Утечка персональных данных, как правило, происходит потому, что операторы недобросовестно относятся к их защите. Последствия могут быть как серьезными, так и незначительными. В любом случае, законодательством введен штраф за утечку персональных данных для организации.
Кто может пострадать?
Чаще всего к злоумышленникам попадает информация:
- пользователей банковских карт;
- получателей медицинских услуг;
- вкладчиков банков;
- собственников недвижимого имущества;
- владельцев пенсионных накоплений.
Этот перечень не исчерпывающий: пострадать от утечки ПД могут и другие субъекты. Так, в конце февраля 2022 года были похищены данные клиентов сервиса Яндекс Еда. Пользователям были принесены извинения, однако 22 марта 2022 года в телеграм-каналах появилась ссылка на интернет-ресурс, где была собрана вся утекшая информация.
Данные оказались визуализированы в виде карты. В интернет попали: имена пользователей, адреса доставок, номера телефонов, электронные адреса, а также сумма заказов примерно за последние 6 месяцев. На главной странице сайта можно было найти информацию по телефону и фамилии, оказавшимся в базе.
Мировой суд Москвы оштрафовал Яндекс Еду на 60 000 рублей на основании протокола, составленного Роскомнадзором после утечки ПД пользователей в интернет. Несколько клиентов сервиса даже обратились в суд с коллективным иском, чтобы сервис возместил им по 100 000 рублей в качестве компенсации.
Еще один случай произошел с данными пользователей компании «Гемотест». Весной 2022 года в теневом интернете (даркнете) появилась база, состоящая более, чем из 30 миллионов строк ПД клиентов лаборатории: ФИО, года рождения, дате обращения, составе заказа. Продавец попросил за весь архив полторы тысячи долларов уверяя, что в базе находятся, в том числе, домашние адреса, номера телефонов и паспортные данные.
Вам также будет интересно:
— Приказ об утверждении положения о защите персональных данных: образец и бланк
— Трудовой договор медицинской сестры
4 мая 2022 года компания «Гемотест» начала внутреннее расследование. Роскомнадзор обратился в прокуратуру. В результате суд оштрафовал сеть лабораторий за утечку ПД клиентов на 60 000 рублей. Правда, в начале июля Минцифры приступило к обсуждению законопроекта о смягчении штрафов за утечку ПД.
Причины утечки ПД
Любая компания, обрабатывающая ПД пользователей, обязана принять меры, нацеленные на защиту полученной информации. Перечень мер и способов защиты регламентируется для каждого вида данных. При этом риски могут как быть внешние, так и инсайдерские.
Внешние угрозы представляют собой незаконные проникновения в защищенные информационные периметры компаний-операторов. Иначе говоря, речь идет о хакерских атаках. Сведения, находящиеся в базах ЦБ РФ, ПФР, ГИБДД защищены серьезно, поэтому в сети Интернет они не появляются. Банковские сайты тоже атакуют редко.
66% утечек ПД происходит по вине инсайдеров, то есть лиц, имеющих доступ к секретной информации в связи со своей работой. Прежде всего, речь идет о технических работниках, старших менеджерах туристических компаний, медицинских организаций и других. При этом клиент предоставляет сведения при получении услуг.
Последствия утечки ПД
Последствия утечки ПД могут быть весьма серьезными. На организацию будет наложен штраф.
А вот человек, чьи данные были получены злоумышленником, может пострадать от:
- разглашения сведений, имеющих отношение к его личности;
- шантажа;
- вмешательства в личную жизнь;
- незаконного списания денежных средств с карты.
В лучшем случае, утечка персональных данных грозит навязчивыми звонками рекламщиков. Но даже тогда можно пожаловаться в Роскомнадзор, указав в обращении перечень ПД и сайтов, где информация была обнаружена. Можно приложить скриншоты интернет-ресурсов. Также важно направить администратору сайта письменное обращение с требованием удалить ПД.
Чтобы было проще составить обращение в Роскомнадзор, можно использовать образец.
Ответственность организаций за утечку ПД
Операторы, допустившие утечку информации, несут ответственность:
- Гражданскую: в форме взыскания понесенных убытков и морального вреда.
- Административную: в виде наложения штрафа, принудительного приостановления деятельности, связанной с обработкой ПД, или запрета на нее.
