Утечки данных и компании: какой должна быть идеальная реакция

Нижеприведенный текст не является призывом к неправомерному использованию персональных данных субъектов (или иным неправомерным действиям), а всего лишь видение авторами сложившейся ситуации.

Данные — новая нефть, и утечки этой нефти стали случаются также часто, как на порядком изношенном нефтепроводе.

Некоторые из них довольно внушительны как масштабом, так и содержанием слитых данных. 

В России ситуация сложилась, по нашему мнению, и вовсе катастрофическая, мы собрали и обработали все освещенные в медиа утечки данных с конца февраля и, честно говоря, хотя и следили за ситуацией, оказались к такому не готовы. В августе замглавы Hоскомнадзора Милош Вагнер сообщил, что с начала 2022 года в стране произошло более 40 крупных утечек персональных данных, в результате которых было скомпрометировано более 300 млн учетных записей россиян. С учетом того, что население России составляет 146+ млн человек, 300 млн учетных записей представляется просто фантастической цифрой: каждый дееспособный россиянин утратил по несколько учетных записей. Наверное, после этого говорить об анонимности, приватности или хотя бы праве на тайну личной жизни россиян смысла нет  – их покупки, информация о месте проживания и работы, адреса и телефоны с привязкой к именам и фамилиям теперь доступны всем и каждому безо всяких усилий.

Мы собрали и обработали все утечки данных с начала года и, честно говоря, хотя и следили за ситуацией, оказались к такому не готовы. Вот здесь файл, куда мы заботливо собрали все описания утечек. Их десятки. Но если мы что-то упустили – не стесняйтесь, пишите, мы добавим.

Проанализировав реакции компаний на утечки, (а что там анализировать — все это выглядит неубедительно) мы решили пофантазировать — а что можно сделать с данными из утечек?

Ну сливы, и что?

Приблизительно так – да кому вы нужны и эти ваши данные? – отмахиваются счастливые несведующие. Именно так не далее как год назад автору этих строк заявляла оператор компании «СДЭК», – эта компания требует ­предоставления полных паспортных данных при получении посылок. Всего несколько месяцев спустя, как мы знаем, именно у «СДЭКа»­ случилась крупнейшая утечка персональных данных в истории РФ: в феврале в открытый доступ попала информация о 19 млн пользователей, в июле – о 25 млн клиентов и 30 тыс. контрагентов, в августе – ≈ 120 тыс. пользователей сервисов «CDEK.Shopping» и «CDEK.MARKET». И кстати, пользователи давно отмечали весьма вольное обращение сотрудников компании с паспортными данными.

Утечки «Яндекс.Еды» и «Яндекс. Практикума»­ ­, «Гемотеста»­, Delivery Club, Tele2, «Ростелекома»­, Почты России, Geek Brains, tutu.ru, pikabu и многих других выплеснули в открытый доступ килотонны чувствительной информации о миллионах россиян.

По итогам массовых утечек этого года пользователи социальных медиа-площадок отмечают увеличение массы разнообразного спама, хулиганства и попыток мошенничества с новыми схемам и связывают это напрямую именно со «сливами»­  последнего времени.  

Это в дополнение к массе уже распространенных злоупотреблений вроде «раздать в соцсетях телефон неугодной дамы»­ или оформлять некие услуги и левые номера телефонов у операторов связи, и массы других.

Чаще всего в делах трудно найти концы и добиться какой-то справедливости.

Подтверждение этому – судебная практика. Сложность в разбирательстве последствий правонарушений с использованием чужой личности, еще большая сложность с доказательством того, кто виновен в потере персональных данных, и привлечение его к ответственности делают попытки доказать свою невиновность, ущерб и право его на компенсацию очень мало перспективными. По данным исследования экспертно-аналитического центра InfoWatch на конец 2021 в России  только 56% судебных дел, касающихся нарушений безопасности персональных данных (по соответствующим статьям КоАП РФ) заканчиваются наказаниям. В 32% случаев истцу отказывают в возбуждении дела – как правило, из-за отсутствия состава преступления или истечения срока давности. Еще 12% приходятся на возвраты документов заявителю, переводы в другие инстанции и иные решения, итоги которых неизвестны. Но и в рассмотренных судами делах все довольно разнообразно.

