Ответственность за надежность хранения данных о своих клиентах выросла многократно

Как и почему выросли штрафы

В декабре президент Владимир Путин подписал закон № 589-ФЗ от 12.12.2023, который устанавливает штрафы за нарушения при обращении с биометрическими персональными данными. Для юрлиц сумма штрафов увеличилась в десять и более раз.

Согласно документу, увеличены штрафы за обработку персональных данных без согласия в письменной форме либо с нарушением установленных требований к составу сведений, включаемых в такое согласие. Так, наказывать будут:

— физических лиц — от 10 тыс. до 15 тыс. руб. (ранее — от 6 тыс. до 10 тыс. руб.);

— должностных лиц — от 100 тыс. до 300 тыс. руб. (от 20 тыс. до 40 тыс. руб.);

— юридических лиц — от 300 тыс. до 700 тыс. руб. (от 30 тыс. до 50 тыс. руб.).

В случае повторного совершения правонарушения размер штрафа вырастет у физических лиц с 20 тыс. до 30 тыс. руб., у должностных лиц — со 100 тыс. до 500 тыс. руб., у ИП — с 300 тыс. до 1 млн руб., у юрлиц — с 500 тыс. до 1,5 млн руб.

До сих пор компании, допустившие утечки персональных данных, наказывались максимальным штрафом до 100 тыс. руб. При этом указанный размер штрафа не соразмерен с возможными последствиями от произошедших утечек, говорится в пояснительной записке к документам, которые в начале декабря 2023 года внесли на рассмотрение в Госдуму первый зампред Совета Федерации Андрей Турчак, председатель Комитета Совета Федерации по конституционному законодательству и государственному строительству Андрей Клишас, председатель Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн и другие.

Поэтому сенаторы и депутаты, в зависимости от объема утекшей информации, предложили установить градацию ответственности. Например, штраф за утечку больше 100 тыс. записей может составить 15 млн руб. Если же нарушение было повторно, то штраф для компаний может составить 0,1—3% совокупного размера суммы выручки за предшествующий год, но не меньше 20 млн руб. и не больше 500 млн руб.

«Суровые меры административного наказания, предусмотренные законопроектом, станут существенным стимулом для инвестиций операторов персональных данных в информационную безопасность и окажут превентивное воздействие на операторов, не соблюдающих требования законодательства о персональных данных», — отмечается в пояснительной записке.

Также в записке говорится, что, по отдельным оценкам, с января по август 2022 года в России произошли утечки 197 млн записей персональных данных и платежной информации. Черный рынок персональных данных постоянно растет, а основные источники утечек — сторонние злоумышленники или сами сотрудники компаний, которые продают или отдают бесплатно конфиденциальные данные своих клиентов.

По отдельным оценкам, в 2020 году общий ущерб от утечек личных данных превысил 3 млрд руб., а в 2022 году — уже 8 млрд руб. Так, на декабрь 2021 года в даркнете находилось более 20 тыс. баз данных общим объемом более 10 Тб, содержащих персональные данные о 80% населения России. Общий объем официально выявленных утечек персональных данных за 2022 год — более 1,13 млрд записей.

Утекали ли данные из аптечных сетей

В 2023 году зафиксировано четыре случая утечек персональных данных в аптечных организациях (аптечных сетях), сообщили «ФВ» в пресс-службе Роскомнадзора. По фактам утечек служба составила четыре протокола об административных правонарушениях по ч.1 ст.13.11 КоАП РФ. По двум протоколам суд назначил штрафы в размере 60 тыс. руб., по одному —вынес предупреждение оператору персональных данных. Еще один протокол находится на рассмотрении в суде.

«Рекомендации по работе с персональными данными универсальны для организаций вне зависимости от направления их деятельности: это минимизация перечня собираемых данных, удаление сведений по достижении цели их обработки, регулярное проведение мероприятий внутреннего контроля по обеспечению безопасности обрабатываемых персональных данных», — отметили в Роскомнадзоре.

В феврале telegram-канал «Утечки баз данных» сообщил, что в даркнете выставлена на продажу информация, полученная из базы данных интернет-аптеки «Здравсити.ру». По информации канала, в базе содержится более 8,9 млн уникальных номеров телефонов и свыше 3,3 млн уникальных адресов электронной почты. Позже администраторы канала сообщили, что проанализировали информацию из базы и обнаружили в ней точные данные известных им людей, совершавших покупки в этом маркетплейсе.

В ходе проверок, проведенных по факту инцидента, связанного с утечкой персональных данных, информация о взломе непосредственно хранилищ баз данных «Здравсити.ру» не получила подтверждения, рассказал «ФВ» генеральный директор компании Борис Попов. «Тем не менее были приняты дополнительные меры по усилению безопасности собственной инфраструктуры, инструментов, процессов, внутренних положений и регламентов с целью защиты персональных данных наших пользователей. Также пересмотрены критерии выбора и контроля подрядчиков, оказывающих услуги в части развития цифрового продукта, — отметил он. — С учетом общей непростой ситуации с возросшей внешней угрозой несанкционированного доступа в информационные системы были ужесточены требования к ответственности и контролю процессов, связанных с взаимодействием с пользователями и работой с базами данных на всех ее этапах».

В июне хакеры объявили, что взломали сайт онлайн-аптеки «Вита» и получили доступ к 870 тыс. записей об ее клиентах, включая фамилию, имя, отчество, электронную почту, номер телефона, дату рождения и логин. Хакерская группировка DumpForums утверждала, что получила информацию о 7,3 млн заказов в период с августа 2015-го по 3 июня 2023 года. В своем telegram-канале хакеры сообщили, что это не единственная их цель. За последние несколько дней они взломали несколько сайтов крупных аптек и частных клинических лабораторий России. В «Вите» запрос «ФВ» оставили без ответа.

Как аптеки защищают персональные данные

Аптечные сети не опасаются новых штрафов. Информация о клиентах хранится на защищенных серверах, сообщил владелец ГК «Аптечные традиции» Дмитрий Руцкой.

«Мы не храним никаких данных по картам лояльности, идентификация происходит по номеру телефона, который ни к чему не привязан, — рассказывает председатель правления Ассоциации аптек Калининградской области Дмитрий Яговдик. Для корректной работы с данными клиентов, в том числе отраженных в рецептурных бланках, сети проводили полный аудит информации. «По рекомендации специалистов был разработан ряд внутренних документов, а в действующие были внесены изменения, в частности в СОП», — отметил он.

В межрегиональной сети «Гармония здоровья» тоже не собирают и не обрабатывают биометрические данные клиентов.

«Персональные данные держателей бонусных карт мы храним на защищенном облачном сервере с применением технологий, исключающих их утечку. При сборе этих данных строго соблюдаем требования законодательства. Так, например, наша стандартная анкета для держателя бонусной карты содержит обязательное согласие на сбор, обработку и хранение персональных данных», — сообщил директор головного офиса сети Сергей Мещан.

Как собирать персональные данные, не нарушая законодательства, и защитить их от утечек, читайте в «ФВ» № 1 (1130) от 16.01.2024 в материале «Ничего личного, только данные».