Штрафы за утечку данных в россии

Оборотные штрафы за утечку персональных данных

Зачем нужен новый закон

В настоящее время компании, допустившие утечки персональных данных, могут быть оштрафованы на сумму до 100 тысяч рублей и до 300 тысяч рублей при повторном нарушении. Однако, такие штрафы, по мнению авторов поправок, не соответствуют возможным последствиям от таких утечек.

При попадании в руки злоумышленников, персональные данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и других преступлений. Поэтому, новые поправки должны стимулировать компании инвестировать в информационную безопасность и защиту данных своих пользователей.

Громкие суды — утечка в Гемотест

Утечка произошла в мае 2022 года: в сеть утекла база данных, записи которой совпадают с клиентами «Лаборатории Гемотест», хранившимся в информационной системе «Gemotech». Саму базу нашли на сайтах-перекупщиках баз данных, где она была размещена для продажи.

Данные, которые оказались доступными на черном рынке: ФИО; дата рождения; пол; адрес; СНИЛС; сведения, указанные в документе, удостоверяющем личность; адрес электронной почты; номер телефона; сведения об оказанных медицинских услугах.

Мировой судья, рассматривавший дело в первой инстанции, указал, что факт несанкционированного доступа к персональным данным, который подтвержден материалами служебной проверки и отчетом IT-компании, не влияет на квалификацию действий самой лаборатории.

Также суд указал на то, что Гемотест «самостоятельно и намеренно» предоставил доступ к данным.

На этапе апелляции решение суда осталось неизменным.

Итог — штраф согласно ч. 1 ст. 13.11 КоАП в размере 60 000 рублей. Но это было в 2022 году. По новому законопроекту такое нарушение могло бы повлечь штраф

  • от 10 000 000 до 15 000 000 рублей, если утечка медицинских данных не будет признана,
  • от 25 000 000 (0,1% выручки ООО «Лаборатории Гемотест» за 2021 год) до 500 000 000 рублей в случае утечки медицинской информации.

Люстрации для топ-менеджмента за утечки данных

Вчера, 22 января 2024 г., CNews рассказал о законопроекте, в котором предлагается люстрация для ответственных за информационную безопасность (ИБ) в российских банках, которые допустили утечку.

Проект закона был подготовлен при участии Банка России. «Он предусматривает повышение уровня персональной ответственности заместителя главы банка в области ИБ за нарушения требований по защите информации пользователей, которые привели к утечке ПДн или банковской тайны», — сообщили «Известиям» в Банке России.

Законопроект коснется не только банков, но и страховых компаний, пенсионных фондов и микрокредитных финансовых организаций.

Новые штрафы за неуведомление Роскомнадзора

В настоящее время нет отдельной нормы, предусматривающей самостоятельные штрафы за непредставление уведомлений в Роскомнадзор. Нарушителей штрафуют по общей ст.19.7 КоАП РФ, устанавливающей штрафы за непредставление сведений и информации в контролирующие государственные органы. 

В соответствии с данной нормой несдача в Роскомнадзор обязательных уведомлений грозит должностным лицам организаций и ИП штрафом в размере от 300 до 500 рублей, а организациям – от 3 000 до 5 000 рублей. Штрафы в подобных размерах не останавливают недобросовестных операторов персональных данных от несдачи уведомлений.

Уже принятый в первом чтении законопроект № 502104-8 вводит специальные штрафы за несдачу уведомлений в Роскомнадзор в повышенном размере. В этих целях законопроект дополняет действующую ст.13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных) новыми частями.

Согласно ч.10 ст.13.11 КоАП РФ неуведомление или несвоевременное уведомление Роскомнадзора о намерении начать обработку персональных данных будет грозить следующими штрафами:

  • от 30 000 до 50 000 рублей – для должностных лиц организаций;
  • от 100 000 до 300 000 рублей – для индивидуальных предпринимателей;
  • от 100 000 до 300 000 рублей – для организаций.