Несколько примеров из судебной практики

1. Вот ситуация, которая просто символ расхожей пугалки «ааа потом на вас кредитов наоформляют»!!! Наоформляют, да еще и доказать ничего не сможете­. На истицу этого дела заочно был оформлен кредит в одной из микрофонансовых организаций, и суд ей отказал в получении копий документов. Без которых, понятно, и дальнейшее разбирательство с ситуацией затруднительно. Надеемся, что в итоге у нее все сложилось хорошо.

2019 год, Тобольск
 
Иск К. Е. А. к акционерному обществу КБ «Пойдём!» о защите прав потребителей. 
 
Истец обратилась в суд с требованиями к ответчику и просит обязать предоставить копию кредитного договора, выписку движений по счету действующих кредитных средств, справку о размере имеющихся задолженностей, копии договора цессии в случае смены кредитора, обязать предоставить информацию, касающуюся обработки персональных данных , предоставленных в рамках кредитного договора: подтвердить факт обработки персональных данных , сообщить правовые основания и цели обработки персональных данных , сообщить наименование и сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договор с ответчиком, сообщить наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ответчика, взыскать с ответчика в пользу истца компенсацию морального вреда в размере 20 000 рублей.
 
Представитель ответчика АО СК «Пойдём!» Т. С. Л. возражал против удовлетворения исковых требований, по основаниям, изложенным в письменных возражениях, суду показал, что второй экземпляр кредитного договора и приложенные документы были вручены истцу при его подписании. К. Е. А. лично в банк за выдачей дубликата документов не обращалась, представленная доверенность не была заверена нотариально, банком принимаются только нотариально заверенные копии доверенностей в целях соблюдения законности прав клиентов с целью избежания утечки персональных данных
 
Кроме того, доверенность не содержала полномочия для отзыва согласия на обработку персональных данных. Нормами действующего законодательства не закреплена обязанность банка бесплатно предоставлять другой стороне, имеющей на руках второй экземпляр кредитного договора, копии заключенного договора с предлагающимися документами, отправлять их по почте, что влечет дополнительные расходы.
 
В иске отказано.

2.  А вот просто похищенные деньги со счета с использованием персональных данных. Деньги слава богу суд предписал вернуть, а вот наказывать банк рублем за допущенную ситуацию не стал.

2020 год, Ямало-Ненецкий автономный округ

Иск Б. О. В. к ПАО «Западно-Сибирский коммерческий банк» о взыскании компенсации морального вреда, к М. А. В., Д. С. А. о взыскании неосновательного обогащения.

Б. О. В. обратилась в Муравленковский городской суд Ямало-Ненецкого автономного округа с иском к Публичному акционерному обществу «Западно-Сибирский коммерческий банк» (далее – ПАО «Запсибкомбанк») о взыскании компенсации морального вреда, к М. А. В., Д. С. А. о взыскании неосновательного обогащения. В обоснование исковых требований указала, что с ее вкладов и банковских карт, открытых в ПАО «Запсибкомбанк», 23.09.2019 г. были похищены денежные средства в сумме 1 141 076 рублей. По данному факту следственным отделением ОМВД России по г.Муравленко 23.09.2019 г. возбуждено уголовное дело, истец признана потерпевшей. В ходе производства по уголовному делу выяснилось, что деньги со счетов Б. О. В. поступили на счета ответчиков Д. С. А. (400 000 рублей) и М. А. В. (252 000 рублей) в ООО НКО «Яндекс. Деньги». С ответчиками М. А. В. и Д. С. А. истец Б. О. В. не знакома, каких-либо договорных отношений и денежных обязательств перед ними не имеет. Полагала, что хищение стало возможным с использованием ее персональных данных , которые истец сообщала ПАО «Запсибкомбанк». Ссылаясь на положения Федерального закона «О персональных данных », Закона Российской Федерации «О защите прав потребителей», просила взыскать с ПАО «Запсибкомбанк» компенсацию морального вреда в размере 500 000 рублей; взыскать неосновательное обогащение с М. А. В. в сумме 252 000 рублей, с Д. С. А. – в сумме 400 000 рублей. Третьим лицом в иске указано Общество с ограниченной ответственностью Небанковская кредитная организация «Яндекс. Деньги» (далее – ООО НКО «Яндекс. Деньги»). 

