Оборотный штраф за утечку данных
Максут Шадаев заявил на заседании президиума фракции КПРФ в Госдуме, что Минцифры России подготовило законопроект, который предусматривает штрафы до 3% от годового оборота компаний за утечку персональных данных граждан. По его словам, инициатива обсуждается с представителями IT-отрасли.
«Минцифры подготовило законопроект об оборотных штрафах, там достаточно серьезные штрафы — до 3% от оборота предусмотрены в случае, если компания не обеспечила сохранность данных», — сказал Шадаев.
Он уточнил, что при рассмотрении инициативы Госдумой ведомство будет настаивать на закреплении нескольких смягчающих обстоятельств. Во-первых, по его мнению, необходимо учитывать, если «компания аттестовала и сертифицировала всю свою инфраструктуру, усилила меры безопасности, в добровольном режиме продемонстрировала, что инвестиции в средства защиты сделаны». Этим организация покажет, что сделала «максимально все, что можно было предпринять», уверен глава Минцифры.
«И второе — если компания будет компенсировать ущерб тем гражданам, чьи данные (утекли – «Газета.Ru»). Если с двумя третями граждан, соответственно, (компания – «Газета.Ru») урегулировала в досудебном порядке и компенсировала, то это тоже будет смягчающим обстоятельством», — подчеркнул министр.
По его словам, этой инициативой ведомство не преследует цель собрать больше денег в бюджет. Он считает, что оборотные штрафы лишь «заставят компании инвестировать больше средств в безопасность».
Кроме того, Минцифры намерено ввести ответственность для компаний за утаивание утечек, за это предусмотрен больший штраф, чем за сам факт утечек.
На данный момент за утечку персональных данных для бизнеса предусмотрен штраф в размере от 60 до 500 тысяч рублей.
Неделю назад, 7 декабря, президент Владимир Путин на встрече с членами СПЧ допустил, что в стране нужно ужесточить ответственность за утечку персональных данных.
«Наверное, есть необходимость и ужесточения ответственности за правонарушения в этой сфере. Что касается оборотных штрафов и уголовной ответственности, я так понимаю, что вы говорите об уголовной ответственности за незаконный оборот (украденных данных – «Газета.Ru»), ведь те, кто использует эти данные, они должны знать и понимать, что они используют украденные данные», — сказал Путин.
Утечки в «Яндекс.Еде» и Delivery Club
1 марта служба безопасности «Яндекс.Еды» сообщила об утечке данных.
«В результате недобросовестных действий одного из сотрудников в интернете были опубликованы телефоны клиентов и информация об их заказах: состав, время доставки и так далее. Утечка не коснулась банковских, платежных и регистрационных данных пользователей, то есть логинов и паролей. Эти данные в безопасности. Команда сервиса извиняется перед пользователями», — говорилось в сообщении.
В компании уточнили, что после внутренней проверки «Яндекс» «ужесточил подход к хранению чувствительной информации, в том числе связанной с заказами».
«Ручная обработка таких данных будет исключена, а число сотрудников, которые имеют доступ к информации о заказах, сократится как минимум втрое. В отношении виновного в утечке сотрудника будут приняты установленные законом меры. Кроме того, «Яндекс.Еда» обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов», — заключили в службе безопасности компании.
В апреле компанию оштрафовали на 60 тысяч рублей. 3 августа мировой судья судебного участка района Замоскворечье в Москве вновь оштрафовал «Яндекс.Еду» на 60 тысяч рублей, как уточнили в компании, из-за той же утечки данных пользователей.
Аналогичная ситуация произошла с сервисом доставки еды Delivery Club. В конце мая в Telegram-каналах и СМИ появились сообщения, что в открытый доступ были выложены файлы с персональными данными курьеров сервиса. Уточнялось, что всего утекли 521,5 тысячи строк с именами курьеров, их адресами электронной почты и номерами телефонов.
По информации РИА Новости, по первой части статьи 13.11 КоАП РФ сервису грозил штраф от 60 до 100 тысяч рублей. 18 августа судебный участок района Аэропорт в Москве оштрафовал Delivery Club на 80 тысяч рублей за нарушение российского законодательства в сфере персональных данных.
Утечки DNS и «Вкусвилл»
6 декабря крупная российская сеть электроники DNS подтвердила, что произошла утечка данных сотрудников – их имена, адреса рабочих почт и номера телефонов. В компании уточнили РИА Новости, что Роскомнадзор провел проверку, сеть привлекли к ответственности.
При этом в DNS уточнили, что «слив является следствием атаки хакерской группировки в октябре 2022 года».
В компании подчеркнули, что приняли меры по недопущению подобных случаев в будущем.
9 декабря в пресс-службе «Вкусвилла» рассказали агентству, что в открытом доступе оказался ряд персональных данных клиентов магазина – их телефоны, электронные почты и последние четыре цифры номера банковской карты.
«Об утечке мы узнали в ночь с 8 на 9 декабря. Наши специалисты самостоятельно обнаружили и оперативно приняли меры для исправления ситуации. <…> Мы поняли, что к третьим лицам попали файлы, содержащие публичные данные некоторых наших покупателей», — сообщили в компании.