По новой ч.11 ст.13.11 КоАП РФ для компаний будут введены штрафы за неуведомление Роскомнадзора об утечке персональных данных. Данное нарушение повлечет наложение штрафов в размере:

  • от 400 000 до 800 000 рублей – для должностных лиц организаций;
  • от 1 млн до 3 млн рублей – для индивидуальных предпринимателей;
  • от 1 млн до 3 млн рублей – для организаций.

Планируется, что эти штрафы будут введены в действие уже в 2024 году. Срок начала их применения, намеченный законопроектом, – по истечении 30 дней после дня официального опубликования закона.

Уведомление об обработке персональных данных в 2024 году

Все организации и ИП, которые планируют начать обработку персональных данных, в 2024 году должны уведомить об этом Роскомнадзор. 

Уведомление нужно подать до начала обработки персональных данных по форме, утвержденной приказом Роскомнадзора от 28.10.2022 № 180. Согласно ч.3 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в уведомление должны быть включены следующие данные:

  • наименование организации или ФИО предпринимателя, которые планируют осуществлять обработку персональных сведений физлиц, и их адрес;
  • цель обработки персональных данных;
  • сведения о наличии у компании шифровальных (криптографических) средств и наименования этих средств;
  • ФИО работников, ответственных за обработку персональных данных, и их контактные данные (телефон, почтовый индекс, электронная почта);
  • дата начала обработки персональных данных;
  • срок прекращения обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ;
  • сведения об обеспечении безопасности персональных данных.

Конкретных сроков представления этих сведений в составе уведомления законодательство не содержит. При этом уведомить Роскомнадзор требуется до начала осуществления обработки персональных данных. 

О любых изменениях сведений (например, при изменении целей или сроков обработки персональных данных) компания должна уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.

Уведомить Роскомнадзор о прекращении обработки персональных данных требуется в течение 10 рабочих дней с даты прекращения их обработки (ч.7 ст.22 Федерального закона от 27.07.2006 № 152-ФЗ).

Изменения по персональным данным

  • Как обрабатывать персональные данные: новые рекомендации Роскомнадзора
  • Сбор персональных данных: новые требования для компаний
  • Как компаниям уничтожать персональные данные
  • Штрафы за неправомерную обработку персональных данных с 23 декабря 2023 года

Путин отметил необходимость наказания за утекшие данных

Президент России Владимир Путин одобрил введение уголовной ответственности за незаконный оборот персональных данных, в том числе и за использование утекших баз данных, в ходе встречи с членами Совета по развитию гражданского общества и правам человека (СПЧ).

Президент пообещал дать соответствующие рекомендации и поручения Минцифры, МВД и Центральному банку.

Запись видеоконференции размещена на сайте kremlin.ru.

Инициативу предложил член СПЧ, глава Национального антикоррупционного комитета Кирилл Кабанов. Он призвал ввести в законодательство понятие «незаконный оборот персональных данных» по аналогии с понятием о незаконном обороте наркотиков. И предложил прописать оборотные штрафы и уголовное наказание для компаний, которые допустили утечки и пользовались базами.

Президент России поддержал введение уголовной ответственности за утечку персональных данных граждан

«Наверное, есть необходимость и ужесточения ответственности за правонарушения в этой сфере, — ответил Владимир Путин на предложение. — Что касается оборотных штрафов и уголовной ответственности, я так понимаю, что вы говорите об уголовной ответственности за незаконный оборот, ведь те, кто использует эти данные, они должны знать и понимать, что они используют украденные данные. Конечно это нужно поработать и принять взвешенные решения, которые и интересы граждан защитят и не будут являться препятствием для развития соответствующих и очень нужных для государства информационных технологий».

Незаконная обработка персональных данных

Законодатели планируют увеличить штрафы за незаконную обработку персональных данных, а также за обработку персональных данных, несовместимую с целями сбора (ч. 1, 1.1 ст. 13.11 КоАП РФ). 

