18.06.2023 16:44
SolarST 1 1400 Источник

Введение

Здравствуй, Хабр! Я бы хотел затронуть одну из самых узнаваемых марок автомобилей в мире - Toyota. С этой компанией мы знакомы уже с 1933 года, и за это время она завоевала всеобщее признание и доверие. Однако в середине апреля этого года появились слухи о возможной утечке персональных данных пользователей, связанных с этим автопроизводителем. В данной статье я хотел бы рассмотреть, как бренд Toyota подходит к вопросу защиты и сохранения конфиденциальности данных, а также кратко обсудить недавний случай утечки информации.

Общие положения

Область применения политики

Глобально, области применения политики в области защиты и сохранения конфиденциальности данных бренда можно разделить на три части:

  1. Процессы в обществе:

    Политика применяется ко всем процессам, осуществляемым в обществе, которые включают обработку персональных данных субъектов персональных данных всех категорий. Это может включать использование веб-сайтов и мобильных приложений общества, обращения к обществу в любой форме (например, посредством почты, электронной почты или телефона), направление жалоб, комментариев или предложений, посещение помещений общества, заключение и исполнение сделок со стороной, являющейся обществом, и другие ситуации, не указанные явно.

  2. Подразделения общества:

    Политика также распространяется на подразделения общества, которые участвуют в вышеуказанных процессах. Это означает, что все подразделения общества должны соблюдать принципы и требования политики при обработке персональных данных.

  3. Другие организации и учреждения:

    Основные положения политики могут распространяться на подразделения других организаций и учреждений, которые взаимодействуют с обществом в качестве контрагентов и потребителей информации. Это означает, что при взаимодействии с такими организациями и учреждениями, общество может требовать их соблюдения принципов и требований политики по обработке персональных данных.

Таким образом, область применения данной политики охватывает все процессы, связанные с обработкой персональных данных в обществе, включая его подразделения и взаимодействие с другими организациями и учреждениями.

Регулирующие нормативно правовые акты

Правовой основой настоящей Политики бренда является:

  • №152-ФЗ от 27 июля 2006 года «О персональных данных»;

  • Трудовой кодекс РФ;

  • Приказы, рекомендации и инструкции Министерства цифрового развития, связи и массовых коммуникаций (Мин цифра), Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ)

  • Локальные акты ООО «Тойота Мотор»

Так же стоить отметить что общество включено в реестр операторов, осуществляющих обработку персональных данных

Категории обрабатываемых персональных данных

Общество обрабатывает следующие категории Субъектов Персональных данных:

  • Работники общества;

  • Родственники работников;

  • Кандидаты на должности работников;

  • Представители третьих лиц, имеющих договорные или преддоговорные отношения с обществом;

  • Индивидуальные предприниматели и физические лица, имеющие договорные или преддоговорные отношения с обществом в качестве бенефициаров или поручителей;

  • Участники, акционеры (бенефициары) дилеров;

  • Работники дилеров;

  • Журналисты, представители СМИ, участники маркетинговых и иных акций и мероприятий;

  • Клиенты, являющиеся владельцами или потенциальными владельцами автомобилей Тойота и Лексус, а также обращающиеся за ремонтом или техническим обслуживанием автомобилей Тойота и Лексус к дилеру;

  • Посетители общества.

Проанализировав данный список, можно сделать вывод, что общество обрабатывает разнообразные категории персональных данных, включая, но не ограничиваясь:

  • Идентификационные данные (имя, фамилия, дата рождения и т.д.);

  • Контактные данные (адрес, номер телефона, адрес электронной почты и т.д.);

  • Данные о трудовой деятельности (должность, место работы и т.д.);

  • Финансовые данные (банковские реквизиты, информация о доходах и т.д.);

  • Данные о транспортных средствах (марка, модель, государственный регистрационный номер и т.д.);

  • Данные о взаимодействии с обществом (история обращений, жалобы, комментарии и т.д.).

Принципы обработки персональных данных

Принципы позволяют обеспечить законность, прозрачность и надлежащую обработку персональных данных в соответствии с законодательством Российской Федерации. У бренда Toyota они следующие.

  1. Законность и справедливость обработки:

    Обработка персональных данных осуществляется на законной и справедливой основе в соответствии с требованиями Федерального закона Российской Федерации "О персональных данных".

  2. Ограничение целей обработки:

    Обработка персональных данных ограничивается достижением заранее определенных и законных целей. Обработка данных, несовместимая с целями сбора персональных данных, не допускается.

  3. Несовместимость баз данных:

    Запрещено объединение баз данных, содержащих персональные данные, если их обработка осуществляется для несовместимых целей.

  4. Соответствие данных целям обработки:

    Обрабатываются только те персональные данные, которые соответствуют заявленным целям и не являются избыточными.

  5. Точность и актуальность данных:

    При обработке персональных данных обеспечивается их точность, достаточность и актуальность в отношении заявленных целей обработки.

  6. Срок хранения данных:

    Хранение персональных данных осуществляется в форме, которая позволяет определить субъекта персональных данных не дольше, чем требуется для достижения целей обработки. Если срок хранения не установлен федеральным законом или договором, персональные данные должны быть уничтожены или обезличены после достижения целей обработки или при утрате необходимости в их достижении.

