Несладкие весенние «сливы»
Автор — Денис Цура
Безопасное хранение персональных данных пользователей — важная деятельность для каждой компании, которая взаимодействует с клиентами и желает иметь хорошую репутацию на рынке. К сожалению, нашим личным сведениями грозит опасность быть разглашёнными в Сети и особую остроту вносят развитые информационные технологии, позволяющие мгновенно распространять данные по всей «паутине». «Фемида» разбирает недавние громкие утечки данных пользователей известных компаний.
В конце февраля 2022 года случилось громкое событие: произошла утечка данных 6397035 пользователей сервиса доставки блюд из ресторанов «Яндекс.Еда». В Сеть попали ФИО, адреса, телефонные номера, коды домофонов, состав и сумма заказов, время доставки, но, к счастью, платёжные данные опубликованы не были.
Об этой утечке «Яндекс.Еда» официально заявила 1 марта 2022 года, обвинив в инсайдах одного из своих сотрудников. Компания провела внутреннюю проверку и пообещала исключить ручную обработку важных пользовательских данных, а также сократить число сотрудников, имеющих доступ к таким сведениям. Однако этим всё не закончилось...
Об этой утечке «Яндекс.Еда» официально заявила 1 марта 2022 года, обвинив в инсайдах одного из своих сотрудников. Компания провела внутреннюю проверку и пообещала исключить ручную обработку важных пользовательских данных, а также сократить число сотрудников, имеющих доступ к таким сведениям. Однако этим всё не закончилось...
22 марта в соцсетях стала распространятся ссылка на сайт с интерактивной картой данных пользователей сервиса: на карте можно было узнать информацию вплоть до квартиры клиента. 18 мая эта карта пополнилась данными из ГИБДД, СДЭКа, Avito, Wildberries, «Билайна», ВТБ и других источников, а в списках публичных людей на сайте объединили информацию по ним. Это адреса, номера телефонов, VIN-номера автомобилей и другие данные пользователей сервисов.
Роскомнадзором данная карта была оперативно заблокирована.
Роскомнадзором данная карта была оперативно заблокирована.
Как пояснил Яндекс, данная карта — не новая утечка, а визуализация февральской. Однако это не помешало Роскомнадзору составить протокол в отношении ООО «Яндекс.Еда» о нарушении законодательства в области персональных данных и направил материалы дела в суд.
21 апреля мировой судья судебного участка района Замоскворечье оштрафовал «Яндекс.Еду» на 60 тысяч рублей.
21 апреля мировой судья судебного участка района Замоскворечье оштрафовал «Яндекс.Еду» на 60 тысяч рублей.
Правовая основа наказаний для компаний
В соответствии с пунктом 1 статьи 3 Федерального закона «О персональных данных» от дата № 152-ФЗ персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
Кодексом об административных правонарушениях предусмотрено, что за нарушение законодательства Российской Федерации в области персональных данных, а именно за обработку персональных данных, несовместимую с целями сбора персональных данных, на юридических лиц налагается штраф в размере от 60 до 100 тысяч рублей (ч. 1 ст. 13.11 КоАП РФ). Таким образом, мировой суд не привлёк провинившуюся компанию к «высшей мере наказания» и ограничился минимальным пределом штрафа — отягчающих обстоятельств судом обнаружено не было.
Кодексом об административных правонарушениях предусмотрено, что за нарушение законодательства Российской Федерации в области персональных данных, а именно за обработку персональных данных, несовместимую с целями сбора персональных данных, на юридических лиц налагается штраф в размере от 60 до 100 тысяч рублей (ч. 1 ст. 13.11 КоАП РФ). Таким образом, мировой суд не привлёк провинившуюся компанию к «высшей мере наказания» и ограничился минимальным пределом штрафа — отягчающих обстоятельств судом обнаружено не было.
Уголовное дело против «Яндекс.Еды»
25 апреля Следственный комитет РФ возбудил также уголовное дело по факту утечки данных пользователей «Яндекс.Еды» по признакам составов преступлений, предусмотренных частью 1 статьи 137 («Нарушение неприкосновенности частной жизни»), частью 3 статьи 272 («Неправомерный доступ к компьютерной информации») и частью 2 статьи 273 («Создание, использование и распространение вредоносных компьютерных программ») Уголовного кодекса Российской Федерации — об этом заявил первый заместитель председателя комитета по контролю, член фракции «Единая Россия» Михаил Романов.
Уголовная ответственность — явно необходимая мера для изобличения и наказания отдельного преступника-инсайдера, однако в обществе поднялся шквал негодования из-за того, что столь небольшим штрафом суд оценил данные каждого пользователя — всего в 0.009 руб. В связи с этим клиенты сервиса стали подавать коллективные иски в суд с требованием моральной компенсации по 100 тысяч рублей на каждого, однако, по мнению ряда юристов, такой иск бесперспективен ввиду проблематичности выявления степени моральных страданий заявителей, потому сумма компенсации вряд ли превысит 5 тысяч рублей на заявителя.
