подписка
Подписаться
07/12/2023

Ваш интернет-магазин взломали? Получите огромный штраф!

В Госдуму внесены два законопроекта, ужесточающих порядок работы с персональными данными.

Один из них предусматривает уголовное наказание для тех, кто ответственен за распространение такой информации с максимальным наказанием до десяти лет лишения свободы. Хакеров-взломщиков, продавцов "слитых" баз в даркнете, желающих подзаработать работников компаний ждут реальные немалые сроки.

Второй же, вносящий поправки в административный кодекс о правонарушениях, значительно повышает имеющиеся и вводит оборотные штрафы за причастность к "утечкам" информации. И он как раз имеет прямое отношение к компаниям ecommerce, оперирующим персональными данными, — а это практически все онлайн-продавцы.

Ведь им так или иначе необходимо иметь определенный набор данных о покупателе. А некоторые, для удобства того же покупателя, хранят чуть ли не целое досье, чем весьма привлекают хакеров и мошенников.

Законопроект уже критикуют – за нечеткие формулировки, отсутствие смягчающих обстоятельств и "презумпцию вины", за отказ от поддержки пострадавшей стороны.

Так какие же новшества приготовил законопроект компаниям, занимающимся обработкой персональных данных?

Закон РФ предусматривает обязанность для компаний, намеревающихся осуществлять обработку персональных данных, а также для компаний, допустивших утечку этих данных,  оповестить об этом Роскомнадзор.

Соответственно, появляются два новых состава административного правонарушения — неоповещение или несвоевременное оповещение Роскомнадзора об обработке персональных данных и об установлении факта утечки. Штрафы за несоблюдение требований по оповещению Роскомнадзора об инцидентах утечки данных составят:

  • до 100 тыс руб для граждан;
  • до 800 тыс руб для должностных лиц;
  • до 3 млн руб для юрлиц.

То есть компания не должна считать факт "утечки" своим внутренним делом, с которым она сама разберется.

Но дело не только в этом, а в установленных будущим законом сроках.

"Сроки для направления Роскомнадзору сообщения об утечке данных и результатах внутреннего расследования очень маленькие — об утечке данных нужно сообщить в течение 24 часов и о результатах проведенного внутреннего расследования — в течение 72 часов", — говорит практикующий юрист, преподаватель правовых дисциплин Александра Васильева.

Причем не очень понятно, с какого момента будут отсчитывать этот срок — когда произошла утечка или когда ее обнаружили. Если вообще обнаружили — нередки случаи, когда компании узнавали о краже данных, только когда всплывали "базы" в Интернете.

Также значительно повышаются штрафы для компаний  (физлиц, должностных лиц), допустивших "утечку" персональных данных.

И здесь размер штрафа варьируется от размера украденной базы. И тут – внимание! – карающийся штрафом размер утраченной базы начинается с 1 тыс. строк в "базе".

То есть совсем уж маленькие магазинчики с сотнями покупателей могут вроде и не переживать. И если какой-то хакер-одиночка уведет пароли от десятка личных кабинетов, то наказание будет грозить только ему.

С другой стороны, хакеры-профи работают в основном по-крупному.

"Например, за 2022 год общее количество строк данных пользователей в утечках составило 1,4 млрд, говорят нам открытые источники, а, например, один только "Спортмастер" признался, что у него на 1 января 2023 года "утекло" 1.6 млн. записей",  — напоминает Александра Васильева.

К тому же резкое возросшее количество взломов с целью кражи персональных данных с 2022 года связано со специальной военной операцией. Хакеры стремятся к краже персональных данных россиян из наиболее критичных объектов онлайн-инфраструктуры. не зря множество раз появлялась информация о взломе "Госуслуг", впрочем, ни разу пока не подтвердившаяся. Поэтому сейчас по большей части работает принцип "чем больше данных – тем лучше для хакера".

Теперь обратимся к размерам штрафов.

Они делятся на 4 категории:

  1. штраф за действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные,
  2. штраф за такое же повторное нарушение,
  3. штраф за то же самое, если среди персональных данных была специальная информация (например медицинская)
  4.  штраф за повторную утечку специальных персональных данных.

Согласно поправкам в КоАП, если утечка касается от 1 тыс до 10 тыс субъектов персональных данных (то есть граждан), штраф для юрлиц и индивидуальных предпринимателей, которые в поправках приравнены к компаниям, составит от 3 млн до 5 млн руб.

За утечку данных от 10 тыс до 100 тыс субъектов — от 5 млн до 10 млн руб.;

Более 100 тыс пострадавших от раскрытия их персональных данных обойдутся организации в сумму от 10 млн до 15 млн руб.

За повторное нарушение при любом объеме дискредитированной информации от 1 тыс субъектов предлагается штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн руб и не более 500 млн руб.

За утечку информации, включающей специальную категорию персональных данных (например, медицинской информации), штраф для юрлиц составит от 10 млн до 15 млн руб.

Также поправки предусматривают за перечисленные нарушения повышенные штрафы для физлиц и сотрудников государственных или муниципальных организаций.

Рецидив утечки специальной категории персональных данных также предусматривает оборотные штрафы.

