На прошлой неделе стало известно, что в сети оказались данные миллиона пользователей отечественного САПР, а именно, фамилии и имена пользователей, их пол, даты рождения, номера телефонов, адреса электронной почты, хешированные пароли.
Управляющий партнер адвокатского бюро «Позен и партнеры» комментирует эту новость следующим образом:
«Утечка персональных данных. Сейчас, в эпоху цифровизации, большинство компаний собирает информацию о своих клиентах. Вся информация о пользователях сайта, покупателях, заказчиках относится к персональным данным (от ФИО, даты рождения и номера телефона до более технически сложных, например, сбора Cookies).
Тем не менее, согласно Федеральному закону “О персональных данных” все лица, которые собирают какие-либо персональные данные, обязаны обеспечить сохранность такой информации. В Законе практически не устанавливаются конкретные меры по тому, как именно нужно их защищать, только примерный перечень действий оператора данных. Обязанностью оператора, например, является опубликовать в открытом доступе Политику в отношении персональных данных и уведомить Роскомнадзор о предпринимаемых мерах.
Тем не менее, для того, чтобы реально обеспечить защиту персональных данных, необходимо предусмотреть строгую ответственность за утечку информации. Сейчас действует ст. 13.11 КоАП РФ, но наказания, предусмотренные ей, недостаточны для того, чтобы заставить крупные организации инвестировать в защиту данных. Например, при сборе данных без средств автоматизации штраф не может превышать ста тысяч рублей, вне зависимости от объёмов утечки. Заплатить такой штраф гораздо дешевле, чем тратить миллионы рублей на разработку и внедрение защитных механизмов.
Сейчас Государственной Думой как раз рассматривается законопроект об увеличении размеров наказаний, что может положительно повлиять на операторов.В то же время штрафы взыскиваются в пользу государства, а не в пользу самих граждан, чьи персональные данные стали известны третьим лицам. В случае утечки Ваших данных есть возможность обратиться в суд с иском о взыскании убытков и компенсации морального вреда, но тут тоже возникает ряд проблем. Во-первых, убытки очень сложно доказать, особенно если они косвенные. Во-вторых, если никаких финансовых потерь нет, но Вы сильно пострадали из-за того, что личная информация стала известна третьим лицам, суды всё равно в большинстве случаев снижают размер компенсации морального вреда практически до минимума. С учётом сложившейся практики, рассчитывать на полноценное восстановление прав не приходится — обычно взыскиваемая через суд денежная сумма не превышает 10 000 рублей».
Пресс-служба Минцифры воздержалась от комментариев:
«Спасибо за запрос, мы всегда открыты для них, стараемся всегда отвечать. Но здесь воздержимся от комментариев».
Ольга Базутова специально для СИ World Russia