Как наказывают за утечки данных в России и за рубежом

Ноябрь снова оказался богатым месяцем на штрафы. Иностранные регуляторы демонстрируют серьезность даже в тех инцидентах, которые, казалось бы, не столь существенны. На этом фоне в России практика складывается гораздо гуманнее. Отдел аналитики «СёрчИнформ» собрал данные о штрафах, которым подвергались компании и физлица в ноябре.

Самый большой штраф достался Uber. Это развязка истории, которая взяла свое начало в 2016 году. Тогда в Великобритании и Нидерландах сервис допустил утечку данных. Но главный «грех» — компания скрывала инцидент больше года. Комиссариат по защите информации Великобритании наложил на Uber штраф в 385 тыс. фунтов стерлингов (32,7 млн рублей), а Агентство по защите данных (DDPA) Нидерландов — на 600 тыс. евро (45,6 млн рублей). Штраф в сумме составит 1 млн евро. Причем до европейских штрафов были и санкции от США. Там по искам от 50 штатов сервису было присужден штраф в $ 148 млн.

Неоднозначная, но тоже показательная история в Штатах так же закончилась штрафом. Управление по гражданским правам Департамента здравоохранения и социальных служб оштрафовало отделение Allergy Associates в Хартфорде, Коннектикут на $ 125 тыс. за нарушение правил конфиденциальности HIPAA. Такое решение было принято по иску пациентки, у которой случился конфликт с доктором. Объясняя ситуацию в прессе, врач разгласил подробности здоровья женщины. Непонятно, насколько критична такая утечка, но сам прецедент и, главное, штраф, актуализировал вопрос медицинской тайны для профессионального сообщества.

Меньший (23 тыс. евро), но также прецедентный штраф получила платформа Knuddels. Это первый случай применения регламента GDPR в Германии. Соцсеть стала жертвой хакеров, но претензии регулятора касались небрежного обращения с данными со стороны компании. Она не обеспечила сохранность информации, конфиденциальные данные пользователей, в том числе пароли, хранились в незашифрованном виде.

Подобных впечатляющих новостей из России нет, хотя инцидентов с утечками так же немало. Взять хотя бы массовую потерю данных в Facebook (Запрещенная в РФ организация), по которой Роскомнадзор даже отказался проводить проверку по причине того, что «не поступало официальных жалоб». Гуманным, по сравнению с западными санкциями, оказался приговор в отношении томского участкового полицейского. Его уличили в продаже данных об умерших в ритуальное агентство. Суд вынес решение о трех годах условно и испытательном сроке на все это время. Никаких штрафов присуждено не было.

Между тем в ноябре же зашел разговор об ужесточении ответственности в сфере персданных. Так, Минкомсвязи предложило запретить размещать в свободном доступе личные данные граждан из муниципальных и государственных баз данных. Проект закона предлагает внести изменения в ст. 13.11 КоАП. Невыполнение оператором данных требований повлечет за собой предупреждение или административный штраф. Для граждан его размер составит от 1 тыс. до 2 тыс. рублей, для должностных лиц — от 3 тыс. до 6 тыс. рублей, для индивидуальных предпринимателей — от 5 тыс. до 10 тыс. рублей, для юрлиц — от 10 тыс. до 30 тыс. рублей.

«И все равно суммы предполагаемых штрафов просто смешные. Штраф даже в 10–30 тысяч рублей для юрлиц никак не способствует решению проблемы. Для физических или же должностных лиц суммы и вовсе мизерные. Это не те штрафы, которые могут остановить «бизнесы на данных». Их доходы в разы выше штрафов. Очевидно, что процесс защиты персональных данных недостаточно проработан, проблемы видим на всех этапах — от отсутствия дифференциации нарушений, до банального нежелания работать «без жалобы», — резюмирует Алексей Парфентьев, ведущий аналитик «СёрчИнформ».