Сравнительная таблица с действующими и планируемыми суммами штрафов

Действующий штраф

Планируемый штраф 

Первоначальное нарушение

Граждане 

2 000–6 000 руб.

10 000–15 000 руб.

Должностные лица

10 000–20 000 руб.

50 000–100 000 руб.

Организации

60 000–100 000 руб.

150 000–300 000 руб. 

Повторное нарушение

Граждане 

4 000–12 000 руб.

15 000–30 000 руб.

Должностные лица

20 000–50 000 руб.

100 000–200 000 руб.

Организации

100 000–300 000 руб.

300 000–500 000 руб.

Утечка персональных данных

Законодатели планируют ввести внушительную ответственность за утечку персональных данных. 

Таблица с планируемыми составами правонарушений

Состав

Граждане

Должностные лица государственного или муниципального органа

Организации, не являющиеся государственными или муниципальными структурами

Действия или бездействие оператора, повлекшие утечку персональных данных от 1 000 до 10 000 субъектов персональных данных или от 10 000 до 100 000 идентификаторов, по которым можно определить субъектов

100 000– 200 000 руб.

800 000–1 000 000 руб.

3 000 000–5 000 000 руб.

Действия или бездействие оператора, повлекшие утечку персональных данных от 10 000 до 100 000 субъектов персональных данных или от 100 000 до 1 000 000 идентификаторов, по которым можно определить субъектов

200 000–300 000 руб.

1 000 000–1 500 000 руб.

5 000 000–10 000 000 руб. 

Действия или бездействие оператора, повлекшие утечку персональных данных более 100 000 субъектов персональных данных или более 1 000 000 идентификаторов, по которым можно определить субъектов

300 000–400 000 руб.

1 500 000–2 000 000 руб. 

10 000 000–15 000 000 руб

Повторное нарушение 

400 000–600 000 руб.

2 000 000–4 000 000 руб.

От 0,1 до 3 % выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 000 000 и не более 500 000 000 рублей

Сейчас таких составов в КоАП РФ нет. Планируются и другие поправки, но сейчас это пока только проект федерального закона.

Что важно учесть?

Если в представленном уведомлении Роскомнадзор обнаружит неполные или некорректные сведения, в течение трех рабочих дней он направит по адресу электронной почты из первичного уведомления запрос о предоставлении недостающих сведений или пояснений. Предоставить такие сведения или пояснения нужно в течение трех рабочих дней со дня получения запроса от Роскомнадзора.

Если оператор не предоставил дополнительное уведомление в установленные сроки, Роскомнадзор вправе потребовать сведения о результатах внутреннего расследования выявленного инцидента. Ответ на такое требование нужно представить в течение одного рабочего дня со дня его получения.

Если Роскомнадзор самостоятельно выявит факт утечки базы персональных данных, содержание которой указывает на ее принадлежность к конкретному оператору, такому оператору направляется требование о необходимости предоставить первичное или дополнительные уведомления. Предоставить их нужно в обычные сроки (24 часа для первичного уведомления, 72 часа – для дополнительного).

Если оператор, получив требование Роскомнадзора, выяснит, что скомпрометированная база персональных данных ему не принадлежит, он направляет в Роскомнадзор дополнительное уведомление, к которому прикладывает акт о проведенном внутреннем расследовании, подтверждающий отсутствие факта неправомерной передачи или распространения персональных данных.

Если оператор выяснит, что сведения об утечке базы данных ранее уже направлялись в Роскомнадзор, он направляет в ведомство уведомление, в котором указывает дату и номер ранее направленного уведомления.

Штрафы за несогласованную обработку персональных данных

Подписанный президентом Федеральный закон от 12.12.2023 № 589-ФЗ, который вступает в силу с 23 декабря 2023 года, существенным образом увеличивает размеры штрафов за обработку персональных данных граждан без их согласия. 

