Ваш интернет-магазин взломали? Получите огромный штраф!

В Госдуму внесены два законопроекта, ужесточающих порядок работы с персональными данными.

Один из них предусматривает уголовное наказание для тех, кто ответственен за распространение такой информации с максимальным наказанием до десяти лет лишения свободы. Хакеров-взломщиков, продавцов "слитых" баз в даркнете, желающих подзаработать работников компаний ждут реальные немалые сроки.

Второй же, вносящий поправки в административный кодекс о правонарушениях, значительно повышает имеющиеся и вводит оборотные штрафы за причастность к "утечкам" информации. И он как раз имеет прямое отношение к компаниям ecommerce, оперирующим персональными данными, — а это практически все онлайн-продавцы.

Ведь им так или иначе необходимо иметь определенный набор данных о покупателе. А некоторые, для удобства того же покупателя, хранят чуть ли не целое досье, чем весьма привлекают хакеров и мошенников.

Законопроект уже критикуют – за нечеткие формулировки, отсутствие смягчающих обстоятельств и "презумпцию вины", за отказ от поддержки пострадавшей стороны.

Так какие же новшества приготовил законопроект компаниям, занимающимся обработкой персональных данных?

Закон РФ предусматривает обязанность для компаний, намеревающихся осуществлять обработку персональных данных, а также для компаний, допустивших утечку этих данных,  оповестить об этом Роскомнадзор.

Соответственно, появляются два новых состава административного правонарушения — неоповещение или несвоевременное оповещение Роскомнадзора об обработке персональных данных и об установлении факта утечки. Штрафы за несоблюдение требований по оповещению Роскомнадзора об инцидентах утечки данных составят:

• до 100 тыс руб для граждан;
• до 800 тыс руб для должностных лиц;
• до 3 млн руб для юрлиц.

То есть компания не должна считать факт "утечки" своим внутренним делом, с которым она сама разберется.

Но дело не только в этом, а в установленных будущим законом сроках.

"Сроки для направления Роскомнадзору сообщения об утечке данных и результатах внутреннего расследования очень маленькие — об утечке данных нужно сообщить в течение 24 часов и о результатах проведенного внутреннего расследования — в течение 72 часов", — говорит практикующий юрист, преподаватель правовых дисциплин Александра Васильева.

Причем не очень понятно, с какого момента будут отсчитывать этот срок — когда произошла утечка или когда ее обнаружили. Если вообще обнаружили — нередки случаи, когда компании узнавали о краже данных, только когда всплывали "базы" в Интернете.

Также значительно повышаются штрафы для компаний  (физлиц, должностных лиц), допустивших "утечку" персональных данных.

И здесь размер штрафа варьируется от размера украденной базы. И тут – внимание! – карающийся штрафом размер утраченной базы начинается с 1 тыс. строк в "базе".

То есть совсем уж маленькие магазинчики с сотнями покупателей могут вроде и не переживать. И если какой-то хакер-одиночка уведет пароли от десятка личных кабинетов, то наказание будет грозить только ему.

С другой стороны, хакеры-профи работают в основном по-крупному.

"Например, за 2022 год общее количество строк данных пользователей в утечках составило 1,4 млрд, говорят нам открытые источники, а, например, один только "Спортмастер" признался, что у него на 1 января 2023 года "утекло" 1.6 млн. записей",  — напоминает Александра Васильева.

К тому же резкое возросшее количество взломов с целью кражи персональных данных с 2022 года связано со специальной военной операцией. Хакеры стремятся к краже персональных данных россиян из наиболее критичных объектов онлайн-инфраструктуры. не зря множество раз появлялась информация о взломе "Госуслуг", впрочем, ни разу пока не подтвердившаяся. Поэтому сейчас по большей части работает принцип "чем больше данных – тем лучше для хакера".

Теперь обратимся к размерам штрафов.

Они делятся на 4 категории:

1. штраф за действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные,
2. штраф за такое же повторное нарушение,
3. штраф за то же самое, если среди персональных данных была специальная информация (например медицинская)
4.  штраф за повторную утечку специальных персональных данных.

При этом важно, что все это действие или бездействие, повлекшее за собой утечку, не должно содержать признаков уголовного деяния. Например, предварительного сговора со злоумышленниками.

"Проблема тут не в том, что операторы данных — магазины и т.д. —  плохо присматривают за данными, а в том, что для хакеров персональные данные пользователей площадок интернет торговли — одна из самых привлекательных целей.

А магазины перед взломами практически беззащитны — они магазины, а не IT-предприятия. И если раньше законодатель все же учитывал этот факт, то новеллы предполагают вменение ответственности без фактической вины, поскольку под бездействие, повлекшее "утечку", по сути, можно подвести простой факт существования взломанной базы", — комментирует Александра Васильева.

"В результате наибольшая нагрузка ляжет на микросубъектов обработки персональных данных, но при этом никак не стимулирует к добросовестному исполнению закона – просто потому, что закон не предполагает учета усилий, произведенных магазинами, по предотвращению утечек и улучшению процедур обработки персональных данных", – резюмирует Александра Васильева.

"Это тоже довольно неприятная новелла, поскольку формулировка очень неконкретная: "Незаконные использование и(или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем". А ответственность — уголовная", — замечает юрист Васильева.

Правда, как отмечают СМИ, ко второму чтению закона в Госдуме уже планируется внесение некоторых правок.

Оборот.ру будет следить за изменениями в законодательстве.

Также читайте на нашем сайте:

• От 5 до 10 миллионов рублей за первую утечку данных, до 3% оборота компании – за последующие: законопроект Минцифры
• Обнаружены очередные крупные утечки данных клиентов – на этот раз в СДЭК и Kari
• Государство придумало, как компании будут договариваться о размере компенсации с пострадавшими от утечек личных данных
• Хакеры узнали все секреты "Подружки"?
• Хакеры тренируются на карточках товара Wildberries. Серия очень странных взломов удивила продавцов
• Delivery Club получил штраф за утечку данных клиентов. Как думаете, на какую сумму?
  
• Какого размера должна быть утечка персональных данных, чтобы компании грозил оборотный штраф?
• Readovka сообщила об утечке персональных данных всех клиентов Wildberries – сам сервис это отрицает
• Хакеры шантажируют селлеров Wildberries, взламывая личные кабинеты. Откуда у них пароли?
• Яндекс.Еда разрешит пользователям удалять личные данные: все из-за недавней утечки
• Новый закон на подходе: утечки данных клиентов обойдутся компаниям очень дорого
• Стали известны подробности миллионного иска клиентов "Яндекс Еды" из-за утечки данных

Интересная новость? А ведь новости гораздо удобнее отслеживать в Telegram. Подпишитесь на наш Telegram-канал вот по этой ссылке. И вы будете и читать, и получать все самое важное наиболее удобным способом.