В отзыве ответчика ПАО «Запсибкомбанк» на исковое заявление сообщается о несогласии с иском в части, адресованной этому ответчику, в связи с отсутствием доказательств вины ПАО «Запсибкомбанк» в нарушении прав потребителя. Операции по переводу денег истца были совершены с использованием Интернет-Банка, доступ к этому сервису имел истец либо иное лицо, которому Б. О. В. сообщила одноразовые пароли. ПАО «Запсибкомбанк» не является единственным оператором персональных данных, осуществляющим обработку персональных данных истца.

Истцом не представлены доказательства вины ПАО «Запсибкомбанк» в разглашении персональных данных Б. О. В., которые были использованы неустановленными лицами для совершения хищения денежных средство со счетов истца.

Мнение истца и ее представителя о том, что потребитель освобожден от доказывания по требованиям к ПАО «Запсибкомбанк» по данному делу, ошибочно. Между тем, наличие вины ПАО «Запсибкомбанк» в нарушении прав потребителя Б. О. В. и разглашении ее персональных данных , истцом не доказано, позиция истца основана лишь на предположении, что такое нарушение имело место.

Исковые требования Б. О. В. к М. А. В., Д. С. А. о взыскании неосновательного обогащения удовлетворить.

В удовлетворении исковых требований Б. О. В. к Публичному акционерному обществу «Западно-Сибирский коммерческий банк» о взыскании компенсации морального вреда отказать.

3. Этот пример о том, как легко отравить жизнь ближнему. Телефон истца попал в базу должников «Альфа-банка» и человек вынужден был обратиться в суд из-за регулярных звонков из банка с требованием погасить задолженность. Никаких отношений у истца с этим банком никогда не было, и он многократно просил исправить ошибку, но тщетно. И если банк по суду удалось привлечь к ответственности, то предполагаемого виновника «слива» персональных данных – компанию связи – нет.­

Иск Г.А.М. к АО «АЛЬФА-БАНК», ПАО «Мобильные ТелеСистемы» о возложении обязанностей, компенсации морального вреда, судебных расходов.

Истец в обоснование требований ссылается на то, что с xx.xx.xxxx. на мобильный телефон истца стали поступать телефонные звонки с требованием погасить кредитную задолженность в АО «Альфа-Банк». При этом у истца отсутствуют договорные отношения с данным банком, он никогда не заключал с данным банком кредитный договор и не открывал расчетного счета в данном банке. Учитывая тот факт, что сообщения приходили на сотовый телефон, номер которого был приобретен в ПАО «МТС», и данный номер не был известен сотрудникам АО «Альфа-Банк», то истец считает, что соответчик допустил утечку персональных данных или намеренную передачу персональных данных ответчику. 

Ни Г.А.М., ни его представитель не давали разрешения на передачу персональных данных другому лицу для использования этих данных для целей отличных для исполнения договора, заключенного между ответчиком и Г.А.М. Считает установленным, что АО «Альфа-Банк» получило доступ к его персональным данным от ПАО «МТС», обрабатывало его персональные данные в нарушении закона. На основании изложенного, с учетом причиненных переживаний и стрессов, считает уместным определить размер морального вреда, причиненного виновными действиями ответчика в размере (…) руб.

Истец неоднократно обращался к ответчику с требованием прекратить направлять ему сообщения о погашении кредитной задолженности в связи с тем, что между ними и ответчиком никогда не заключались никакие договоры. Неоднократно ответчик направлял истцу сообщения о том, что по его обращению принято положительное решение, но сообщения о погашении задолженности не перестали приходить. (…) представитель истца направил ответчику претензию с требованием незамедлительно прекратить звонки истцу и исключить его телефон из базы данных ответчика.

