В 2022 году в России произошло около 150 крупных утечек персональных данных. А в начале 2023 года по такого рода фактам Роскомнадзором уже назначено 25 проверок. Ситуация требует новых мер по защите такого рода информации.
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) провела в прошлом году было проведено 78 внеплановых проверок, направленных на выявление незаконного распространения личной информации. В 87% случаев такие факты были подтверждены. Составлено и направлено в суд 66 протоколов об административных правонарушениях.
По результатам рассмотрения материалов суды назначили штрафы на общую сумму около 1 млн рублей, а также вынесли 9 предупреждений. Рассмотрение еще 30 протоколов об административных правонарушениях продолжается, указывается в сообщении ведомства.
При этом в 2023 году Роскомнадзор запустил уже более 25 проверок по признакам утечек персональных данных, произошедших в четвертом квартале 2022 года. В целом же, к экспертам Центра правовой помощи гражданам в цифровой среде (создан по инициативе Роскомнадзора) в прошлом году обратились почти 1700 заявителей.
Большая часть обращений (52%) касалась обработки личной информации без ведома и согласия человека. В 16% случаев люди пострадали от мошеннических действий с личными сведениями. В 9% персональные данные заявителей использовались в рекламных целях без их согласия. 10% граждан защищали свои честь, достоинство и деловую репутацию.
В ряде случаев юристы Центра подготовили досудебные претензии к операторам персональных данных, требования о прекращении неправомерной обработки личной информации, обращения в государственные органы и другие документы, а также представляли их интересы в суде. В общей сложности суды удовлетворили 95% исков, подготовленных Центром в интересах заявителей.
Проблема с персональными данными стоит остро, признала в комментарии «Эксперту» партнер репутационного агентства Digital Guru Ольга Соколова. Крупные сервисы собирают большие массивы данных о своих пользователях, включая домашние адреса, истории заказов, платежные и даже паспортные данные. Не всегда защита этих данных устроена на высоком уровне. Это приводит к утечкам. На специализированных площадках периодически появляются объявления о продаже различных баз с данными пользователей сервисов.
Бывают совсем «крупные истории» как, например, утечка данных пользователей сервиса Яндекс.еда. Тогда, как рассказала эксперт, были слиты данные клиентов этого сервиса (телефоны, адреса доставок и информация по заказам). При этом кто-то не просто взял эти данные, а визуализировал их на сайте и сделал возможность поиска по базе. Причём к этой базе злоумышленники добавили ещё слитые данные других сервисов (базы ГИБДД, Wildberries и других). В итоге на сайте злоумышленников появилась масса информации в структурированном виде, включающая в себя в том числе паспортные данные людей.
Такая новость вызвала резонанс — были и судебные разбирательства. Примерно в это же время на волне в том числе и этих событий Минцифры предложило ввести оборотные штрафы за утечки данных, что в разы увеличило бы суммы штрафов для компаний.
К сожалению, утечки персональных данных случаются, признала в беседе с «Экспертом» старший управляющий партнер юридической компании PG Partners Полина Гусятникова, уточнив, что законодательство предусматривает административную ответственность за это согласно ст. 13.11 КоАП РФ. Сумма штрафа для юридических лиц может составлять от 50 до 100 тысяч рублей.
При этом вину компании еще надо будет доказать. Если она приняла все меры для защиты персональных данных, и утечка случилась не по ее вине, а, допустим, в результате преднамеренной кражи, то отвечать компания не будет, обратила внимание юрист. Если компания собирает или хранит персональные данные с нарушениями, то за это также предусмотрены штрафы. Но опять же они не очень большие. Уже неоднократно обсуждалась необходимость ужесточить законодательство в этом отношении, но пока что никаких решений не принято.
Помимо административной ответственности, компанию, которая стала виновником утечки персональных данных, можно привлечь к гражданско-правовой ответственности. То есть обратиться в суд и получить компенсацию за моральный или материальный вред, который принесли такие действия. На практике же, констировала Полина Гусятникова, получить компенсацию достаточно сложно и работает это по большей части с коллективными исками.
Для этого надо сначала отправить в компанию письменную претензию, и, если требования, изложенные в ней, не будут удовлетворены в добровольном порядке, после истечения 30 дней, можно обращаться в суд. Рассчитывать при этом на значительные суммы не стоит, даже если вину компании удастся доказать. Средний размер компенсации морального вреда по таким делам в России — 10-20 тысяч рублей.
Таким образом, потребность в охране персональных данных в процессе оказания услуг с каждым годом лишь возрастает, соглашается юрист публичного права Key Consulting Group Владислав Радов. При этом, указывает он, ответственность становится все строже, что подтверждают не только инициативы по введению оборотных штрафов, но и твердая позиция международного сообщества в этом вопросе, в том числе принятие GDPR (Общий регламент защиты персональных данных).
Более того, использование облачных технологий в информационном пространстве, увеличение числа инструментов для сбора данных, а также уже неконтролируемые алгоритмы (ИИ) порождают правовые проблемы и риски использования персональных данных. В данном случае сталкиваются приватность жизни и право на доступ к информации, заявил Радов «Эксперту».
Он акцентировал внимание на двух проблемах. Во-первых, имеет место неосознанное поведение людей, которые подписывают согласия об обработке, даже не задумываясь о том, что они подписывают, куда их данные могут быть переданы и где использованы. Во-вторых, порой отсутствует техническая возможность этими данными управлять.
Введение дополнительных правовых инструментов, включая заключение NDA (где ответственность может быть ничем не ограничена), а также ужесточение законодательства: на сегодняшний день максимальный штраф для бизнеса составляет 500 тысяч рублей, а новый законопроект предполагает штраф от 1% до 3% годовой выручки, не урезонивает бизнес, который продолжает собирать все больше данных о своих клиентах в целях монетизации продаж. Упомянутые штрафы будут формировать спецфонды для выплат компенсаций тем, кто пострадал от утечек данных, о чем сообщило еще в августе 2022 год Минцифры.
Так, Таганский районный суд Москвы оштрафовал несколько иностранных компаний за нарушение требования о локализации в России обработки персональных данных. Суммы штрафов варьируются от 500 000 до 18 млн рублей, а «Гемотест» оштрафован на 60 000 рублей за утечку персональных данных клиентов.
«Как мы видим, чаще всего утечка персональных данных происходит у бизнеса, что отражает неосторожное отношение к столь важной теме, нежелание инвестировать в этом направлении для улучшения системы хранения и безопасности. Думается, что высокая ответственность — не панацея, необходимо изобретать новые технологии, обеспечивать превентивные меры. Например, Испанский уполномоченный орган по защите данных (AEPD) опубликовал в своем блоге пост про условия соблюдения GDPR при обработке биометрических персональных данных. Французский уполномоченный орган по защите данных (CNIL) опубликовал рекомендации по созданию систем проверки возраста пользователей», — заключил Владислав Радов.