На 3,5 млн руб. оштрафованы компании, допустившие утечки персональных данных россиян в 2022-м и в первые месяцы 2023 года, сообщил замглавы Роскомнадзора Милош Вагнер. В 2022 году суды вынесли решения о штрафах на 2 млн 150 тыс. руб., в первые месяцы 2023-го — на 1 млн 300 тыс. руб.
Ранее Вагнер рассказывал, что с начала 2023 года произошло около 75 утечек персональных данных. В интернет попало порядка 200 млн записей о россиянах. За весь 2022 год утекло примерно 600 млн записей.
Сейчас обсуждается ужесточение законодательства за утечки информации, и недавно сенатор Артем Шейкин сообщил о подготовке Минцифры законопроекта, который предусматривает оборотные штрафы для бизнеса. Штраф за первое нарушение составит от 5 млн до 10 млн руб., за повторное — до 3% от оборота.
Вопрос о проблеме несоответствия сумм штрафов тем масштабам ущерба, который получили пострадавшие от утечек граждане, поднимался уже давно, в том числе — «Роскомсвободой». Как правило, допустившие утечки фирмы и организации получают штрафы, которые не являются для них критическими, а потому вряд ли заставят их всерьёз задуматься о безопасности пользовательских данных. Суммы компенсаций, полученных пострадавшими через суд, мы также считаем недостаточными.
В качестве примера приведём несколько самых громких случаев.
В августе прошлого года суд в Москве обязал сервис доставки еды Delivery Club выплатить штраф в 80 тысяч рублей штрафа из-за утечки персональных данных клиентов. Компания сообщила об утечке персональных данных в мае того же года. Тогда в интернете появились имена, адреса электронной почты, номера телефонов и IP-адреса пользователей сервиса. Руководство компании заверило, что среди информации, попавшей в открытый доступ, не было банковских реквизитов клиентов.
В апреле и августе того же года сервис «Яндекс.Еда» получил два штрафа по 60 тысяч рублей за утечку данных клиентов и курьеров компании.Подобные штрафы для такой крупной компании, как «Яндекс», вряд ли станут стимулом серьезно заняться собственной кибербезопасностью, считают юристы «Роскомсвободы». Они в сумме меньше, чем месячная зарплата одного хорошего специалиста по безопасности. Возможно, сервисы будут уделять гораздо больше внимания сохранности персональных данных, если будут введены обещанные Роскомнадзором оборотные штрафы за их утечку.
«Роскомсвобода» и «Сетевые свободы» организовали совместную подачу коллективного искового заявления против компании «Яндекс» и ООО «Яндекс.Еда», чтобы привлечь к ответственности сервис за халатное обращение с персональными данными 58 тыс. пользователей. По мнению нащих юристов, аждый заявитель должен получить компенсацию в размере 100 тыс. рублей, а штраф в 60 тысяч вряд ли может удовлетворить пострадавших клиентов и саму компанию — сделать правильные выводы из произошедшего. Но в ноябре 2022 года суд в Москве постановил выплатить в качестве компенсации 13 пользователям «Яндекс.Еды» только по 5000 рублей. Еще семи клиентам сервиса доставки в удовлетворении исков было отказано. Мы не согласны ни с отказом в иске, ни с мизерной компенсацией морального вреда и вместе с «Сетевыми Свободами» подали уже 20 апелляционных жалоб в Мосгорсуд и предлагаем присоединиться к коллекивному иску всех остальных пострадавших.
Естественно, это далеко не все случаи утечек и уже вынесенным по ним судебным решениям.
В апреле уже текущего года мировой суд в Петербурге привлёк к административной ответственности ПАО «Ростелеком» за нарушение законодательства о персональных данных, сообщает во вторник объединенная пресс-служба судов города. «Суд назначил наказание в виде штрафа в размере 60 тыс. рублей», – говорится в сообщении.
Согласно материалам, в июне 2022 года ПАО «предоставило неправомерный доступ к информационным системам, повлекший распространение неограниченному кругу лиц данных персональных клиентов и работников оператора в телеграм-канале и на сайте», сообщает пресс-служба. В частности, в выставленных на продажу базах были данные, в том числе совпадающие с информацией из системы «Умный дом» (сервис «Ростелекома»). По информации пресс-службы судов, защитник ПАО просил прекратить дело в связи с отсутствием состава, однако факт утечки данных не оспаривал.
В мае мировой суд Савеловского района Москвы признал VK виновной в утечке конфиденциальной информации пользователей Mail.ru и назначил штраф на сумму 60 тысяч рублей. Взыскание предусмотрено ч.1 ст.13.11 КоАП (нарушение действующего законодательства в области персональных данных). Данные оказались в Сети ещё в 2022 году.
Подведомственный Роскомнадзору «Главный радиочастотный центр» (ГРЧЦ) был оштрафован за утечку базы данных сотрудников, следует из сообщения в картотеке Судебного участка мирового судьи №456. В ноябре прошлого года ГРЧЦ атаковали белорусские хакеры «Киберпартизаны», о чем заявили в своем Telegram-канале. Хакеры заявили, что взломали внутреннюю сеть жертвы, выгрузили документы, а также внутреннюю переписку сотрудников. Помимо этого, как утверждали хакеры, им удалось зашифровать рабочие станции сотрудников и нанести урон инфраструктуре организации. Сумма штрафа, которую наложил на ГРЧЦ суд, 30 тысяч рублей.
«По иронии судьбы, меньше всего суд назначил штраф ГРЧЦ, которая является дочкой того самого органа, что надзирает за соблюдением законодательства о персональных данных в стране, – заявил по этому поводу ведущий юрист «Роскомсвободы» Саркис Дарбинян. – В нормальной демократии вскрытие подобной практики незаконного сбора данных госкомпанией привело бы к отставке главы ведомства и многомиллионному штрафу, а также компенсациям жертвам слежки. Но в нашей демократии ГРЧЦ получил минимальный штраф за утечку данных своих же собственных сотрудников, которые и занимались незаконной слежкой за гражданами. Такой вот карго-культ защиты приватности в state of surveillance».
Басманный районный суд Москвы оштрафовал Национальный исследовательский университет «Высшая школа экономики» на 60 тыс. руб. за утечку личных данных студентов и сотрудников. В марте ВШЭ сообщила, что почтовые сервисы вуза подверглись атаке злоумышленников. Ее остановили, но почта и календарь после этого работали с перебоями. Служба безопасности университета начала анализировать сообщения о возможной утечке данных. Один из телеграм-каналов позже сообщил, что в даркнете появилось два архива, предположительно, имеющих отношение к ВШЭ. В базе содержались сканы паспортов и персональные данные выпускников и сотрудников, списки работников, имеющих отсрочку от частичной мобилизации, досье абитуриентов магистратуры, логины и пароли для доступа к внутренним сервисам, а также значительный объем иной информации.
Как видим, случаев утечек действительно много, а штрафы за них для провинившихся компаний ничтожны.
Главное за неделю в области права.
23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.