Исковые требования Г.А.М. удовлетворить частично.

4. В этом деле справка о судимости истца – директора предприятия, который предоставил этот документ в связи с требованием закона в лицензирующий орган – была опубликована в ряде городских пабликов в популярной социальной сети. Со всем понятными неприятными последствиями – в курсе подробностей его биографиии теперь все кто хотел и не хотел.

2016 год, Инта

Иск З. А. В. к ООО «Р-н» о компенсации морального вреда.

З. А. В. обратился в суд с иском к ООО «Р-н» о взыскании компенсации морального вреда в размере (…) руб. В обоснование заявленных требований указал, что до (…) работал в должности генерального директора ООО «Р-н». В целях получения лицензии на осуществление деятельности ООО «Р-н» в лицензирующий орган необходимо было предоставить сведения о наличии у истца судимости. Справка о наличии судимости была предоставлена истцом главному бухгалтеру ООО «Р-н» (…) для отправки в комитет жилищно-коммунального хозяйства Республики Коми. (…) фотокопия справки о судимости истца была размещена в социальной сети «ВКонтакте» на страницах «Отзывы Инта», «Подслушано Инта», «Типичная Инта». В справке было указано, что истец судим в (…) году, в настоящий момент указанная судимость погашена. Сотрудники ООО «Р-н» допустили умышленную утечку персональных данных истца. В соответствии с п. 2.3 Административного регламента Министерства внутренних дел Российской Федерации по предоставлению государственной услуги по выдаче справок о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования», утвержденного Приказом МВД России (…), предоставление персональных данных , связанных с наличием (отсутствием) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования, осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

То есть закон относит указанные сведения к персональным данным. Согласия на распространение персональных данных неопределенному кругу лиц истец никому не давал. В соответствии со ст. 17 Федерального закона «О персональных данных » субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на компенсацию морального вреда. 

Действия по распространению персональных данных истца причинили ему моральный вред, так как судимость имела место 18 лет назад, погашена, аннулированы все ее правовые последствия. Факт наличия судимости истец в кругу своей семьи и знакомых не афишировал. После публикации в Интернете начались обсуждения, это читали друзья и знакомые, что причинило истцу нравственные страдания.

Представитель истца настаивал на заявленных требованиях, пояснил, что поскольку ООО «Р-н» допустило утечку персональных данных истца, то оно должно возместить причиненный истцу моральный ущерб.
Представитель ответчика требования не признала, пояснила, что отсутствуют доказательства размещения ответчиком справки в интернете. 

З. А. В. в иске к ООО «Р-н» о взыскании компенсации морального вреда в размере (…) руб. в связи с распространением персональных данных отказать.

5. Здесь пример работы прокуратуры, которая через суд добилась закрытия интернет-ресурсов, торгующих паспортными данными граждан. Т.е. в интернете просто существуют «­магазины» персональных данных, с помощью которых запросто можно делать все то, о чем написано выше.

2020 год, Алтайский край

Административное дело по административному иску прокурора Новичихинского района Алтайского края к Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций в лице Управления Роскомнадзора по Алтайскому краю и Республике Алтай о признании информации, содержащей сведения о возможности приобретения паспортов, персональных данных – сканов паспортов, размещенной на сайтах (…), запрещенной к распространению в РФ.

При мониторинге Интернет-сайтов (…), прокуратурой установлено, что на главных страницах содержится информация, содержащая сведения о возможности приобретения паспортов, персональных данных– сканов паспортов. Текстовая информация в совокупности с изображениями недвусмысленно направлена на продажу указанного продукта.

Вход на сайт свободный, не требует предварительной регистрации и пароля, ознакомиться с содержанием указанных страниц и скопировать информацию в электронном варианте может любой человек.

Исковые требования прокурора Новичихинского района Алтайского края удовлетворены.

Многие из этих дел довольно давние. Как мы видим по сегодняшней ситуации, никто из представителей бизнеса не расстроился и выводов не сделал. А при нынешних объемах персональных данных россиян в открытом доступе перспективы открываются умопомрачительные для злоупотреблений любого свойства.