В настоящее время перед началом обработки (сбора и использования) персональных данных граждан любая компания должна получить от них соответствующее разрешение. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. По общему правилу, согласие должно быть получено от физлица в письменной форме. Равнозначным согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью. 

Физлицо, давшее письменное согласие на обработку своих персональных данных, в любое время может его отозвать (с. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). В этих случаях оператор (организация или ИП, использующие персональные данные граждан) должен прекратить обработку персональных данных и уничтожить ранее собранные сведения. 

Обработка персональных данных без согласия физлица, в том числе и в случаях, когда согласие на обработку было отозвано, является основанием для привлечения организации и ИП к административной ответственности по ч. 2 ст. 13.11 КоАП РФ. Данная норма сейчас предусматривает наложение штрафов на операторов в размере до 150 000 рублей, а за повторное нарушение – до 500 000 рублей. С 23 декабря 2023 года размеры штрафов существенно увеличатся. 

Штрафы по ч.2 ст. 13.11 КоАП РФ с 23 декабря 2023 года

Штрафы за обработку персональных данных без согласия физлица:

  • от 10 000 до 15 000 рублей – для граждан;
  • от 100 000 до 300 000 рублей – для должностных лиц организаций и ИП;
  • от 300 000 до 700 000 рублей – для организаций.

Повторное нарушение повлечет наложение штрафов в увеличенном размере:

  • от 15 000 до 30 000 рублей – для граждан;
  • от 300 000 до 500 000 рублей – для должностных лиц организаций;
  • от 500 000 до 1 млн рублей – для ИП;
  • от 1 млн до 1,5 млн рублей – для организаций.

Такие же штрафы повлечет за собой обработка персональных данных при наличии письменного согласия физлица, в котором отсутствует часть обязательных сведений. Письменное согласие гражданина само по себе не является достаточным основанием для обработки его личных данных

Важно, чтобы такое согласие носило надлежащий характер. 

Требования к содержанию согласия на обработку персональных данных установлены в соответствии с приказом Роскомнадзора от 24.02.2021 № 18. Чтобы обработка данных считалась осуществленной с согласия физлица, в письменном согласии последнего в обязательном порядке должны содержаться следующие сведения:

  • ФИО и паспортные данные;
  • наименование (или ФИО) и адрес оператора, получающего согласие на обработку персональных данных или лица, осуществляющего обработку персональных данных по поручению оператора;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов такой обработки;
  • сведения об информационных ресурсах оператора (интернет-сайтах), посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными;
  • срок, в течение которого действует согласие на обработку персональных данных;
  • подпись физлица, предоставляющего свои данные.

Если в согласии отсутствует хотя бы часть из указанных выше сведений, обработка персональных данных будет считаться осуществленной без согласия физлица и оператора привлекут к ответственности по ч. 2 и 2.1 (при повторном нарушении) ст. 13.11 КоАП РФ.

За что оштрафуют

Что делать, если под угрозой действительно важные данные

Если в утечке оказались данные банковских карт, следует обратиться в службу поддержки банка. Банки щепетильно подходят к сохранности данных банковских карт клиентов. Прежде всего потому, что закон будет на стороне клиента, если кто-то неправомерно воспользуется данными его карты. Поэтому службы безопасности банков постоянно ведут мониторинг площадок, на которых продаются персональные данные, проводят контрольные закупки и блокируют скомпрометированные карты. Так что в большинстве случаев банк узнает о такой утечке раньше вас и примет все необходимые меры. Но все же лучше не оставлять ничего на волю случая и связаться с банком самостоятельно.

Если в утечку попали сканы документов, нужно быть бдительнее. К счастью, времена, когда по скану паспорта мошенники могли сделать почти все что угодно, в прошлом. И даже если скан вашего паспорта оказался в Сети, это еще не повод перевыпускать документ.

