Как наказывают за утечки данных в России и за рубежом

30.11.2018

Вернуться к списку новостей

Ноябрь снова оказался богатым месяцем на штрафы. Иностранные регуляторы демонстрируют серьезность даже в тех инцидентах, которые, казалось бы, не столь существенны. На этом фоне в России практика складывается гораздо гуманнее. Отдел аналитики «СёрчИнформ» собрал данные о штрафах, которым подвергались компании и физлица в ноябре.

Самый большой штраф достался Uber. Это развязка истории, которая взяла свое начало в 2016 году. Тогда в Великобритании и Нидерландах сервис допустил утечку данных. Но главный «грех» – компания скрывала инцидент больше года. Комиссариат по защите информации Великобритании наложил на Uber штраф в 385 тыс. фунтов стерлингов (32,7 млн рублей), а Агентство по защите данных (DDPA) Нидерландов – на 600 тыс. евро (45,6 млн рублей). Штраф в сумме составит 1 млн евро. Причем до европейских штрафов были и санкции от США. Там по искам от 50 штатов сервису было присужден штраф в $148 млн. 

Неоднозначная, но тоже показательная история в Штатах так же закончилась штрафом. Управление по гражданским правам Департамента здравоохранения и социальных служб оштрафовало отделение Allergy Associates в Хартфорде, Коннектикут на $125 тыс. за нарушение правил конфиденциальности HIPAA. Такое решение было принято по иску пациентки, у которой случился конфликт с доктором. Объясняя ситуацию журналистам, врач разгласил подробности здоровья женщины. Непонятно, насколько критична такая утечка, но сам прецедент и, главное, штраф, актуализировал вопрос медицинской тайны для профессионального сообщества.

Меньший (23 тыс. евро), но также прецедентный штраф получила платформа Knuddels.de. Это первый случай применения регламента GDPR в Германии. Соцсеть стала жертвой хакеров, но претензии регулятора касались небрежного обращения с данными со стороны компании. Она не обеспечила сохранность информации – конфиденциальные данные пользователей, в том числе пароли, хранились в незашифрованном виде.

Подобных впечатляющих новостей из России нет, хотя инцидентов с утечками также немало. Взять хотя бы массовую потерю данных в Facebook, по которой Роскомнадзор даже отказался проводить проверку по причине того, что «не поступало официальных жалоб». Гуманным, по сравнению с западными санкциями, оказался приговор в отношении томского участкового полицейского. Его уличили в продаже данных об умерших в ритуальное агентство. Суд вынес решение о трех годах условно и испытательном сроке на все это время. Никаких штрафов присуждено не было.

Между тем в ноябре зашел разговор об ужесточении ответственности в сфере персданных. Так, Минкомсвязи предложило запретить размещать в свободном доступе личные данные граждан из муниципальных и государственных баз данных. Проект закона предлагает внести изменения в ст. 13.11 КоАП. Невыполнение оператором этих требований повлечет за собой предупреждение или административный штраф. Для граждан его размер составит от 1 тыс. до 2 тыс. рублей, для должностных лиц – от 3 тыс. до 6 тыс. рублей, для индивидуальных предпринимателей – от 5 тыс. до 10 тыс. рублей, для юрлиц – от 10 тыс. до 30 тыс. рублей.

«И все равно суммы предполагаемых штрафов просто смешные. Штраф даже в 10-30 тысяч рублей для юрлиц никак не способствует решению проблемы. Для физических или же должностных лиц суммы и вовсе мизерные. Это не те штрафы, которые могут остановить «бизнесы на данных». Их доходы в разы выше штрафов. Очевидно, что процесс защиты персональных данных недостаточно проработан, проблемы видим на всех этапах – от отсутствия дифференциации нарушений, до банального нежелания работать «без жалобы», – резюмирует Алексей Парфентьев, ведущий аналитик «СёрчИнформ».

 


Дайджест инцидентов Утечка данных Законодательство


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними

 
 
 
Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика). Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.
Давая настоящее согласие, я подтверждаю, что:
  • действую свободно, своей волей и в своих интересах;
  • являюсь дееспособным;
  • настоящее согласие является конкретным, информированным и сознательным;
  • ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.
Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.