Что может ещё случиться?

Про «Яндекс.Еду» все понятно — бог с ней, с едой, – но теперь все знают ваш адрес, код от подъезда, номер телефона и могут легко оценить уровень вашего благосостояния. «Гемотест» не лучше — самые интимные подробности вашей личной жизни стали достоянием не пойми кого; и хорошо если вы там сдавали тест на группу крови или на COVID-19. А вот беременности, ВИЧ-статус, венерические заболевания — это уже другое дело. Вряд ли кто-то будет рад, если эта информация попадет к тем, с кем он не собирался ею делиться. 

Можно сразу делать сервис типа getcontcat (ну а что, люди и добровольно делятся кучей данных о себе) — узнай, кто из твоей телефонной книжки больше всех жрет, а у кого сифилис.

Пожилые люди, видимо, становятся еще более удачной мишенью для впихивания им адресного решения их проблем со здоровьем за большие деньги. Какое прекрасное предложение можно создать, запугать необходимостью экстренной госпитализации на основе анализов, предложить супер-пилюлю для лечения последствий инфаркта. 

Знаменитые «службы безопасности банков»­ теперь могут отлично поживиться: какая бездна возможностей для манипулирования и втирания в доверие.

Старое доброе «мама, я попал в аварию» можно расширить, детализировать, добавить реалистичные детали.

Боимся предположить, сколько жен/мужей может обнаружить интересные адреса доставки еды, заказанной партнером; и сколько сталкеров, наконец, обрели смысл существования. «Бытовые психи» вышли на тропу войны, чтобы узнать, как там она, его бывшая? А как насчет написать эксу на стене в подъезде все, что ты о нем думаешь? Заодно познакомиться с новой любовью.

Идей для фишинга теперь множество: злоумышленники, например, теперь имеют возможность сделать выборку «Клиенты ресторана А» и сделать им рассылку: «Дорогой Петр, тебе от нашего ресторана промо-код, кликни сюда»! Вуаля, Петр подписан на три порно-гороскопа и один прогноз погоды. И это еще довольно мягкие идеи, у тех самых злоумышленников наверняка больше задора.

А что им за это будет?

Неприятности, которые может причинить утечка данных тем, чьи данные утекли, могут быть достаточно серьезными. А что же грозит компании, допустившей утечку?

Далеко ходить не надо, за утечку данных компании «Яндекс.Еда», «Гемотест»­ и те несколько, что все-таки были оштрафованы в этом году за утерю данных пользователей, заплатили каждая штраф в размере … 60 000 рублей. Мы удивились и пошли к нашему юристу уточнять — это вообще нормально??? И знаете что? Да, нормально и в полном соответствии с законодательством РФ. В законах довольно четко прописана ответственность компании по отношению к данным сотрудников, с данными клиентов все более расплывчато, но во всех случаях компании не особенно финансово страдают, и знаменитый штраф Яндекса в 60 000 рублей в общем-то описывает состояние дел:  ч. 1 ст. 13.11 КоАП РФ — от 60 тыс. до 100 тыс. Руб.

К букве закона:

Что грозит компании за утечку данных клиентов?

Сейчас при утечке персональных данных компании привлекаются к ответственности за «обработку персональных данных в случаях, не предусмотренных законом»­ (ч. 1 ст. 13.11 КоАП РФ). Некоторые эксперты считают такую квалификацию не вполне обоснованной. И ответственность, которую несут компании по данной норме, незначительная – от 60 тыс. до 100 тыс. руб. (ч. 1 ст. 13.11 КоАП РФ). А Яндекс еще и по нижней границе оштрафовали.

При этом не учитывается количество потерпевших субъектов персональных данных. То есть один человек пострадал, или вся страна – заплатите штраф, и всё. 

Такая сумма не является существенной для крупных компаний, о чем неоднократно высказывались представители юридического сообщества и эксперты в сфере защиты персональных данных. Эксперты также отмечают, что ответственность за нарушение законодательства о персональных данных обходится дешевле, чем приобретение, внедрение и обслуживание технических средств защиты, вследствие чего компании лишь формально размещают на своих сайтах политику обработки персональных данных.

