Разделы

Безопасность Госрегулирование Пользователю Бизнес Законодательство Интернет Веб-сервисы Техника

В России штрафы за утечку персональных данных увеличатся в миллионы раз

Российский крупный бизнес оказался перед угрозой оборотных штрафов за утечку персональных данных. Такое наказание для них готовят Минцифры и Роскомнадзор. Штрафы составят 1% от годового дохода компаний, что в несколько миллионов раз больше нынешних размеров штрафов. Например, сервис «Яндекс.еда» за крупную утечку данных своих пользователей в марте 2022 г. заплатил всего лишь 60 тыс. руб.

Наказание соразмерно проступку

В России могут многократно увеличиться штрафы за утечку персональных данных, допущенных их операторами. Об этом пишут «Ведомости» со ссылкой на главу Департамента обеспечения кибербезопасности Минцифры России Владимира Бенгина.

Со слов Бенгина, наказание за недостаточную защищенность персональных данных может вырасти до 1% от годового дохода компании, допустившей утечку. Другими словами, речь идет об оборотных штрафах. По подсчетам издания, если говорить о крупном бизнесе, это в миллионы раз больше штрафов, которые компании платят сейчас.

«Вопрос утечек в последние месяцы очень острый. Мы хотим ввести оборотные штрафы в ближайшей перспективе, до конца этого года. По нашему мнению, оборотный штраф должен быть очень большой, 1% от годового оборота», – сказал Бенгин.

Владимир Бенгин подчеркнул, что Минцифры в настоящее время рассматривает возможность перехода на оборотные штрафы за подобные утечки. Сроки введения нового наказания он не уточнил, добавив лишь, что первоначально Минцифры планировало также внедрить возможность снижения штрафа при выполнении компанией требований по информационной безопасности. В итоге от этой идеи было решено отказаться.

rub600.jpg
Компании дорого заплатят за неумение бережно обращаться с персональными данными

«Если ты допустил утечку, ты однозначно виноват независимо от того, соблюдал ты требования формально или нет», – заявил Владимир Бенгин.

Десятками тысяч рублей отделаться не получится

В действующем в России законодательстве наказание за утечки персональных данных прописано в КоАП. Согласно ст. 13.11. первая такая утечка обойдется оператору персональных данных в сумму от 60 тыс. руб. до 100 тыс. руб.

Предусмотрено и наказание за вторую и последующие утечки. Оно достигает 500 тыс. руб.

При этом Минцифры еще в феврале 2022 г. говорило о необходимости введения оборотных штрафов за утечку персональных данных. Об этом представители ведомства говорили на круглом столе в Совете Федерации. Спустя еще два месяца, в апреле 2022 г., тема всплыла повторно – глава Минцифры Максут Шадаев объявил, что Министерство на пару с Роскомнадзором внесет инициативу по оборотным штрафам в качестве наказания за утечки на рассмотрение в Госдуму.

Когда именно Минцифры планирует подготовить поправки к КоАП, неизвестно. Со слов Максута Шадаева, в Госдуму они будут направлены до конца 2022 г.

Кого будут наказывать

В первую очередь новые оборотные штрафы направлены на крупный российский бизнес. За последние несколько лет его представители многократно допускали утечки персональных данных как своих работников, так и своих клиентов. В некоторых случаях количество пострадавших в результате таких утечек россиян исчислялось десятками миллионов.

Один из последних на момент публикации материала примеров – ситуация, в которой оказался сервис доставки еды «Яндекс.еда». 1 марта 2022 г. сервис сообщил об утечке номеров телефонов клиентов и данных об их заказах, заявив, что ее допустил один из его сотрудников. «В результате недобросовестных действий одного из сотрудников в интернете были опубликованы телефоны клиентов и информация об их заказах: состав, время доставки и так далее. Утечка не коснулась банковских, платежных и регистрационных данных пользователей, то есть логинов и паролей. Эти данные в безопасности», – говорится в заявлении сервиса.

22 марта 2022 г. в Сети появилась информация об очередной утечке персональных данных пользователей «Яндекс.еды». Как пишет ТАСС, представители сервиса незамедлительно выступили с опровержением. «Никаких новых инцидентов в сфере информационной безопасности с 1 марта (2022 г. – прим. CNews) не было», – заявили они изданию.

За мартовскую утечку сервис выплатил штраф в размере 60 тыс. руб. На момент публикации материала не было достоверно известно, сколько людей в итоге пострадали. В середине апреля 2022 г. клиенты «Яндекс.Еды» подали коллективный иск из-за утечки данных. На начальном этапе под ним подписались 20 человек – каждый из них требовал по 100 тыс. руб. за моральный ущерб.

В начале октября 2019 г. CNews сообщал о произошедшей в Сбербанке крупнейшей утечки в истории российского банковского сектора. В Сеть попала база с персональными данными 60 млн клиентов банка. Позже выяснилось, что утечку допустил один из сотрудников банка.

Спустя всего четыре дня стало известно об утечке в «Билайне», намного менее масштабной. В интернете появились сведения о 2 млн абонентах проводного интернета «Билайна. Еще через два года, в сентябре 2021 г. выяснилось, что данная база на протяжении всех этих месяцев находилась в открытом доступе, хотя оператор заявлял, что закрыл ее.

В августе 2021 г. в даркнете появилась база данных со скан-копиями паспортов 1,3 млн российских клиентов компании Oriflame. За столь крупную утечку компания поплатилась штрафом в размере 30 тыс. руб.

Халатность приводит к слежке за россиянами

Утекшие данные пользователей «Яндекс.еды» киберпреступники использовали для создания картографических сервисов, на которых они отмечали местоположение этих пользователей. Ресурсы были закрыты Роскомнадзором, но 18 мая 2022 г. в Сети появился новый сайт с такой же картой, но на этот раз дополненный сведениями из ГИБДД, СДЭК, Wildberries, «Авито», «Билайна» и других источников. Со слов создателей ресурса, они сделали его потому, что «конфиденциальность не ценится», и что «множество личных данных было незаконно выложено в сеть».

Как сообщили РБК представители «Авито», утечек у сервиса не было. С их слов, всю информацию авторы хакерской карты получили путем парсинга публичных данных. В СДЭК заявили изданию, что для это карты могли использоваться данные, попавшие в интернет в конце февраля 2022 г., «когда СДЭК и многие другие российские компании и учреждения оказались объектами хакерских атак».

Представители Wildberries и ГИБДД опровергли информацию об утечке. Роскомнадзор сразу же заблокировал хакерский сайт.