Главная » Бизнес

Штрафы за утечку данных в россии

На чтение: 15 мин Бизнес

2019: Средний штраф за утечку данных из компании в России оценен в 30 тыс. рублей

В 2019 году зафиксировано шесть штрафов и решений по выплате компенсаций, которые были наложены на компании в России за утечки персональных данных. Это 2,8% от общего числа вынесенных Роскомнадзором штрафов за различные нарушения в области защиты информации, свидетельствуют данные InfoWatch.

По словам экспертов, в исследовании учитывались инциденты, о которых стало известно публично. В них суммарный штраф составил 180,5 тыс. рублей или 16,4% от общей суммы штрафов за нарушения законодательства о защите персональных данных.

В 2019 году количество штрафов и решений по выплате компенсаций за утечки персональных данных в компаниях по всему миру, увеличилось примерно на 90%

Средний размер финансового наказания бизнеса за утечку персональных данных в РФ по итогам 2019 год составил чуть более 30 тыс. рублей или $465, исходя из средневзвешенного курса доллара за год. Для сравнения, в Британии средний штраф измерялся $50,6 млн, что в 107 раз больше, чем в России.

В отличие от США и Евросоюза, российское законодательство в области защиты персональных данных пока достаточно мягкое, но положение начинает меняться, — говорит руководитель направления аналитики и спецпроектов Infowatch Андрей Арсентьев. — Например, уже ужесточена ответственность за невыполнение требований о хранении персональных данных на территории России.

По мнению эксперта, не стоит широко копировать западные подходы, поскольку к марту 2020 года сфера корпоративной информационной безопасности в России остается относительно молодой и переживает серьезный дефицит кадров, методик защиты информации и опыта использования современных технических решений. Но опыт зарубежных информационных регуляторов необходимо изучать, критически переосмысливать и правильно адаптировать под отечественную почву, считает Арсентьев.

В Infowatch добавляют, что российской законодательной практике происходят изменения в сторону ужесточения к требованиям защиты персданных во многом потому, что регуляторы стали более требовательно относиться к защите такой информации.

Утечки происходят регулярно

Крупные российские компании, являющиеся операторами персональных данных, очень часто допускают утечку этой информации. Для примера, в сентябре 2021 г. в свободном доступе в интернете была обнаружена база с персональными данными почти 2 млн абонентов проводного интернета «Билайна». Она утекла еще в конце августа 2021 г., но оператор закрыл к ней доступ лишь спустя более двух недель, 13 сентября 2021 г. Об утечке его предупреждали ИБ-специалисты, но на их сообщения оператор не реагировал.

Международный салон изобретателей: станет ли Новосибирск новым центром притяжения инноваторов?
Инновации для промышленности

В начале октября 2019 г. «Билайн» тоже упустил в Сеть персональные данные своих абонентов проводного интернета. На тот момент в свободном доступе оказались имена номера телефонов и даже домашние адреса более 2 млн человек.

В том же месяце произошла одна из рекордных утечек ПД в истории России. В интернете была выставлена на продажу база данных с украденными сведениями о 60 млн клиентах Сбербанка. Подлинность содержащейся в ней информации была подтверждена «Коммерсантом».

В декабре 2019 г. в свободном доступе оказались данные почти 30 тыс. пользователей портала «Госуслуги», оператором которого является «Ростелеком».

2020: Минюст России предложил значительно увеличить штрафы за утечку персональных данных

Министерство юстиции России предложило значительно увеличить штрафы за утечку персональных данных. Реализовать это предложено путем внесения поправок в Кодекс об административных правонарушениях (КоАП). Штрафы за утечку персональных данных в предложенной версии КоАП Минюст предлагает увеличить в ряде случаев более чем в десять раз. В случае принятия поправок изменения коснутся как юрлиц, так и должностных лиц, а также индивидуальных предпринимателей (ИП) вместе с физлицами. Об этом стало известно 3 июня 2020 года.

Для физических лиц размер штрафа, на начало июня 2020 года составляющий 2000 руб., предложено увеличить до 20 тыс. руб. Должные лица будут платить за утечку не нынешние 10 тыс. руб., а до 100 тыс. руб. а ИП – до 300 тыс. руб. вместо 20 тыс. руб. Максимальный размер штрафа предусмотрен для юридических лиц – на 3 июня 2020 года он равен 50 тыс. руб., но Минюст предлагает увеличить его до 500 тыс. руб.