Но здесь грядут большие перемены: в мае Минцифры анонсировал скорое введение оборотных штрафов за утечку персональных данных пользователей. Тогда компании предлагалось штрафовать на 1% от годового оборота. Правда, с тех законопроект уже претерпел несколько  сильных видоизменений, СМИ озвучивали несколько версий: и не с первого раза оборотный штраф, и не наказывать за первую утечку вообще, и ввести количественный ценз на утерянные данные (от 10 тыс. шт.). В общем, версий пока много, а финальная версия такого нужного закона пока не представлена.

На самом деле утечь могут не только данные клиентов.

Еще и персональные данные сотрудников компании могут против их желания попасть в Сеть. Здесь, кстати, ответственность несколько строже и лучше определена, итак.

Если утекли данные сотрудников…

Компании, заключившие трудовой договор, обязаны защитить персональные данные своих работников от утечек. Компании являются операторами персональных данных. Они собирают, хранят и передают персональные данные своих работников (к примеру — в налоговый орган, пенсионный фонд и т.д.).

Как известно, персональными данными считаются практические любая информация о человеке, с помощью которой можно идентифицировать субъекта.

Работодатели обязаны следить за всеми собранными данными, такими как: кадровые документы, копии документов работников, сведения о зарплате, фотографии работников, биометрические персональные данные, резюме, анкеты, характеристики и т.д.

Можно выделить персональные данные, хранящиеся в электронном виде, и те, которые хранятся, что называется, «на бумаге». В обоих случаях работодатель несет обязательства по обеспечению их сохранности.

В последнем случае работодатель должен соблюдать порядок хранения персональных данных, в частности:

  • Хранить документацию, содержащую персональные данные, в специальных помещениях или же в сейфах, огнеупорных шкафах и т.д.
  • Определить субъектов, имеющих доступ в специальные помещения, где хранятся эти персональные данные.
  • Систематизировать собранные персональные данные и хранить обрабатываемые в разных целях персональные данные в отдельности.
  • В электронном виде документы должны храниться так, чтобы третьи лица не могли получить к ним доступ.
  • Документы содержащие персональные данные, полученные от сотрудников, хранящиеся в электронной базе данных, должны быть закрытыми, а доступ к ним должны иметь исключительно те сотрудники, которые могут обрабатывать персональные данные в компании.

Для систематизации процесса охраны данных работодателю необходимо:

  • Запрашивать согласие работника на сбор, обработку, передачу данных (Подготовить заявления работников, о согласии на обработку персональных данных, согласии на распространение персональных данных и т.д.
  • Запрашивать от работника только релевантные для работы сведения.
  • Не запрашивать сведения о политических предпочтениях, сведения о вероисповедании, сексуальной ориентации.
  • Издать внутренний локальный нормативный акт компании.
  • Утвердить внутреннее Положение компании о хранении и обработке персональных данных.
  • Утвердить документы, которые содержат перечень персональных данных, в который включаются все сведения, которые работник письменно сообщил о себе при поступлении на работу, а также те, которые используют в дальнейшем при оформлении соответствующей кадровой документации. В перечне указывают и документы, содержащие сведения о сотрудниках, которые в дальнейшем организация обязана предоставить в различные государственные органы (в налоговую и в трудовую инспекции, в органы статистики и так далее).
  • Назначить ответственных лиц внутри компании.
  • Установить перечень мест хранения конфиденциальной документации.
  • Уничтожать персональные данные полностью. Ненужные резюме, заявления и копии паспортов необходимо уничтожать. Аналогичное требование к удалению данных с сервера.

Звучит все довольно строго, но в сущности у нерадивого сотрудника, разбазаривающиего рабочую информацию, проблемы могут начаться в основном тогда, когда он решит разглашать чужие персональные данные, коммерческую или гостайну. Но и то для этого он должен заранее подписать бумаги, что он обязывается их хранить и не разглашать. Если от такого не обещал – то ему грозит просто штраф.