Тем не менее, имея на руках паспортные данные человека, злоумышленники могут получить и другие данные. Например, ИНН через сайт ФНС. После этого мошенники могут, например, прислать очень правдоподобное письмо от лица налоговой, информирующее о «непогашенных штрафах». Единственная защита здесь — внимательность. Проверяйте отправителя и помните: если кто-то знает ваши паспортные данные, это еще не значит, что этот кто-то представляет госорганы.

Влияние инициативы на защищенность данных и ИБ-организаций

Существующие штрафы за утечку персональных данных в России несопоставимы с реальным ущербом. Инцидент может навредить лишь репутации компании, но, как показывает практика, серьёзных проблем это не вызывает, особенно после ухода почти всех иностранных компаний с российского рынка.

Цель законопроекта об оборотных штрафах – ввести реальную ответственность за инциденты, чтобы заставить компании инвестировать в кибербезопасность, защищать данные своих клиентов. Утечки в последние 2 года стали настоящей проблемой российского бизнеса, решение которой кроется в новом законопроекте.

Оборотные штрафы должны заставить компании задуматься, что выгоднее: инвестировать в кибербезопасность или платить огромные деньги за инциденты.

Новый уровень ответственности за утечки точно внесёт изменения в существующие системы защиты. Эксперты считают, компании начнут выстраивать процессы, привлекать специалистов и применять инновационные средства защиты информации.

Новый уровень ответственности также позитивно скажется на темпах развития отечественных ИБ-компаний, у которых точно станет больше клиентов и важных задач.

Как уже предлагали наказывать за утечки баз

Однако представители «Ростелекома», МТС, «Вымпелкома», VK, «Яндекса», «Авито» и Ozon выступили против неподъемных штрафов в условиях нестабильной экономической ситуации.

По новым положениям, главу компании, не уследившей за данными, могут оштрафовать на 200-400 тыс. руб., если в открытом доступе оказалась база на 10-100 тыс. строк. Для индивидуальных предпринимателей и юридических лиц штраф за аналогичный инцидент составит 0,02% оборота, но не меньше 1 млн руб. Штраф на компанию меж тем предлагают ввести в размере от 1 до 3% годовой выручки, если фирма в установленные сроки не уведомила об утечке Роскомнадзор. Также бизнес хотят обязать выплачивать компенсации пострадавшим гражданам во внесудебном порядке.

Штрафы за размещение биометрических персональных данных

Одновременно закон вводит административные штрафы за нарушение правил размещения биометрических данных граждан. В этих целях с 23 декабря 2023 года вводится в действие новая ст. 13.11.3 КоАП РФ «Нарушение требований в области размещения биометрических персональных данных».

Под биометрическими данными понимаются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для идентификации физлица (ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ). Такие данные размещаются банками и МФЦ в
, в том числе для целей оказания государственных и банковских услуг дистанционным способом.

Биометрические данные могут собираться, размещаться и обновляться в Единой биометрической системе исключительно с письменного согласия физлица. Соответственно, ответственность по новой статье КоАП РФ будут нести банки и МФЦ. Штрафы на указанных субъектов станут налагаться за размещение и обновление персональных данных в Единой биометрической системе без согласия физлиц.

Штрафы по ст. 13.11.3 КоАП РФ с 23 декабря 2023 года

Штрафы за размещение и обновление персональных данных в Единой биометрической системе без согласия физлица:

  • от 100 000 до 300 000 рублей – на должностных лиц кредитных учреждений и МФЦ;
  • от 500 000 до 1 млн рублей – на банки и МФЦ.

Штрафы за утечку персональных данных

Новый законопроект предусматривает огромные штрафы за утечки, вплоть до 15 000 000 рублей по ряду нарушений.