На этом утечки не закончились: в мае многострадальная «Яндекс.Еда» уже вместе со своим конкурентом — сервисом доставки Delivery Club — подверглись ещё одному «сливу» данных. В общем доступе появились данные не только клиентов, но и курьеров этих сервисов.
Delivery Club назвали причиной инцидента некое «внешнее воздействие» и начала проводить меры по повышению защиты баз данных. Яндекс пояснил, что новой утечки не произошло, а данные курьеров были распространены ещё в феврале вместе с данными клиентами (о чём раннее компания не сообщала), обосновав это ужесточением политики хранения данных.
Delivery Club назвали причиной инцидента некое «внешнее воздействие» и начала проводить меры по повышению защиты баз данных. Яндекс пояснил, что новой утечки не произошло, а данные курьеров были распространены ещё в феврале вместе с данными клиентами (о чём раннее компания не сообщала), обосновав это ужесточением политики хранения данных.
30 мая в файл со слитыми данными курьеров сервиса доставки Delivery Club вошли 521 500 строк с ФИО, адресами электронной почты (131 695 уникальных адресов) и номерами телефонов (132 742 уникальных номера).
Компаниям грозит всё та же сумма штрафа — от 60 тысяч до 100 тысяч рублей. Роскомнадзор подметил, что «граждане, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации, как в досудебном, так и в судебном порядке».
Компаниям грозит всё та же сумма штрафа — от 60 тысяч до 100 тысяч рублей. Роскомнадзор подметил, что «граждане, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации, как в досудебном, так и в судебном порядке».
А что дальше?
Благодаря произошедшим массовым утечкам огласке подверглась существенная проблема законодательства — чрезвычайно низкий штраф для компаний за нарушение законодательства о персональных данных. «Яндекс» прогнозирует рост выручки до 490–500 млрд руб. в 2022 г., поэтому штрафы в 60 тысяч рублей никаким образом не могут «замотивировать» такую гигантскую компанию предпринимать серьёзные меры по обеспечению безопасности конфиденциальных данных пользователей.
Как сообщил «Коммерсантъ», Минцифры инициировало и согласовало законопроект об ужесточении ответственности компаний за утечку персональных данных клиентов — предлагается ввести штраф в виде 1% от годового оборота компании с его увеличением до 3% в случае неуведомления Роскомнадзора об утечке в течение суток. Это будет серьёзным поводом для компаний задуматься об усилении мер обеспечения конфиденциальности данных своих клиентов.
Как сообщил «Коммерсантъ», Минцифры инициировало и согласовало законопроект об ужесточении ответственности компаний за утечку персональных данных клиентов — предлагается ввести штраф в виде 1% от годового оборота компании с его увеличением до 3% в случае неуведомления Роскомнадзора об утечке в течение суток. Это будет серьёзным поводом для компаний задуматься об усилении мер обеспечения конфиденциальности данных своих клиентов.
Но всё же остаётся проблема: в законодательстве нет понятия «утечки данных» и её классификаций.
Облегчить её решение должен помочь новый административный штраф за принуждение потребителей предоставлять свои персональные данные, который вступит в силу 1 сентября этого года. Наказание предусмотрено для лиц, которые откажут потребителю в заключении договора, если он не согласится предоставить компании свои имя, фамилию, номер, адрес и другие сведения.
Облегчить её решение должен помочь новый административный штраф за принуждение потребителей предоставлять свои персональные данные, который вступит в силу 1 сентября этого года. Наказание предусмотрено для лиц, которые откажут потребителю в заключении договора, если он не согласится предоставить компании свои имя, фамилию, номер, адрес и другие сведения.
Закон должен помочь в противодействии неправомерному сбору и обработке информации клиентов.
Мы же надеемся, что такие меры государства снизят вероятность утечек наших с вами данных и усовершенствуют административное законодательство. Небольшой совет: если вы стали жертвой утечки данных, рекомендуем вам также быть осторожными и не переходить по ссылкам из СМС с незнакомых номеров, а также заносить в чёрный список нежелательных абонентов.
Мы же надеемся, что такие меры государства снизят вероятность утечек наших с вами данных и усовершенствуют административное законодательство. Небольшой совет: если вы стали жертвой утечки данных, рекомендуем вам также быть осторожными и не переходить по ссылкам из СМС с незнакомых номеров, а также заносить в чёрный список нежелательных абонентов.
Мы продолжим следить за новостями в области кибербезопасности: собирать, анализировать и представлять вам самые интересные и важные темы!