При нарушении порядка хранения персональных данных работодателю, а также назначенным ответственным субъектам (работникам) может грозить дисциплинарная, материальная, административная или даже уголовная ответственность.

Дисциплинарная ответственность

К примеру, работника привлекут к дисциплинарной ответственности, если сведения, которые он разгласил:

      1. относятся к персональным данным другого работника;
      2. стали известны работнику в связи с исполнением им трудовых обязанностей;
      3. работник давал обязательство не разглашать сведения.

Видами дисциплинарной ответственности, согласно статьям 90 и 192 ТК РФ являются замечание или выговор. Кроме того, такого работника могут просто уволить за разглашение охраняемой законом тайны.

Материальная ответственность

Согласно п. 7 ч. 1 ст. 243 ТК РФ, материальная ответственность в полном размере причиненного ущерба возлагается на работника в случаях разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

Статья 13.11 КоАП содержит семь составов правонарушений, за каждое из которых предусмотрен штраф.

Уголовная ответственность

Уголовное наказание может грозить при раскрытии сведений о частной жизни, семейной или личной тайне сотрудника. Или, например, за неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование. Но даже за последнее виновнику грозит штраф до 200 тысяч, а вот пострадавший может пострадать гораздо больше.

А как у них?

Может, не все у нас так плохо? Мы решили проверить, а что в других странах?

Конечно, компаниям удобнее представить утечку как результат нападения некой хакерской группировки, но часто это следствие непродуманного обращения с данными.

Например, в Великобритании у компании (сеть супермаркетов) “утекли” данные 100 000 сотрудников, хорошо так утекли, вместе с зарплатами и банковскими реквизитами. В утечке были виноваты слишком большие доступы к данным для сотрудников и собственно сотрудник компании, который этим воспользовался и за это получил 8 лет заключения (восемь, вам не кажется). Но и компании пришлось платить — каждому пострадавшему сотруднику. Всего ей это обошлось в 2 миллиона фунтов. 

Медицинские данные тоже крадут, иногда смешно до безобразия — у госпиталя украли списанные винчестеры, подготовленные к уничтожению; с медицинским данными пациентов ага. Штраф составил 325,000 фунтов.

Внушительные размеры штрафов стимулируют компании не доводить дело до судов и санкций. Так, в августе стало известно, что крупнейший американский оператор сотовой связи T-Mobile из-за утечки данных 80 млн клиентов выплатит $350 млн компенсаций пострадавшим и $150 млн вложит в инфраструктуру кибербезопасности в ближайшем году. Эту ответственность компания взяла на себя в рамках досудебного соглашения, и суммарно это – полмиллиарда долларов.

Творческий эксперимент

Пока мы читали и искали про утечки, мы наткнулись на сообщение от Яндекс, что пострадавший может написать письмо на горячую линию. Мы, конечно, пошли писать:

Привет!

Меня зовут Владимир Кузьмин, и я один из пострадавших от недавней утечки данных сервиса Яндекс.Еда. К сожалению, по результатам этой утечки я стал получать просто на порядок больше спам-звонков на этот телефонный номер. Мне есть с чем сравнить — у меня несколько сим-карт разных операторов. Меня это, конечно, очень расстраивает, это моя основная симка, на нее и по делу часто звонят.

Может ли мне Яндекс помочь чем-то в этой ситуации? Чем вообще может мне как пользователю помочь «Горячая линия»?

С уважением,

Владимир Кузьмин

И довольно быстро получили ответ:

Ну в общем, спасибо, конечно. Мы за вас очень рады. По ссылкам не ходим по подозрительным, медитируем, чтобы снизить уровень гнева от телефонного спама.

А что мы хотим? Какая должна быть реакция?

Но тут как всегда нам задают вопрос — а что же вы хотите? Утечка уже произошла, ничего не поделаешь. Поэтому мы сели с коллективом и стали сочинять — а чего мы собственно хотим? К выводу, что штраф в 60 тысяч и мелкий промо-код — это явно не то, что мы хотим, мы пришли довольно быстро. 