Вид нарушения Штраф
Утечка персданных 1 000 — 10 000 граждан От 3 000 000 до 5 000 000 рублей для бизнеса и ИП
Утечка персданных 10 000 — 100 000 граждан От 5 000 000 до 10 000 000 рублей для бизнеса и ИП
Утечка персданных более 100 000 граждан От 10 000 000 до 15 000 000 рублей для бизнеса и ИП
Повторное нарушение От 0,1 до 3% выручки за прошлый год или часть текущего года, но не менее 15 000 000 руб. и не более 500 000 000 руб.
Утечка медицинских данных От 10 000 000 до 15 000 000 рублей для бизнеса и ИП
Незаконный сбор, хранение и использование Уголовная ответственность Усиление ответственности при сговоре и коммерческом использовании данных
Незаконное использование, передача или сбор персональных данных, полученных неправомерным путем До 300 000 рублей / Принудительные работы / Лишение свободы до 4 лет

Функционал роли и ответственность лиц, ответственных за персональные данные в организациях. Что может измениться

Часто проблема утечек и защиты информации в целом заключается в неправильном распределение ролей. Функции специалиста по защите информации в компании может выполнять обычный IT-специалист или даже юрист.

Новый уровень ответственности должен спровоцировать и пересмотр ролей в компании. Вероятнее всего, осуществлять контроль за защитой информации будут представители высшего менеджмента, заинтересованные в сохранение бюджета. Возможно, будут привлекаться сторонние специалисты, заказываться аудиторские услуги и прочее.

Новый законопроект может ввести и персональную ответственность для должностных лиц, которые отвечают за информационную безопасность в компании.

Что делать при утечке персональных данных

В случае утечки данных оператор обязан направить в Роскомнадзор уведомление о факте утечки. Далее последует проверка Роскомнадзора и, вероятнее всего, возбуждение дела об административном правонарушении.

До настоящего момента нарушение признавалось редко, так как виновные пытались доказать, что факт утечки персональных данных является обработкой персональных данных в не предусмотренных законом случаях.


Об утечке персональных данных надо рассказать Роскомнадзору, чтобы он мог выписать штраф

Кроме того, по закону компания должна использовать все доступные методы для сохранности данных. Поэтому при утечке Роскомнадзор обязан доказать, что у юридического лица имелась возможность обеспечить конфиденциальность данных и не допустить их утечку. Далее суд должен установить, что методы защиты были, а компания их проигнорировала. На практике процедура получается весьма сложная. Привлекаемое лицо при этом занимает пассивную позицию, процесс растягивается без существенного продвижения.

Ещё один сценарий — компания заявляет, что стала жертвой мошенников, вирусов и хакеров. Они получили доступ к информации незаконно с использованием вредоносных компьютерных программ. При этом аппелируя к тому, что вина организации отсутствует, так как причиной утечки персональных данных стали неправомерные действия третьих лиц.

Но на практике этот сценарий не работает. Типичный ответ судей: «То обстоятельство, что обработка (распространение) персональных данных связана с несанкционированным доступом к информации, не имеет значения для квалификации содеянного по ч. 1 ст. 13.11 КоАП РФ».

Как происходит утечка персональных данных

Существует несколько способов, как персональные данные могут стать общедоступными:

  • Утечка данных: это может произойти из-за недостаточной защиты данных внутри компании. Например, если данные хранятся на незащищенном сервере или передаются по незащищенным каналам связи.
  • Кибератака: компания может стать жертвой кибератаки, когда злоумышленники взламывают систему и получают доступ к персональным данным.
  • Несанкционированный доступ: это может произойти, если сотрудник компании несанкционированно получает доступ к данным клиентов или сотрудников.
  • Кража: персональные данные могут быть украдены кем-то из сотрудников компании или внешними лицами.
  • Недобросовестное использование: некоторые сотрудники могут намеренно или случайно использовать персональные данные клиентов или сотрудников без их согласия.

В любом случае, компании должны обеспечивать надежную защиту персональных данных и принимать меры для предотвращения их утечки или несанкционированного использования.


За утечку персональных данных в России введены штрафы вплоть до 500 000 000 рублей. Бизнес озадачен: как же теперь избежать утечек?

