Компания "Яндекс.Еда", которая допустила одну из крупнейших в своем сегменте утечек данных пользователей в России, получила штраф от регулятора всего в 60 тыс. руб. Эксперты между тем отмечают, что по этому инциденту подано несколько исков от пострадавших, и это говорит о росте цифровой и ИБ-грамотности и о сложившемся в обществе запросе на безопасность личных данных.

© ComNews
25.04.2022

Замоскворецкий мировой суд Москвы 21 апреля по иску Роскомнадзора оштрафовал компанию "Яндекс.Еда" за допущенную в конце февраля утечку персональных данных пользователей.

https://www.comnews.ru/content/219430/2022-03-25/2022-w12/yandekseda-ostavila-nepriyatnoe-poslevkusie

Суд не стал выносить максимальное наказание за правонарушение, предусмотренное ч.1 ст.13.11 КоАП РФ, составляющее 100 тыс. руб., учтя случайный характер инцидента и признание вины. По оценке председателя общественной организации по защите прав потребителей "Общественная потребительская инициатива" Олега Павлова, вероятно, суд учел текущее финансовое положение компании, которое далеко от оптимального, что, однако, не может быть оправданием.

Вместе с тем данный инцидент был весьма масштабным. Утечка затронула 7 млн человек по всей России. Впрочем, как показывает судебная практика по итогам 2021 г., тяжесть инцидента никак не коррелирует с вынесенным наказанием. Это показало исследование компании InfoWatch, посвященное анализу рассмотренных в судах дел, связанных с защитой информации.

https://www.comnews.ru/content/219322/2022-03-18/2022-w11/lish-40-narushiteley-privlekayut-k-otvetstvennosti

Тут показателен пример с компанией "Орифлейм", которая за утечку персональных данных 1,5 млн человек в 2021 г. получила штраф в 30 тыс. руб.

"Действительно, величина штрафа несоразмерна тяжести допущенного нарушения. Подобный подход может расхолаживать другие компании, массово обрабатывающие персональные данные граждан. Зачем вкладываться в обеспечение их сохранности, если в случае даже самого серьезного нарушения можно отделаться смехотворным штрафом", - прокомментировал сложившуюся практику Олег Павлов.

"Учитывая, что максимальный порог наказания по статье 13.11 КоАП (утечка персональных данных (ПДн) - 100 тыс. руб., а средний ценник внедрения систем ИБ - несколько миллионов, однозначно не все компании готовы перейти на современные методы защиты информации. И пока наказание не станет жестче, бизнес будет слабо мотивирован защищать данные, - предупреждает руководитель отдела аналитики "СерчИнформ" Алексей Парфентьев. - Конечно, есть осознанные компании, и их немало, которые понимают: утечка - это не только штрафы, но и репутационные, а с ними и прямые финансовые потери. Но и в этом случае наказание от регулятора - не то, что принимают во внимание в первую очередь. В нашем исследовании мы выяснили, что решающее значение для закупки DLP и других ИБ-систем имеют все же реальные потребности бизнеса, - возможные санкции от надзорных органов мотивируют защищаться только 43% компаний в России".

Генеральный директор "БСС-Безопасность" Виктор Гулевич считает, что, с одной стороны, заплатить одномоментно штраф выгоднее, чем постоянно тратить ресурсы на выстраивание целой системы защиты от утечек данных. Но с другой стороны, стратегически верным решением является сфокусироваться именно на системе защиты сейчас, чтобы предотвратить еще большие потери в будущем (как финансовые, так и репутационные).

Вместе с тем для "Яндекс.Еды" череда неприятных последствий февральской утечки еще не закончена. В том же Замоскворецком суде Москвы на рассмотрении находится два иска - от 33 и 24 пользователей сервиса. Дата заседаний по обоим искам пока не назначена. "Делопроизводство по судебным искам еще не закончено. Пройдет еще какое-то время, когда общественность перестанет вспоминать эту ситуацию, если только не возникнет повторного или нового кейса", - комментирует Виктор Гулевич.

"Шансы на положительные решения по искам пострадавших оцениваем достаточно высоко. Но судебная практика такова, что речь вряд ли пойдет о присуждении сколь-нибудь значимых сумм, - полагает Олег Павлов. - Прецедент с наказанием является довольно показательным. В качестве мер реагирования следует обратить внимание на международные практики по информационной безопасности, предполагающие глубокие и частые проверки системы управления информационной безопасностью".

"Однозначно сказать сложно, потому что случай прецедентный: пока нет сложившейся практики, ни суды, ни компания, ни сами пострадавшие не вполне представляют, как действовать дальше. Но тот факт, что жертвы утечек принялись отстаивать свои права, значим сам по себе. Это говорит о росте цифровой и ИБ-грамотности, как следствие - о сложившемся в обществе запросе на конфиденциальность и безопасность личных данных. Тренд очевидно положительный, который поменяет многое не только для "Яндекс.Еды", но и для всех других компаний, обрабатывающих ПДн", - считает Алексей Парфентьев. Однако, по его мнению, значимые результаты, как показывает мировой опыт, дает использование оборотных штрафов. Это, по мнению эксперта, позволит снизить количество собираемых персональных данных и лучше их защищать.

Новости из связанных рубрик