточно лишь показать паспорт или eID-карту, представители работодателя запишут ваши данные и отдадут документ обратно.
– А устроители разных лотерей имеют право попросить у клиента персональный код?
– Там, насколько я знаю, действует принцип минимизации: персональный код не спросят в начале лотереи, но если человек выиграет деньги или другие блага, у него попросят личные данные, чтобы его идентифицировать.
В услуге не откажут?
– В каких случаях учреждение может отказать в услуге, если человек не согласился указать свой персональный код и предоставить другие личные данные?
– Если по закону для предоставления услуг учреждение или компания должны идентифицировать личность клиента, но клиент не предоставляет удостоверяющий личность документ, ему откажут в услуге – это может произойти в банках, в медицинских учреждениях, в нотариальных конторах и т. п.
Исключение – сервисы, где не требуется идентификация клиентов. Это могут быть, например, компании, рассылающие коммерческие предложения.
Как защититься от мошенников?
- Регулярно проверяйте выписки с банковских счетов. Мошенничество с кредитными картами – одна из самых распространенных форм кражи личных данных.
- Используйте надежные пароли, лучше разные – в разных учетных записях и время от времени их меняйте.
- Не отдавайте личные документы в качестве залога – это незаконно.
- Не выбрасывайте конфиденциальные письма в мусорную корзину, предварительно не измельчив их.
- Не используйте незащищенный общественный Wi-Fi при подключении к банковским приложениям.
- Не отправляйте конфиденциальную информацию по электронной почте или через незащищенные приложения для обмена сообщениями.
- Не совершайте покупки и не загружайте приложения с неавторизованных сайтов.
Зачем нужны копии?
– В каких случаях клиенту достаточно просто предъявить удостоверяющий личность документ и в каких случаях учреждение имеет право снять копию с документа и оставить ее у себя?
– Учреждение копирует документы в тех случаях, когда их обязывает закон. В этом случае согласие клиента не требуется, а требуется только его информирование о цели, для которой снимается копия.
В большинстве случаев клиенту достаточно предъявить документ, только в исключительных случаях, когда это предусмотрено законом, документ необходимо скопировать: например, банки с целью предотвращения отмывания денег обязаны получить копии документов, удостоверяющих личность клиента. Также при введении данных в ученическое дело в школах и в вузах правила Кабмина обязывают эти заведения снять копию паспорта или eID-карты ученика.
В большинстве других случаев копии документов не запрашиваются, так как они не требуются для идентификации.
– Если учреждение копирует документ с персональным кодом, должно ли оно взять письменное разрешение владельца документа на копирование?
– Нет, если закон разрешает учреждению оставлять у себя копию, ему не понадобится ваша подпись на копии. Если законом не предусмотрено получение копии, то подпись клиента на копии паспорта не сделает копию законной для подачи.
– Что делать, если в компании сняли копию незаконно?
– Пожаловаться в Государственную инспекцию данных, которая примет меры и может наложить на компанию штраф.
Штраф на миллион
– Какие штрафы грозят компаниям, допустившим утечку данных?
– Штрафы зависят от того, насколько существенны украденные данные. Чем они существеннее, тем больший будет штраф. Если компания нарушает законы о защите данных, в результате чего возникает, например, кража идентичности (кто-то взял большой кредит на чужое имя, или незаконно подключился к дорогостоящей услуге, используя чьи-то личные данные), штрафы могут доходить до миллионных сумм. Согласно Общему регламенту по защите данных штраф может достигать 20 миллионов евро, или до 4 процентов с оборота компании.
– Неужели штрафы на миллионы выписывали даже в Латвии?
– Да, например, Госинспекция данных присудила компании SIA TET выплатить штраф размером 1,2 миллиона. Сейчас компания пытается обжаловать это решение в суде.