Ответственность за утечки

На сегодняшний день, ответственность за утечку персональных данных (обработку без согласия субъектов персональных данных) установлена ч. 2 ст. 13.11 КоАП РФ, предусматривающей штраф:

  • на граждан – от 6 000 до 10 000 рублей;
  • на должностных лиц и ИП – от 20 000 до 40 000 рублей;
  • на организации – от 30 000 до 150 000 рублей.

Повторное нарушение влечет наказание в виде штрафа (ч. 2.1 ст. 13.11 КоАП РФ):

  • на граждан – от 10 000 до 20 000 рублей; на должностных лиц – от 40 000 до 100 000 рублей;
  • на предпринимателей – от 100 000 до 300 000 рублей;
  • на организации – от 300 000 до 500 000 рублей.

Если вам интересна тема соблюдения требований регуляторов в сфере персональных данных, рекомендуем ознакомиться с другими полезными материалами:

Обработка и защита ПДн: кто ответственный?

Припомнили самое крупное

Спикер Кабанов в своем выступлении напомнил о крупных утечках данных клиентов компаний «Яндекс.Еды» и «Гемотеста», которые произошли весной 2022 г.

В марта 2022 г. в сети появилась информация об очередной утечке персональных данных пользователей «Яндекс.еды». За этот инцидент сервис выплатил штраф в размере 60 тыс. руб. В середине апреля 2022 г. клиенты «Яндекс.Еды» подали коллективный иск. На начальном этапе под ним подписались 20 человек, каждый требовал по 100 тыс. руб. за моральный ущерб.

По его словам Кабанова, такие утечки могут «повлечь совершенно конкретные негативные последствия». Владимир Путин отметил, что банки компенсируют утраченные гражданами средства, если это произошло из-за мошеннических действий.

«Что касается возврата средств утраченных гражданами в результате мошеннических действий с использованием новейших технологий.Здесь есть определенные сложности, подчас эти средства выманиваются у людей такими способами и средствами, (кажется) что человек сам отдал их или даже что-то подписал. — отметил Владимир Путин. — Здесь очень тонкая грань, но в любом случае это мошеннические действия, которые идут во вред гражданину, нарушают его права. Мы с вами знаем, что большинство банков в случаях подобного рода возмещают гражданам утраченные средства. Большинство финансовых организаций даже учитывает в своих расходах приблизительные средства, которые идут на возмещение гражданам. Но должна быть выработана общая система, общий подход к проблемам подобного рода. И Минцифре и МВД и Центральному банку соответствующие рекомендации и поручения будут даны».

Какие данные наиболее подвержены утечке

Только в 2022 году утекли в сеть данные из DNS, Start, СДЭК, «Почты России» и у других компаний. Это происходит регулярно по разным причинам, основные среди которых — хакерская деятельность и действия сотрудников компании (халатность, ошибка, намеренное вредительство).

Команда антивируса McAfee определила несколько типов данных, которые часто оказываются в сети:

  • адрес электронной почты;

  • номер телефона;

  • связка «логин-пароль»;

  • место и адрес работы;

  • дата рождения;

  • данные о подключенных устройствах;

  • пол, рост, вес, возраст пользователя;

  • платежные данные;

  • история покупок;

  • архив сообщений.

Чем это грозит простым пользователям. Каждая отдельная утечка мало чем грозит простому пользователю. Например, если к злоумышленникам попадет ваш логин в сервисе без пароля или только дата рождения, сделать с этим они вряд ли что-то смогут.

Но чем больше таких утечек, тем больше данных о вас может быть у одной команды. Ведь они могут собирать одну большую базу из множества мелких. Много разной информации способно сформировать портрет конкретного пользователя, которого затем можно атаковать.

Самая заметная опасность — вероятность слива банковских данных. Но такие утечки происходят крайне редко, благодаря серьезной защите и контроле со стороны банков. За 2021 год на такую информацию пришлось около 0,4% от всех утечек данных. Чаще всего в мошенничестве с платежными данными виноваты сами пользователи — авторизуются и используют данные своих карт на сомнительных и откровенно фишинговых сайтах.