В проекте КоАП сказано, что изменения будут внесены в часть 6 статьи 33.1 (Невыполнение обязанности по соблюдению конфиденциальности персональных данных). Действующие до вступления в силу новой версии Кодекса штрафы предусмотрены в части 6 статьи 13.11 КоАП.

Ведомство опубликовало проект КоАП на федеральном портале проектов нормативных правовых актов 29 мая 2020 г. Номер проекта – 02/04/05-20/00102447, и на 3 июня 2020 года он находился на этапе публичного обсуждения, дата завершения которого – 24 июня 2020 г.

В настоящее время поправки об увеличении штрафов разрабатывает также комитет Госдумы по информационной политике, информационным технологиям и связи.

Проект Минюста по завершении этапа общественного обсуждения и после межведомственного согласования будет внесен в правительство РФ, сообщили представители министерства. По их словам, состав правонарушений, предусматривающий предложенные штрафы, создавался рабочей группой по предложению комитета Совета федерации по конституционному законодательству и государственному строительству.

ИБ-эксперты отмечают стремительный рост числа утечек персональных данных в России. Согласно статистике InfoWatch, по итогам 2019 г. их суммарное число оказалось на 40% в сравнении с показателями 2018 г.

Сооснователь и техдиректор ИБ-компании DeviceLock Ашот Оганесян уточнил, что в 2020 г. ситуация продолжит ухудшаться на фоне пандемии коронавируса, режима самоизоляции и вынужденного перехода людей на удаленную работу. По его словам, в связи с этим количество попыток несанкционированного доступа к персональным данным выросло приблизительно на 50%, и лишь около 10% от общего их числа – это действия хакеров. В то же время 30% инцидентов такого рожа связаны с противоправными попытками скопировать клиентские базы данных и передать их третьим лицам, к примеру, через мессенджеры.

Увеличение штрафов за утечку персональных данных может в итоге не привести к уменьшению числа самих утечек. Директор юридического департамента «Московского кредитного банка» (МКБ) Ирина Гудкова, отметила, что штраф до 500 тыс. окажется значительным лишь для компаний малого бизнеса. Крупные предприятия воспримут его как «небольшую неприятность» — по ее мнению, таким компаниям важнее потеря репутации вследствие правонарушения.

Схожего мнения придерживается и председатель комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Журавлев. По его словам, стоимость баз с персональными данными в даркнете в несколько раз превышает размеры максимально возможного штрафа, предусмотренного Минюстом. В DeviceLock уточнили, что в 2019 г. стоимость одной записи в БД начиналась от 70 руб. К примеру, при размерах базы в пределах 150 тыс. ее общая стоимость могла достигать 10,5 млн руб.

2021: РКН предложил обязать операторов персональных данных платить компенсацию жертвам утечек

23 марта 2021 года появилась информация о том, что Роскомнадзор предложил обязать операторов персональных данных компенсировать моральный вред жертвам интернет-мошенничеств, если они связаны с утечками по вине операторов.

Замруководителя ведомства Владимир Логунов на заседании межфракционной рабочей группы Госдумы по борьбе с киберпреступностью предложил обязать операторов персональных данных компенсировать моральный вред жертвам связанного с утечками онлайн-мошенничества.

«Это такая инновационная идея, которую мы планируем на площадке Государственной думы проработать, чтобы возмещение ущерба, морального ущерба, субъекту персональных данных было соразмерно этому ущербу», — заявил Логунов.

Представитель Роскомнадзора отметил, что чаще всего интернет-мошенничеству подвержены люди старшего поколения и те, которые имеют несовершеннолетних детей.

«Только 17% обманутых в сети попытались возбудить уголовное дело, и 83%, когда у них были утрачены данные, или когда они были каким-то образом обмануты, не обращаются в МВД

Поэтому важно профилактировать такие нарушения на ранних этапах, проводить обучение пользователей», — подчеркнул он.

