Минцифры считает, что только многомиллионные оборотные штрафы за утечки персональных данных российских пользователей смогут заставить компании усилить безопасность и механизмы хранения ПД.
В настоящее время за утечку персональных данных очень маленькие штрафы, согласно ст.13.11 КоАП. Фактически операторы ПД сейчас ничем не рискуют, если потеряют базы данных тысячи пользователей. На них судом будет наложен штраф в несколько десятков тысяч рублей.
«Существующие штрафные санкции не побуждают операторов к безусловному выполнению требований законодательства в области ПД, в связи с чем введение оборотных штрафов, на наш взгляд, будет способствовать снижению количества инцидентов, связанных с утечками ПД», — рассказал представитель Минцифры.
Эксперты рассказали изданию, что операторами ПД в России, по сути, являются практически все компании, так как они обрабатывают и хранят персональные данные своих сотрудников и клиентов. По их мнению, большинство частных компаний не имеют должных средств защиты ПД клиентов и часто делятся ими с третьими лицами в рамках договоров о сотрудничестве и даже получении выплат за информацию о каждом клиенте.
Минцифры предложило при ужесточении штрафов учитывать степень вины юрлица. Например, если после проверки выяснится, что компания не выполнила необходимые процедуры по защите ПД, то накладывать на нее максимальный штраф, а если утечка произошла из-за умышленных действий сотрудника, то тут штраф может быть меньше, но все равно наказание должно быть соизмеримо с масштабом утечки.
Представители отрасли напомнили изданию, что за рубежом есть аналогичные методы по борьбе с утечками, например, штрафы до 4% от дохода компании за год. По их мнению, данная инициатива правильная, но перед ее внедрением нужно разобраться с методологической проблемой. Эксперты напомнили, что сейчас в российском законодательстве нет определения того, что считать утечкой персональных данных, и неясно, какое ведомство и по каким критериям будет проверять, подтверждать и классифицировать утечки данных для оборотных штрафов.
Примечательно, что с оборотными штрафами за утечку данных не согласны в Tele2 (дочке «Ростелекома»). Там считают, что в случае утечек оператор ПД теряет лояльность клиентов, от него начинают уходить абоненты, а его репутации наносится ущерб. Поэтому в компании не видят смысла в еще большем наказании за утечки.
В ноябре 2021 года суд оштрафовал Oriflame на 30 тыс. рублей за утечку персональных данных 1,5 млн российских клиентов, включая скан-копии их паспортов. Эксперты считают, что ущерб для пользователей от таких утечек может быть в сотни миллионов рублей — мошенники могут брать по документам из утечки микрозаймы, оформлять сим-карты или кошельки платежных систем и даже попытаться украсть деньги с банковских счетов пострадавших клиентов с помощью социальной инженерии.
В начале марта аналогичная утечка произошла у Яндекса из-за недобросовестных действий одного из сотрудников. 21 апреля суд по протоколу РКН оштрафовал на 60 тыс. рублей компанию «Яндекс.Еда» за утечку данных пользователей. Следственный комитет РФ возбудил уголовное дело по факту утечки данных пользователей «Яндекс.Еды».
20 мая Delivery Club подтвердила факт утечки данных о заказах пользователей. Компания не пояснила, что делать пользователям в этом случае, и будет ли им компенсация.
По данным сервиса разведки утечек данных и мониторинга даркнета DLBI, с февраля в Сеть утекли данные 8 млн клиентов сервисов доставки еды.
ссылка на оригинал статьи https://habr.com/ru/articles/668456/
Добавить комментарий