Об этом мы писали еще в расследовании про покупку персональных данных у сотовых операторов — провинившегося сотрудника карают увольнением и мелким штрафом, что как правило даже близко не компенсируют проблемы и потери пострадавшего.

Вообще некоторые предпринятые меры нам даже нравится. Мы, например, считаем, что новая функция Яндекс.Еды, где пользователь может удалить данные о старых заказах, вполне разумная и симпатичная.

Хотя пользователю можно предложить опцию стирать данные через какое-то время. Есть ведь люди, которым не интересно, что именно они ели 5 марта 2018 года.

Идеальная реакция, а какая она?

  1. Признавать утечку, описать обстоятельства. С этим многие справляются, но не полностью. У нас все еще много вопросов, как там все в Яндексе устроено, если один человек имел доступ на копирование такой базы клиентов.
  2. Сформировать раздел на сайте, где пострадавшие, пресса и любопытные могут наблюдать за ходом расследования, принимаемыми мерами, а также обратиться за компенсацией если утечка имела для них негативные последствия — надо понимать что эти последствия могут возникнуть и сильно после утечки.
  3. Персонализация и обратная связь. Пострадавшие от утечки должны получить контакты сотрудника компании, а не робота-автореплая. А что же вы хотите, пострадавших много? Хочу, чтобы интересы пользователей ставились выше экономии средств компании. Нам кажется, что они уже на штрафе сэкономили.
  4. Предпринять меры и описать их, возможно, привлечь сторонних экспертов, инициировать обсуждение, поделиться практиками. 

И еще у нас есть предложение:

важное, но явно на перспективу, тут быстрого результата мы не ждем. Отношение к хранению данных у российских компаний настолько наплевательское, что разработчики даже пишут к ним обращения.

И тем не менее:

уже сегодня вполне возможно

  • организовывать сбор только необходимой информации пользователя
  • и применять такие технологии идентификации пользователей, которые даже при краже баз данных не позволяют воспользоваться злоумышленникам чужой личностью.

Про избыточность собираемых данных много говорят сейчас: вот для использования сервиса «Госуслуг»­ для подачи данных о расходе воды в доме (для расчета оплаты коммунальных услуг) требуется дать полный доступ ко всему массиву данных из профиля пользователя – паспорт, СНИЛС, ИНН, военный билет, пол и пр. Вот так. Уже помянутый «СДЭК» с удивительного масштаба утечками требует ­полные паспортные данные для получения посылок, в то время как прочие логистические операторы вполне справляются без этого. Практику полного доступа к профилю на «Госуслугах»­ недавно ввел крупнейший маркетплейс Wildberries, хотя до сих пор много лет неплохо справлялся с продажами и без этого. Все подобные устремления компаний к обладанию полным архивом информации о пользователе не просто вызывают недоумение, но и в таком масштабе просто пугают. Зачем данные военного билета при покупке трусов или при внесении показателей счетчиков?!  

Правда, тут отметим, что с 1 сентября в России вступили в силу поправки к закону «О персональных данных»­, которые как раз и призваны в том числе пресечь практику избыточного сбора данных. Но как он заработает – пока совсем непонятно. Формулировка очень мягкая: продавцам, исполнителям и маркетплейсам нельзя отказать пользователю в оказании услуги, если он отказался предоставлять персональные данные, но есть исключения. И, кажется, нововведение никого не смущает – подготовки изменений в работе каких-либо сервисов мы не заметили.
 

Что же касается технологий шифрования данных пользователя, то вот прекрасный кейс известного менеджера паролей LastPass: несмотря на то, что его взломали, никакой чувствительной информацией о пользователях злоумышленники поживиться не смогли, поскольку компания использует архитектуру Zero Knowledge. Последние годы много говориться о перспективах использования blockchein технологий для хранения данных. В общем, мы видим, что решения есть, и  надеемся, что они будут применяться в сфере защиты персональных данных еще при нашей жизни. Тем более, она всячески на это намекает.

Если утечки данных имели для вас персональные неприятные последствия — делитесь своими историями!