Анализ доступа к персональным данным

Так же рассмотрим, кто и где может иметь доступ к персональным данным потребителей:

  1. Внутри своих организаций и в сфере своего бренда.

    Доступ предоставляется сотрудникам, обладающим должными полномочиями, а также дочерним компаниям. Однако список лиц, имеющих доступ к персональным данным, не ограничивается этим. Члены сети Toyota, включая продавцов и ремонтные службы, также могут получить доступ к данным пользователя. При покупке автомобиля потребитель самостоятельно указывает предпочитаемый салон, и именно он получает доступ к соответствующим данным.

  2. Деловые партнеры (третьи лица).

    Сюда включается возможность передачи ваших данных рекламным и маркетинговым агентствам, деловым партнерам и прямым поставщикам услуг Toyota.

  3. Иные третьи лица.

    Внутри своих организаций и в сфере своего бренда, этот пункт содержит достаточно широкий перечень лиц, которым предоставляется доступ к пользовательским данным. Однако, предоставление персональных данных должно иметь законные основания. Правоохранительные органы, органы судебной и исполнительной власти могут получить доступ к персональным данным пользователя при предъявлении официальных запросов. Кроме того, Toyota имеет право на передачу персональных данных покупателя в случае, когда требуется защита интересов компании.

Меры по обеспечению безопасности данных применяемые брендом

Компания Toyota предпринимает необходимые юридические, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления и распространения, а также от других неправомерных действий. Среди таких мер:

  1. Идентификация потенциальных угроз и разработка процедуры для их предотвращения

  2. Установка внутренних правил и процедур для соблюдения законодательства, а так же назначение ответственного лица за обработку персональных данных

  3. Применение организационных и технических мер для обеспечения безопасности персональных данных в информационных системах

  4. Проведение оценки эффективности используемых средств защиты информации для подтверждения их соответствия требованиям

  5. Мониторинг и обнаружение несанкционированного доступ

  6. Возможность восстановления персональных данных при случаях несанкционированного доступа

  7. Установление правил доступа и регистрация действий с персональными данными

Пункты, на которые следует обратить внимание при подписании соглашения на обработку персональных данных Toyota

  1. Право выбора способа связи:

    Это положение подчеркивает важность учета предпочтений пользователя в отношении контакта и общения, обеспечивая комфортную связь между компанией и пользователем.

  2. Информированность о хранении данных:

    Пользователь имеет право знать, какие персональные данные о нем хранит компания и как они были получены. Это способствует прозрачности и позволяет пользователям быть осведомленными о том, как используются их данные.

  3. Право на исправление ошибок:

    Если пользователь обнаружит ошибки или неточности в своих персональных данных, ему предоставляется возможность потребовать их исправления. Это гарантирует точность и актуальность данных и позволяет пользователям контролировать свою информацию.

  4. Ограничение обработки данных:

    Потребитель имеет право наложить ограничения на обработку своих персональных данных. Это может быть важно для пользователей, желающих контролировать, как и в каких целях их данные обрабатываются.

  5. Запрет на передачу данных третьим лицам и рекламным агентствам:

    Этот пункт позволяет потребителю самостоятельно определить, согласен ли он на передачу своих данных третьим лицам или их использование рекламными агентствами. Это дает пользователю больше контроля над использованием и раскрытием его персональных данных.

Немного о недавней утечке данных, связанной с компанией Toyota

В результате утечки данных, объявленной крупнейшей японской автомобилестроительной корпорацией Toyota, около 2,15 млн владельцев Toyota в Японии стали жертвами нарушения конфиденциальности. Данная утечка произошла из-за ошибок в настройках облачных сервисов и привела к тому, что информация, содержащая местоположение автомобилей и их номера, оказалась доступной публично в течение целых 10 лет.

Проблема с настройками облачной системы возникла в ноябре 2013 года и продолжалась до середины апреля 2023 года. Ошибка заключалась в том, что система была неправильно настроена как общедоступная, а не частная. В результате, информация о местоположении автомобилей и номерах оказалась доступной. Компания Toyota заявила, что не было никаких отчетов о злоумышленном использовании этих данных.

В рамках данной утечки пострадали владельцы автомобилей Lexus, а также пользователи сервисов T-Connect и G-Link, которые предоставляют различные услуги, включая голосовую помощь во время вождения, автоматическое подключение к горячей линии для управления автомобилем и экстренную поддержку в случае ДТП.

После этого случая законодательные меры в Японии были ужесточены. Новый законопроект предусматривает значительные штрафы для компаний, которые допустят утечку данных. В случае нарушения конфиденциальности, компании могут быть оштрафованы на сумму до 500 млн рублей.

В целом, утечка данных в Toyota является напоминанием о необходимости постоянного внимания к безопасности данных и внедрения соответствующих мер, чтобы предотвратить подобные инциденты в будущем и защитить конфиденциальность и доверие клиентов.

Комментарии (1)


  1. anonymous
    00.00.0000 00:00
    #25663886

    НЛО прилетело и опубликовало эту надпись здесь