При этом важно, что все это действие или бездействие, повлекшее за собой утечку, не должно содержать признаков уголовного деяния. Например, предварительного сговора со злоумышленниками.
Эксперты говорят, что одним из главных недостатков закона является отсутствие смягчающих обстоятельств.
"Проблема тут не в том, что операторы данных — магазины и т.д. —  плохо присматривают за данными, а в том, что для хакеров персональные данные пользователей площадок интернет торговли — одна из самых привлекательных целей.
А магазины перед взломами практически беззащитны — они магазины, а не IT-предприятия. И если раньше законодатель все же учитывал этот факт, то новеллы предполагают вменение ответственности без фактической вины, поскольку под бездействие, повлекшее "утечку", по сути, можно подвести простой факт существования взломанной базы", — комментирует Александра Васильева.
Иначе говоря, интернет-магазины будут виноваты просто тем, что их удалось взломать. И неважно, какие меры предосторожности предпринимались. Вернее, важно: все должно быть по высшему разряду, и у каждого магазина должен быть собственный отдел информационной безопасности.
Вероятно, нужны определенные правила, устанавливающие меры информационной безопасности, которые должен обеспечить интернет-магазин. Если компания не обеспечила набор необходимых мер, тогда и нужно говорить о "допущении утечки".
"В результате наибольшая нагрузка ляжет на микросубъектов обработки персональных данных, но при этом никак не стимулирует к добросовестному исполнению закона – просто потому, что закон не предполагает учета усилий, произведенных магазинами, по предотвращению утечек и улучшению процедур обработки персональных данных", – резюмирует Александра Васильева.
А ведь в пояснительной записке к законопроекту авторы отмечают, что поправки должны стимулировать операторов персональных данных инвестировать в информационную безопасность и защиту данных своих пользователей.  Однако этого стимула совершенно не видно.
Что касается уголовной ответственности за "утечки", то здесь тоже интернет-магазину не получится вздохнуть спокойно.

"Это тоже довольно неприятная новелла, поскольку формулировка очень неконкретная: "Незаконные использование и(или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем". А ответственность — уголовная", — замечает юрист Васильева.

Правда, как отмечают СМИ, ко второму чтению закона в Госдуме уже планируется внесение некоторых правок.

Оборот.ру будет следить за изменениями в законодательстве.

Также читайте на нашем сайте:

Интересная новость? А ведь новости гораздо удобнее отслеживать в Telegram. Подпишитесь на наш Telegram-канал вот по этой ссылке. И вы будете и читать, и получать все самое важное наиболее удобным способом.

Прокомментировать
Читайте также
Павел Ковалёв
предприниматель, Тайные желания
23/02/2024
Ozon без ведома селлера регулярно автоматически добавляет его товары в акции. Что с этим делать? - обсуждение 23
Перейти к исходному сообщению
Зачем бороться с поддержкой, надо писать заявление в правоохранительные органы о мошенничестве, так озон быстрее одумается
Илья А.  Илья А. Руководитель направления международной логистики, Торговля (Онлайн-гипермаркет, мини-компания)
vz@custom-bar.ru,  
https://oborot.ru/news/ozon-bez-vedoma-sellera-regulyarno-avtomaticheski-dobavlyaet-ego-tovary-v-akcii-chto-s-etim-delat-i200541.html#comment_262612
 пишите суда  Свернуть
Зачем бороться с поддержкой, надо писать заявление в правоохранительные органы о мошенничестве, так озон быстрее одумается   Еще...
Форум Тенденции развития Российские тенденции
08/12/2023
Зарплаты на российских складах выросли почти в 2 раза. Кто, кому и сколько готов платить? 1
Консалтинговая компании в области коммерческой недвижимости IBC Real Estate обнаружила, что спрос на грузчиков, комплектовщиков, упаковщиков и кладовщиков (ну и оплата их труда) растут так ощутимо, как никогда ранее... Подробнее
07/12/2023
DNS будет выпускать бытовую технику Konka на заводе LG в Подмосковье
Сообщают, что федеральный ритейлер намерен арендовать завод LG в Подмосковье и начать в первом квартале 2024 года выпускать на нем различную технику под брендом, который считается китайским... Подробнее
06/12/2023
Почему селлеры маркетплейсов снимают новогодний ассортимент с продаж перед праздниками 1
Псевдо-покупатели пользуются товарами для фотосессий, утренников и других новогодних активностей, а затем возвращают обратно. В этом году, судя по всему, ответом будет массовый отказ от продаж таких сезонных товаров на Ozon и Wildberries... Подробнее
Анастасия Жучкова
Директор, ИП Жучкова А.В.
06/12/2023
Сенаторы все же решили регулировать деятельность маркетплейсов - обсуждение 9
Перейти к исходному сообщению
Все эти "благие намерения" закончатся лишь повышением цен и большим геморроем для селлеров.
Государство в экономике это как слон в посудной лавке...
Денис Демидов  Денис Демидов Генеральный директор, AvtoGSM.ru
Да, отчасти верно, но без регулирования не обойтись. Уже сейчас на маркетплейсах продают черти что и зайти может туда любой. Товарооборот обязательно нужно регулировать, но очень аккуратно конечно. Свернуть
Все эти "благие намерения" закончатся лишь повышением цен и большим геморроем для селлеров.Государство в экономике это как слон в посудной лавке... Еще...
Форум Тенденции развития Российские тенденции