И пояснили, что можно будет считать смягчающими и отягчающими обстоятельствами для компаний, допустивших раскрытие личной информации

  pxhere.com

В России решили усилить ответственность за утечку персональных данных. Минцифры разрабатывает новую версию законопроекта об оборотных штрафах за утечку персональных данных. Документ Правительство собирается внести в Госдуму уже этой осенью. Об этом «Парламентской газете» рассказали в пресс-службе ведомства.

Существенное наказание

Сейчас на площадке Минцифры идет обсуждение законопроекта с участием крупнейших российских компаний-операторов персональных данных, уточнили в пресс-службе Минцифры. В ведомстве предлагают ввести определение, что именно считать объектом утечки личных данных, а также как понять, откуда именно «утекли данные».

Штрафы хотят применять в два этапа. За первый случай утечки они будут фиксированными, в зависимости от объема данных, попавших в Сеть. При повторной утечке будет уже оборотный штраф — для него Минцифры просит установить границы «от» и «до» какого процента от выручки можно будет взыскать.

Сейчас штраф для юридических лиц составляет от 60 до 100 тысяч рублей, при повторном правонарушении максимальное наказание — 500 тысяч рублей.

В Минцифры пояснили, что оборотные штрафы станут для компаний более существенным наказанием. Ведь, например, оборотный штраф в один процент при выручке в сто миллиардов рублей составит целый миллиард.

«Если компания приложила максимум усилий к защите информации, это будет расцениваться как смягчающее обстоятельство при определении размера штрафа. Но если компания скрывала факт утечки, это может стать отягчающим обстоятельством, и тогда наказание будет максимальным», — пояснили в пресс-службе Минцифры.

Кроме того, ведомство предлагает ввести процедуру добровольной аккредитации компаний по критериям информационной безопасности — возможно, она будет связана с механизмом страхования профессиональной ответственности. «Такая аккредитация может стать подтверждением мер, принятых для защиты от утечек. И это может рассматриваться как смягчающее обстоятельство», — добавили в пресс-службе Минцифры.

Министерство планирует внести этот законопроект в осеннюю сессию Госдумы.

Строго по закону

Ранее председатель Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн («Единая Россия») в интервью «Парламентской газете» заявил, что нужно усилить ответственность за утечку персональных данных россиян, а также ввести ответственность за дальнейшую передачу персональных данных, в том числе для ресурсов, продающих такую информацию.

«Сегодня нет ответственности для тех, кто незаконно распространяет персональные данные. Есть только ответственность за их похищение. Сейчас за утечку персональных данных предусмотрена только административная ответственность», — подчеркнул Хинштейн.

Заместитель председателя того же комитета Антон Горелкин («Единая Россия») считает, что оборотные штрафы заставят бизнес пересмотреть свои подходы к информационной безопасности.

«Очевидно, что размер штрафов, который предусмотрен действующим законодательством, не мотивирует компании вкладываться в серьезную защиту персональных данных своих клиентов: сейчас максимальный штраф ограничен суммой 200 тысяч рублей. После принятия законопроекта ответственность для крупных компаний будет измеряться уже миллионами. Поэтому мы рассчитываем, что на усиление безопасности ими будут направлены сопоставимые суммы», — написал Горелкин в своем Telegram-канале.

Как запретить использовать свои персональные данные
04.09.2022

Цифровые аватары реальных людей хотят идентифицировать
два дня назад

Инфаркт не признают производственной травмой
16.07.2022

Сколько паспортов может быть у россиян
09.07.2022

Минцифры не будет штрафовать за утерю данных в первый раз.

Ведомство разрабатывает законопроект об ужесточении ответственности за утечку персональных данных, введении оборотных штрафов (размер которых привязан к оборотам, прибыли компании). При этом проводятся совещания с представителями бизнеса, которые предлагают с установлением солидных взысканий повременить.

Считается, что на фоне последних серьезных кибератак, окончившихся утечками в сеть данных клиентов Delivery Club и «Яндекс.Еды», в обществе существует запрос на защиту персональных данных и личной информации (к которой всегда было принято относиться формально). С другой стороны компании-операторы данных уверяют, что с учетом экономической ситуации время для ужесточения регулирования обращения с личной информацией выбрано не очень удачно.

Уже принят закон, вводящий обязанность для всех операторов максимально оперативно (в течение суток) сообщать госорганам о кибератаках, и предпринятых по их расследованию действиях (на это дается 72 часа).

Теперь очередь за разработкой соответствующих поправок в КоАП РФ и определением ответственности за утечку данных. Еще в мае предлагалось установить штраф в 1% за утечку и 3% за факт сокрытия данных о кибератаке от госорганов, где за основу расчета берется годовая выручка.

Однако на недавно проведенном совещании бизнес высказал обеспокоенность такими серьезными штрафами в условиях санкций и вызванных ими последствий: разрыва логистических цепочек, инфляции, снижении спроса.

Компании-операторы предлагают ввести три вида наказаний: предупреждение за первый случай утечки, крупный штраф за второй, и оборотный только за третий. Минцифры принципиально согласилось на частичное смягчение мер ответственности и даже на рассмотрение вопроса об отсутствии штрафа при совершении правонарушения впервые. Причем компании-операторы также настаивают на смягчении ответственности за утечку и сокрытие факта утечки. Этот вопрос еще обсуждается и решение по нему не вынесено. Бизнесу предложено представить подробные разработки через две недели.

Оборотные штрафы особенно неприятны для компаний, так как за основу будет браться вся выручка компании. Обычно учитывается только оборот на определенном рынке, но в данном случае такой способ не подходит. Расчет от обшей выручки грозит бизнесу очень внушительными взысканиями.

При определении штрафа на учитываются обстоятельства, масштаб кибератаки и ущерба, меры, принятые для предотвращения утечки.  

Мы будем рады оказать Вам юридическую помощь по поводу минимизации юридических рисков и имеющимся возможностям. Мы постараемся найти решение, подходящее именно для Вас.  

Звоните по телефону +7 (383) 310-38-76 или пишите на адрес [email protected].  

Share
Share
Tweet
Class
Plus

Рекомендуем почитать наш блог, посвященный юридическим и судебным кейсам (арбитражной практике), и ознакомиться с материалами в Разделе «Статьи».

Наша юридическая компания оказывает различные юридические услуги в разных городах России (в т.ч. Новосибирск, Томск, Омск, Барнаул, Красноярск, Кемерово, Новокузнецк, Иркутск, Чита, Владивосток, Москва, Санкт-Петербург, Екатеринбург, Нижний Новгород, Казань, Самара, Челябинск, Ростов-на-Дону, Уфа, Волгоград, Пермь, Воронеж, Саратов, Краснодар, Тольятти, Сочи).

Будем рады увидеть вас среди наших клиентов! Звоните или пишите прямо сейчас!

Телефон  +7 (383) 310-38-76Адрес электронной почты [email protected]

Юридическая фирма «Ветров и партнеры» больше, чем просто юридические услуги   

Есть ли проблема

С конца февраля у российских компаний произошло несколько крупных утечек данных пользователей. 1 марта «Яндекс.Еда» сообщила, что из-за недобросовестных действий сотрудника в Сеть попали телефоны клиентов и информация об их заказах. 21 апреля мировой судья судебного участка района Замоскворечье оштрафовал «Яндекс.Еду» на 60 тыс. руб. по протоколу, составленному Роскомнадзором. Но часть клиентов сервиса подали коллективный иск из-за инцидента. Однако Замоскворецкий районный суд Москвы отказался признать иск групповым, а также допустить к участию в деле более 700 пострадавших пользователей. Сейчас это решение пытаются оспорить.В конце мая сервис Delivery Club обнаружил утечку данных о сделанных некоторыми пользователями заказах. В целом, по информации сервиса разведки утечек данных и мониторинга даркнета DLBI, с февраля в Сеть могли утечь данные 8 млн клиентов различных сервисов доставки еды. Помимо этого, крупная утечка произошла у медицинской лаборатории «Гемотест»: в открытый доступ попали данные 30 млн клиентов.По текущему законодательству максимальное наказание за утечку персональных данных для юрлиц — это штраф 500 тыс. руб. Как указывало Минцифры в своем сообщении в середине июля, утечки персональных данных стали серьезной проблемой. «Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем. На основании утекших данных часто создают мошеннические онлайн-сервисы, которые привлекают пользователей своей простотой и удобством и в итоге причиняют еще больший ущерб гражданам», — указывало министерство. Там рассчитывают, что дополнительная ответственность «побудит бизнес инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных пользователей».По словам основателя DLBI Ашота Оганесяна, 10 тыс. субъектов персональных данных в одной утечке — это немалый объем, вполне достаточный для того, чтобы говорить о системных проблемах в защите данных у компании-оператора, в связи с чем оборотный штраф имеет смысл

«Однако, как обычно, проблема возникнет в доказывании размера утечки, так как, во-первых, базы нередко продаются на черном рынке меньшими кусками, а во-вторых, сам оператор будет заявлять, что информация утекла в процессе нескольких инцидентов, каждый из которых был меньше заявленного объема», — рассуждает Оганесян.Бизнес-консультант по информационной безопасности компании Positive Technologies Алексей Лукацкий, в свою очередь, полагает, что важно не столько количество субъектов, чьи данные утекли, сколько само наполнение этих данных. «Одно дело, когда утекает 10 тыс

Ф.И.О. с номерами телефонов, и совсем другое, когда в утечке присутствуют паспортные или финансовые данные. Еще хуже, когда в утечке есть медицинские данные или данные о несовершеннолетних. Иными словами, стоит учитывать не только объем персональных данных, но и их категорию», — считает Лукацкий.Екатерина Ясакова, Дарья Чебакова

Свежее по теме

Спутниковая ассоциация родилась келейно

За призывы финансировать противника информационные ресурсы будут блокировать

В реестр через Linux: Минцифры готовится обновить требования к отечественному ПО

На свой вклад: банки выступили против бесплатных переводов до 1,4 млн рублей

Интересные ссылки

  • Новостной агрегатор The True Story попал под блокировку через три дня после запуска
  • Власти снова отложили переход бизнеса на новый формат электронной подписи
  • Туроператоры попросили отложить введение «Электронной путевки»
  • Минтруда обновило профстандарты для айтишников
  • Минцифры создаст реестр недопустимых нарушений кибербезопасности

Чего хочет бизнес

Известно, что российские компании настаивают на трехступенчатой системе санкций за утечки ПД.

«Если данные клиентов или сотрудников компании были скомпрометированы впервые, то она должна получить просто предупреждение, — сообщил собеседник «Коммерсанта». — В случае повторной компрометации — заплатить крупный штраф. Если же компания допустила утечку в третий раз — получить оборотный штраф».

Еще один из участников совещания заметил, что, учитывая не слишком благоприятную экономическую обстановку, перегибать с оборотными штрафами было бы неправильно. На смягчение законопроекта должны повлиять такие негативные факторы, как растущая инфляция, снижение доходов населения, нарушение цепочек поставок.

В то же время представители отрасли уверены, что наказание за утечку личной информации должно быть гибким. К примеру, штрафовать нужно не по факту инцидента, а за отсутствие мер профилактики. Такого мнения придерживается президент Ассоциации больших данных Анна Серебряникова, пишет «Коммерсант». Также она полагает, что сумма штрафа должна коррелировать с масштабом инцидента и ущерба, который злоумышленники причинили компании, ее сотрудникам и клиентам.

Преподаватель Moscow Digital School Олег Блинов полагает, что внедрение оборотных штрафов будет стимулировать компании больше тратиться на защиту информации и тем самым предотвращать новые утечки.

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Бизнес журнал Мономах
Вам также может быть интересно
.
Как правильно задавать вопросы: разбор эффективных техник
Бизнес 0
Хранение и обработка персональных данных в облаке
Бизнес журнал Мономах
Сервис dropbox — первое облачное хранилище данных. обзор и регистрация на dropbox.com
Бизнес 0
Облачное хранилище данных
Не знаете, что такое облачное хранилище данных? Обязательно изучите этот обзор.
Бизнес журнал Мономах
Бизнес 0
Интеллектуальный анализ данных: что это, области применения, примеры
Узнайте, что такое интеллектуальный анализ данных или DATA MINING, области применения методов, какие задачи
Бизнес журнал Мономах
Мотивационные программы для сотрудников
Бизнес 0
Примеры мотивации персонала: штрафы или игры, премии/бонусы или обучение? как мотивировать сотрудников?
Бизнес журнал Мономах
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.