- Уголовную: при нарушении неприкосновенности частной жизни, неправомерном доступе к законодательно охраняемой компьютерной информации.
Пока компании несерьезно относятся к необходимости компенсации морального вреда, связанного с утечкой ПД. Сумма выплат даже в столице редко превышает несколько десятков тысяч рублей. В субъектах суды и вовсе могут отказать в требовании компенсировать моральный вред, причиненный утечкой информации.
Размеры штрафов
За каждое нарушение предусмотрено свое наказание, в том числе и при нарушении законодательства о ПД.
Таблица №1. Штрафы за нарушение законодательства о персональных данных.
Вид нарушения | Наказание | Законодательная норма |
---|---|---|
Нарушение правил сбора, использования, хранения, распространения ПД | Для должностных лиц штраф — от 500 до 1000 рублей, для организаций — от 5000 до 10000 рублей | КоАП: ст. 13.11 |
Несоблюдение законодательства о труде | Для должностных лиц штраф — от 500 до 5000 рублей, для организаций — от 30000 до 50000 рублей | КоАП: ст. 5.27 |
Нарушение правил использования и хранения ПД, повлекшее материальный ущерб для работодателя | Материальная ответственность сотрудника в пределах его среднемесячной зарплаты по ст. 238, 241 ТК | ТК: ст. 238 |
Неправильное хранение, использование ПД, повлекшее ущерб для работника | Возмещение сотруднику морального вреда в денежном выражении, установленном трудовым договором по ст. 237 ТК.
Возмещение сотруднику морального вреда в полном объеме по ст. 235 ТК. Объем регламентируется либо по соглашению сторон, либо при рассмотрении дела судом |
ТК: ст. 234 |
Разглашение информации, представляющей служебную тайну, ставшую известной сотруднику при выполнении им своих трудовых обязанностей | Материальная ответственность сотрудника, а также дисциплинарная по ст. 192, 195 ТК вплоть до расторжения договора по ст. 81, п. 6, пп. «в» ТК | ТК: ст. 243, п. 7 |
Нарушение неприкосновенности частной жизни | Ответственность по УК РФ | УК: ст. 137 |
Незаконный доступ к компьютерной информации, охраняемой законодательством | Ответственность по УК РФ | УК: ст. 272 |
Ответственность за нарушение законодательства РФ в области ПД предусматривается ст. 13.11 КоАП.
Если оператор при обработке ПД без применения средств автоматизации не выполнил условия, обеспечивающие защиту ПД и исключающие незаконный доступ к ним, когда это повлекло неправомерный/случайный доступ к ним, их блокирование, уничтожение, копирование, изменение, предоставление, распространение и тд., то сумма штрафа составляет:
-
для граждан: от 1000 до 4000 рублей;
-
для должностных лиц: от 8000 до 20000 рублей;
-
для ИП: от 20000 до 40000 рублей;
-
для юр. лиц: от 50000 до 100000 рублей.
Как предотвратить утечку ПД?
Чтобы обеспечить защиту ПД, операторам рекомендуется:
- Установить межсетевые экраны, затрудняющие доступ к массивам информации.
- Ввести системы аутентификации, идентификации сотрудников, владеющих доступом к сведениям.
- Вносить в журналы учета действия работников, осуществляющих обработку данных, чтобы понять, какие операции совершались.
- Установить антивирусную защиту.
- Использовать средства криптографической защиты, позволяющие шифровать данные при передаче и хранении.
- Применять меры, предотвращающие утечку информации по физическим каналам, например, с помощью фотографирования монитора ПК.
Все указанные меры, как правило, соблюдаются крупными организациями. Чаще всего граждане рискуют, что их ПД попадут к злоумышленникам, обращаясь в небольшие компании. Дело в том, что такие юр. лица не всегда входят в перечни проверок Роскомнадзора, поскольку не регистрируются в качестве операторов.
Во избежание утечки ПД, гражданам рекомендуется:
- не передавать информацию о себе компаниям, не имеющим статус операторов;
- внимательно читать согласие на обработку ПД;
- осторожнее относиться к любым платежам в Интернете.
В любом случае, ответственность за безопасность ПД лежит на организации, совершающей с ними действия. Важно принять все меры, сводящие утечку сведений к нулю.
Источник: «Юридическая азбука»
Насколько полезной оказалась эта статья?
Оцените статью!
Средний рейтинг 5 / 5. Всего голосов: 10