«Почта России» подтвердила утечку данных пользователей

В Сеть выложено 10 млн строк с личной информацией клиентов «Почты России»: номера отправлений, телефоны и адреса. «Почта» уверяет, что доступ к банковским данным хакеры не получили. Масштабные утечки данных случаются регулярно, а какая ответственность за это прописана в законе?

Данные пользователей «Почты России» утекли в Сеть. Хакеры выложили 10 млн строк, в которых упоминаются номера отслеживания отправлений, фамилия, имя и отчество отправителя или названия компаний, телефоны, города, индексы, вес, статус отправления, дата и время. По словам злоумышленников, это лишь часть полученных данных.

«Почта России» подтвердила утечку, но уверяет, что доступа к другой информации у хакеров нет — все, что было скомпрометировано, уже выложили в Сеть, и добавили, что банковские данные клиентов не пострадали.

Роскомнадзор направил «Почте России» запрос на предоставление детальной информации о происшествии. Комментирует основатель юридической компании «Ассистент плюс» Смбат Алиханян:

Смбат Алиханян основатель юридической компании «Ассистент плюс» «По сути, это уже глобальная проблема. В нашем законодательстве есть ответственность, но ввиду того, что до последнего времени особого внимания этому никто не уделял, вот это все и происходит. Какая у нас есть ответственность? У нас есть статья 13.11 КоАП Российской Федерации, которая устанавливает ответственность, и есть Уголовный кодекс, в котором также определена ответственность за нарушение неприкосновенности частной жизни. Здесь можно было бы привлечь кого-нибудь к уголовной ответственности, тех лиц, которые виновны. Если бы был создан один или два таких прецедента, то ответственность оператора персональных данных была бы намного выше. Почему-то, когда происходит утечка информации, наши правоохранительные органы всех привлекают по части 1 КоАП. По сути, привлекают к ответственности за незаконную обработку. При этом почему-то забывают о том, что у нас есть в этой же статье более серьезная ответственность. В части 8 установлена ответственность за невыполнение требований законодательства о персональных данных и невыполнении условий хранения персональных данных, и ответственность здесь намного больше. Если в части 1 ответственность от 50 тысяч до 100 тысяч рублей, то в части 8 ответственность от 1 млн до 6 млн рублей, а если повторно — от 6 млн до 18 млн. Я считаю, что привлечение ответственности именно в этой части было бы существенным стимулом для тех, кто является оператором персональных данных, чтобы начать более тщательно заботиться о том, чтобы не было этих утечек. А если утечки произошли, выявить виновных. У нас пока просто нет правоприменительной практики».

Минцифры сейчас готовит изменения в законопроект о наказаниях за утечки данных пользователей: за первый случай для компаний предусмотрен фиксированный штраф — его размер будет зависеть от объема информации, попавшей в открытый доступ. Второй штраф будет оборотным в размере 1% от годовой выручки и до 3%, если компания своевременно не сообщила об утечке Роскомнадзору.

Однако бизнес считает такое наказание слишком суровым. По данным «Коммерсанта», совещание по этому поводу прошло в начале июля в Минцифре. Представители компаний предлагают, что если данные скомпрометированы впервые, то должно быть просто предупреждение, за второе нарушение — крупный штраф, и только на третий раз — оборотный штраф. И чиновники, похоже, готовы пойти на уступки.