Точка безубыточности: что это такое и как посчитать

Что делать, если в сеть утекли данные пользователя

Разбираем несколько советов, что делать, если ваши данные в слитой базе.

Проверить достоверность утечки

Важно — иногда объявления об утечке данных используют мошенники. Они присылают сообщения, которые заставляют действовать на эмоциях

Поэтому сначала нужно успокоиться и трезво посмотреть на ситуацию.

Об утечке должна появиться информация — на официальном сайте компании (возможно, с запозданием) или в их рассылке. Также об утечках часто говорят крупные СМИ. Изучите новостную повестку, возможно, информация об утечке не относится к реальности.

Оценить масштаб произошедшего

От этого зависит, нужно ли вообще действовать. Например, если в публичный доступ попала дата рождения без привязки к ФИО и номеру телефона, это ничего не значит. Не опасно, если в сети логин без пароля, адрес электронной почты и даже номер телефона. Плохо, если это платежные данные (крайне маловероятно) или адрес места жительства.

Проверьте активность в тех аккаунтах, которые утекли в сеть. Приходили ли письма на электронную почту или звонки на мобильный? Пытался ли кто-то авторизоваться под вашим логином или номеру телефона в банковских приложениях? Или была попытка перевода средств?

Большинство попыток взлома и использования информации влечет за собой следы и уведомления.

Как добиться максимальной эффективности от линкбилдинга: советы эксперта

Не вводите свои данные

Если в руки попала база, не стоит вбивать в поиск свои данные в надежде проверить. Некоторые мошенники так пополняют свои базы и проверяют актуальность имеющейся информации.

Приготовьтесь к звонкам и письмам от мошенников

Если в сеть попали номера телефонов или адрес почты, приготовьтесь к волне звонков и писем из якобы банков, правоохранительных органов и других организаций. Относитесь к любым звонкам скептически.

Не слушайте, если вам предлагают за определенную плату удалить вашу информацию из базы. Это не поможет защитить данные — даже если они удалят, их вполне могли скопировать другие мошенники.

Заморозьте счета

Если в слитой информации оказались платежные данные и номер телефона — лучше заблокировать счета. Банк примет меры только в случае серьезной внутренней утечки информации, если рассекретили данные пары человек, нужно действовать самостоятельно.

Увеличили штрафы за нарушения законодательства о персональных данных

Уведомление в Роскомнадзор

В КоАП РФ планируют ввести новый состав нарушения – неуведомление Роскомнадзора о намерении обрабатывать персональные данные. 

Такое уведомление должны направлять все организации (ст. 22 Закона № 152-ФЗ). 

Существуют исключения, но на практике они встречаются редко. Уведомление не нужно направлять, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности или если оператор обрабатывает данные исключительно без средств автоматизации. 

Планируют же выделить нарушение в отдельный состав. По проекту федерального закона за неподачу уведомления штрафы могут составить:

  • для должностных лиц – от 30 000 до 50 000 руб.;
  • для организаций – от 100 000 до 300 000 руб. 

Если этот факт обнаружат в случае установления факта неправомерной передачи, предоставления, распространения или доступа к персональным данных, которые повлекли нарушение прав субъектов, то сумма штрафа увеличится:

  • для должностных лиц – от 400 000 до 800 000 руб.;
  • для организаций – от 1 000 000 до 3 000 000 руб. 

Если вы еще не направляли уведомление, рекомендуем сделать это как можно скорее, пока закон не приняли. Требование относительно подачи уведомления действует уже не первый год. Соответственно, если уведомление не подано, то организацию могут оштрафовать сразу после вступления закона в силу. 

Кроме того, стоит проверить актуальность информации в уведомлении, если ранее вы его уже подавали. Это связанно с тем, что по закону, если что-то в уведомлении поменялось, то необходимо уведомить об этом госорган.

Понравилась статья? Поделиться с друзьями:
Русский Аудит
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: