Роскомнадзор предлагает наказывать за покупку краденых персональных данных

«Мы готовим пакет предложений, направленных на регламентацию внутреннего контроля за обработкой персональных данных и установлением административной ответственности не только за распространение персональных данных, полученных незаконным путем, но и за их приобретение и последующее использование таких данных», – заявил Александр Жаров. Глава Роскомнадзора уточнил, что соответствующее предложение регулятор подготовит и вынесет на общественное обсуждение к весне следующего года. Пока идет формулировка соответствующих предложений.

Роскомнадзор придерживается позиции, что субъект персональных данных должен быть уверен в том, что собираемая, хранимая и используемая информация о нем защищена от преступных посягательств. «Мы считаем, что поскольку утечка персональных данных является серьезной мировой проблемой, то виноват не только тот, кто украл данные, но и тот, кто, сознательно понимая, что он на черном рынке приобретает массив персональных данных и потом их использует без права на то. Он должен нести ответственность», – объяснил журналистам инициативу Александр Жаров.

В последний месяц участились случаи утечек персональных данных. В прошлом месяце «Известия» сообщили о том, что в интернете продается база данных о 11,5 тыс. клиентов Сбербанка. Банк подтвердил возможную утечку учетных записей по кредитным картам, которая затронула как минимум 200 клиентов.

В октябре газета «Коммерсантъ» сообщала о том, что более миллиона кредитных историй клиентов микрофинансовых организаций нашлись в открытом доступе. Тогда же специалисты по кибербезопасности из компании Group-IB нашли в открытом доступе базу данных со сведениями о 1,3 млн кредитных и дебетовых карт россиян.

5 ноября Альфа-Банк сообщил о проведении внутреннего расследования по факту незаконного распространения данных 15 клиентов после сообщения РБК о выставленных на продажу данных 3,5 тыс. клиентов Альфа-банка и около 3 тыс. клиентов «АльфаСтрахования».

Административная ответственность предполагает наложение штрафов. В этом плане показателен международный опыт. Старший менеджер по защите информации и кибербезопасности KPMG в России и СНГ Кристина Боровикова привела обзор по штрафам и утечкам в рамках общего регламента ЕС о защите данных (General Data Protection Regulation, GDPR) в 2019 г.

По данным KPMG, в топ-3 по размерам штрафов вошли кейсы British Airways (183 млн фунтов стерлингов или 15,2 млрд руб.), Marriott в Великобритании ($123 млн или 8,2 млрд руб.) и Goggle во Франции (€50 млн или 3,6 млрд руб.). В августе-сентябре 2018 г. у British Airways случилась крупномасштабная утечка персональных данных. С сайта и приложения British Airways трафик был перенаправлен на подставной портал, и, таким образом, было скомпрометированы данные около 500 тыс. субъектов, куда попала платежная информация (банковские карты, имена, фамилии и электронные адреса). Более того, в октябре Верховный суд Великобритании одобрил возможность подачи группового иска для всех пострадавших субъектов, рассказала Кристина Боровикова.

В ноябре 2018 г. случилась утечка персональных данных клиентов Marriott в Великобритании. По одной из версий, взлом произошел через компанию, которую Marriott приобрел в 2016 г., которую не проверили надлежащим образом, как контрагента. В результате пострадало 339 млн субъектов из 31 страны, и 7 млн человек из Великобритании. Оба штрафа были инициированы и выписаны Управлением комиссара по информации Великобритании (ICO).

Еще один крупный штраф относится к компании Goggle. Национальная комиссия по делам информационных технологий и правам человека Франции (CNIL) нашла у корпорации два типа нарушений. Во-первых, это недостаточная доступность – как смысловая, так и физическая – информации о деталях использования персональных данных. В ряде случаев ее можно получить только после 5–6 действий на сайтах Google. Во-вторых, неправильное получение этого согласия: оно не является ни достаточно информированным, ни достаточно точным, ни достаточно однозначным.

Директор EY Russia Евгений Ким предупредил о девяти типах рисков, которые должны учитывать работающие с данными компании. К таким он отнес: риски, связанные с поведением пользователей, с мобильными устройствами, с доступом к хранимым в облаках данных, ненадлежащей настройкой средств защиты информации (СЗИ), с обработкой данных из нелегальных источников, с хранением неструктурированных данных, с передачей персональных данных третьим сторонам, предоставлением доступа собственным сотрудникам и третьим сторонам и с приложениями (доступ к данным, разделение полномочий и удаление данных).

Читать новость в источнике ComNews

0