За последние девять месяцев число обращений граждан в Роскомнадзор из-за мошенничеств, связанных с персональными данными, выросло на 10,5% год к году. Число дел, доходящих до суда, за последние два года выросло на 60%. Это связано как с ростом числа утечек данных, так и с пристальным вниманием государства к проблеме. Но даже при положительном решении суда штрафы за утечки остаются незначительными, а правоохранители зачастую отказываются от расследования подобных дел в силу их сложности.

ИА REGNUM
Интернет

По данным Semenov & Pevzner, с 2020 года количество судебных дел о нарушении законодательства в области персональных данных (ст. 13.11 КоАП) увеличивается на 30% в год. Таким образом, за два года рост составил 60%. Аналитики учитывали иски и к юрлицам, и к физлицам. Рассмотрение большинства дел заканчивается назначением штрафов.

Динамика связана в том числе с участившимися случаями утечек персональных данных, а также необходимостью взять под более жесткий контроль государства процесс их обработки, объясняет партнер Semenov & Pevzner Юлия Ярных. Еще одна причина — повышение уровня информированности людей, которые стали узнавать о своем праве отозвать согласие на использование персональных данных путем подачи соответствующего заявления.

Рост количества обращений граждан наблюдает и профильный регулятор: за девять месяцев 2022 года в Роскомнадзор и его территориальные органы поступило 219,1 тыс. обращений граждан, что на 10,5% больше, чем за аналогичный период 2021 года. С начала года в Центр правовой помощи гражданам в цифровой среде обратилось свыше 1,2 тыс. россиян из разных городов страны, добавили в Роскомнадзоре.

Обращения граждан могут быть вполне обоснованы: по данным InfoWatch, в России в первом полугодии «утекли» 305 баз данных, что на 45,9% больше, чем за январь–июнь 2021 года. Объем похищенной информации увеличился более чем в 16 раз, составив 187,6 млн записей.

Эксперты в области кибербезопасности отмечают, что растет и количество уголовных дел, связанных с «пробивом» — незаконным поиском данных о людях в теневой сети. По словам основателя сервиса разведки утечек данных и мониторинга даркнета DLBI Ашота Оганесяна, в 90% случаев виновными оказываются сотрудники салонов сотовой связи, занимающиеся мобильным «пробивом».

Распространенной угрозой остаются и случаи, когда злоумышленники получают персональные данные людей, необходимые для последующего совершения хищения. Правоохранительные органы почти в 90% случаев в таких делах выносят постановления об отказе в возбуждении уголовного дела ввиду крайне сложного расследования подобных дел.

Напомним, в России активно принимаются меры, направленные на защиту пользователей и их персональной информации от незаконного сбора и слива в открытый доступ.

Еще в декабре 2019 года были приняты поправки в КоАП, которые усилили ответственность за нарушение требований по хранению персональных данных. Документ предусматривает штраф в размере от 1 млн до 6 млн руб., а за повторное нарушение его размер вырастает до 6–18 млн руб.

С 1 сентября 2022 года вступили в силу изменения в закон «О персональных данных». Теперь операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные

https://rkn.gov.ru/news/rsoc/news74488.htm

исключительно без средств автоматизации.

«Сразу оговорюсь, что права граждан на защиту тайны их частной жизни не ограничиваются утечками. Закон о персональных данных защищает людей от любого рода неблагоприятных последствий от обработки их данных.

К примеру, у всех должен быть полный контроль над обработкой их биометрии. Этот контроль реализуется через согласие, которое человек может свободно дать и в любой момент отозвать. Возможность отказаться в любой момент от рекламы тоже является примером защиты человека от обработки его или ее данных (в данном случае, номера телефона). Иными словами, фокус закона не на защите данных как таковых, а защите прав граждан.

За последние полгода утечки действительно участились и попали в зону повышенного внимания граждан и СМИ. Однако проблема зрела долгие годы, удивительно скорее, что она не проявила себя раньше. До 2022 года в судебной практике был всего 1-2 случая, когда компанию оштрафовали за утечки персональных данных. Ярчайший пример — утечка у Oriflame паспортов более 1 млн человек, за которую компания в ноябре 2021 года понесла наказание в размере 30 тысяч рублей, т.е. чуть больше 2 копеек за запись.

На этом фоне для компаний отсутствовали стимулы инвестировать в процессы безопасности. Они по своей природе мешают легкому использованию продуктов, а значит мешают продажам. Потому компании, совершенно очевидным образом занимались бумажной безопасностью (писали бесконечные политики, директивы и внутренние приказы), а не фактической. С обычным потоком рисков компании более-менее справлялись, но появление новых векторов угроз — внутренних саботажей, внешних атак — они не выдержали», — комментирует ситуацию преподаватель Moscow Digital School Олег Блинов.

«На данный момент количество утечек персональных данных растет — это объясняется, в том числе, политической обстановкой. Помимо внешних атак, в результате которых данные пользователей попадают в общий доступ, не последнюю роль играют и инсайдеры, которые с февраля имеют не только коммерческий, но и политический мотив. Относительно халатное отношение организаций к персональным данным объясняется, в первую очередь, не очень большим наказанием за их утечку. Штраф в несколько десятков тысяч рублей не сравнится с теми затратами, которые несут компании как для внедрения и поддержки всех необходимых средств защиты, так и на зарплаты сотрудников, которые должны отвечать за внедрение всех мер. Однако стоит отметить, что компании, которые вследствие утечки несут не только штрафные, но и репутационные риски (например, информация о клиентах попадет к конкурентам, что приведет к переманиваю клиентов), относятся к защите обрабатываемых данных максимально серьезно, так как для них персональные данные являются важнейшим активом. На данный момент со стороны регулирующих органов исходят инициативы по увеличению штрафов за нарушения в обработке персональных данных (которые, в том числе, могут привести к утечкам). Данный вопрос поднимается, в том числе, на уровне Госдумы», — комментирует ситуацию директор по консалтингу ГК InfoWatch Ирина Зиновкина.