Разделы

Безопасность Бизнес Интернет Техника

Власти собрались ужесточить наказание за утечку данных о здоровье и судимостях

Минцифры предложило строже наказывать компании за утечку особой категории персональных данных. К ним относится биометрия, информация об интимной жизни, о состоянии здоровья, наличии судимости и так далее. Пока не известно, как это отразится на сумме штрафов за такие утечки.

Суровое наказание

Минцифры предложило строже наказывать за утечку биометрии и специальных категорий персональных данных (ПД). Инициатива содержится в новой версии законопроекта об оборотных штрафах за утечки ПД. Об этом пишут «Ведомости».

В ведомстве считают, что такая информация относится к наиболее чувствительным данным. Поэтому при утечке следует учитывать характер ПД. И если в сеть попадут специальные категории данных или биометрия граждан, то это повлияет на назначение административного наказания. В документе отсутствуют пояснения — как утечка особо чувствительных данных будет влиять на сумму штрафа.

Но в законопроекте перечислены и смягчающие обстоятельства при утечках. К ним, например, относятся предложения о компенсации пострадавшим и добровольный аудит защищенности ПД.

Специальная категория ПД

К специальной категории персональных данных относится информация о состоянии здоровья и наличии судимости граждан, а также о религиозных убеждениях, рассказал изданию бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий. Помимо этого, к таким данным относится информация о расовой и национальной принадлежности, политических взглядах и интимной жизни, рассказал «Ведомостям» партнер адвокатского бюро «Юрлов и партнеры» Глеб Ситников.

pass50821600.jpg
Компании строже накажут за утечку информации об интимной жизни и здоровье

Биометрические персональные данные — это сведения, которые характеризуют биологические и физиологические особенности человека, на основании которых можно установить его личность (отпечатки пальцев, радужная оболочка глаз и пр.).

Среди крупных операторов таких чувствительных данных присутствуют социальные сети, телемедицинские сервисы, лаборатории по сдаче анализов, пояснил изданию эксперт по защите ПД консалтинговой компании Б-152 Максим Лагутин. К держателям биометрии относятся банки, сервисы каршеринга и пр. Эксперт добавил, что утечка такой информации может привести к более серьезным последствиям, чем попадание в сеть финансовых данных. Поэтому к ним должны предъявляться повышенные требования по защите.

Суммы штрафов

В нынешней версии законопроекта об оборотных штрафах за утечку данных от 1 тыс. до 10 тыс. граждан компании грозит штраф в размере до 5 млн руб., должностным лицам — до 600 тыс.

Если в сеть попали ПД более 10 тыс. граждан, то компании может быть назначен штраф до 10 млн руб., для должностных лиц — до 800 тыс. Повторные утечки обойдутся компаниям в 0,5-3% от выручки за год.

История законопроекта

В мае 2022 г. стало известно о том, что в России могут в миллионы раз увеличиться штрафы за утечку ПД. Речь шла об 1% годового дохода компании. Минцифры планировало подготовить поправки к КоАП и направить их в Госдуму до конца 2022 г.

Александр Осипов, МегаФон: Эффективность киберзащиты вырастет, если снизится рутинная нагрузка на специалистов
безопасность

В июле 2022 г. регулятор смягчился после того, как представители «Ростелекома», МТС, «Вымпелкома», VK, «Яндекса», «Авито» и Ozon выступили против введения неподъемных штрафов в условиях нестабильной экономической ситуации.

Минцифры также планировало добавить в документ смягчающие и отягчающие обстоятельства (сокрытие факта утечки, попытки защитить информацию и т.д). О чем упоминалось выше.

Громкие утечки 2022 года

В 2022 г. россияне столкнулись с огромным количеством не только хакерских атак, но и последующих за ними утечек персональных данных. Например, в начале марта 2022 г. «Яндекс.еда» сообщила об утечке номеров телефонов 58 тыс. клиентов, Роскомнадзор затем наказал компанию на 60 тыс. рублей. В мае 2022 г. в сеть попали сведения о 30 млн клиентах лабораторий «Гемотест». Сразу после этого Delivery Club заявила, что в открытый доступ попала база данных сотрудников из 350 млн строк.

Весной 2022 г. в свободном доступе также оказались данные сервисов СДЭК (два файла по 466 и 822 млн строк). В июне 2022 г. бывший сотрудник «Ростелекома» слил в сеть персональные данные ста тысяч коллег. А в августе 2022 г. знаменитый взломщик выложил данные 7,5 миллионов клиентов Tele2.

Кристина Холупова