Инцидент произошел в 2021 году, когда один человек подписал контракт с TET, выдав себя за другого человека и используя его данные. Госинспекция данных обвиняет TET в отсутствии надлежащих инструментов контроля для предотвращения таких рисков.
Как поменять персональный код?
Сейчас персональный код большинства жителей Латвии содержит дату рождения, и многим это не нравится. Как оформить персональный код без даты рождения? Об этом рассказывает представитель Управления по делам гражданства и миграции Мадара Пуке.
– Поменять персональный код на персональный код без даты рождения можно в течение всей жизни, подав заявление лично в любой территориальный отдел Управления по делам гражданства и миграции (УДГМ) или в представительство Латвийской Республики за рубежом. Заявление на получение нового документа, удостоверяющего личность, можно подать лично по предварительной записи при подаче прошения на получение нового документа, удостоверяющего личность.
– Сколько раз можно поменять персональный код? И надо ли будет менять все документы?
– Вы можете изменить персональный код один раз в течение жизни. Изменение персонального кода – бесплатная услуга.
Но надо учитывать, что вы не сможете выбрать комбинацию цифр для персонального кода, а после его изменения не сможете передумать и восстановить прежний персональный код.
Также вам надо будет учесть, что после изменения персонального кода:
- документ, удостоверяющий личность (паспорт и/или удостоверение личности), становится недействительным;
- Если вам 15 лет или более, вы обязаны в течение 30 дней подать документы для получения нового документа, удостоверяющего личность, за что уплачивается государственная пошлина;
- все документы с прежним латвийским персональным кодом (например, водительские права, студенческие билеты, удостоверения инвалида или пенсионера, электронная подпись, банковская авторизация и т. д.) должны быть заменены.
– Тем, кто сейчас оформляет документы, в персональном коде не указывается дата рождения?
– С 1 июля 2017 года всем лицам, зарегистрированным в Регистре физических лиц, присваиваются персональные коды без указания даты рождения.
Персональный код состоит из 11 цифр и не повторяется. Первая цифра персонального кода 3, остальные десять – автоматически сгенерированы.
Зачем крадут данные?
– Что могут сделать злоумышленники с украденным персональным кодом или другими личными данными?
– По одному персональному коду человеку ничего особенно плохого не сделаешь –злоумышленникам требуется целый комплект личных данных. Персональные коды, например, указываются в Latvijas Vestnesis при публикации нотариальных документов.
– Можно ли взять кредит на имя другого человека, зная лишь его персональный код?
– Не думаю, что персонального кода для этого будет достаточно. Раньше, три-четыре года назад, краденые персональные коды мошенники использовали для того, чтобы взять быстрые кредиты. Сейчас кредитные учреждения обязаны тщательнее проверять данные клиентов при их идентификации, поэтому такие случаи остались в прошлом.
Иногда личные данные выманивают по электронной почте, чтобы потом от вашего имени создать фейковый профиль в соцсетях или на сайтах. Или основываясь на ваших реальных данных мошенники могут подделать паспорт, например для выезда в США, просто впечатав туда свое фото. При въезде в другую страну мошенникам нужно доказать, что у них есть определенная история.
Потом, уже въехав в США, мошенники могут совершить там что-то противозаконное, а виноват, по мнению американских властей, будет человек, у которого украли данные.
– В Латвии были подобные случаи?
– Я слышал, что латвийские жители были вовлечены в подобные случаи, но само воровство данных происходило за границей.
– Мошенники, ворующие данные, понесли наказание?
– В Латвии о таком не слышал. А за границей – определенно да.
– Как защитить свои личные данные?
– Тут может быть несколько рекомендаций:
- выбирайте надежных поставщиков услуг с хорошей репутацией;
- оцените, какие данные вы передаете, и не бойтесь спрашивать, зачем компании нужны эти данные;
- никому не давайте доступ к своим банковским счетам, электронной почте и телефону, потому что через них можно получить доступ к вашим данным и использовать их бесконтрольно.
Марина СИУНОВА