Минцифры согласовало законопроект об оборотных штрафах за утечки личных данных пользователей — «Ъ» Статьи редакции
Нарушителям грозит штраф в 1% от годового оборота, а при попытке скрыть инцидент — до 3%, говорят источники.
- 26 мая 2022 года в Минцифры прошло обсуждение ужесточения ответственности компаний и физлиц за утечку и распространение персональных данных, рассказали источники «Коммерсанта».
- На ней Минцифры сообщило, что законопроект о введении оборотных штрафов в отношении компаний, допустивших утечку данных своих клиентов, находится на финальной стадии, рассказал знакомый с деталями встречи собеседник.
- Согласно инициативе, нарушителям грозит штраф в 1% от годового оборота. Если допустившая утечку компания не уведомит Роскомнадзор об инциденте в течение суток, оборотный штраф может вырасти до 3%, говорят источники.
- На ближайшей неделе законопроект планируют внести в Госдуму, утверждает «Ъ». В Минцифры не ответили на запрос. Комитет Госдумы по информполитике поддержал инициативу: «Бизнес должен быть мотивирован сохранять данные пользователей в безопасности».
- В начале апреля глава Минцифры Максут Шадаев говорил, что ведомство вместе с Роскомнадзором выступят с инициативой об оборотных штрафах для бизнеса за утечки в 2022 году. По мнению одного из источников, разработка могла быть ускорена из-за нескольких громких инцидентов: например, у «Яндекс.Еды» и Delivery Club.
- «Ъ» отмечает, что неясно, кто и как будет подтверждать и классифицировать утечки. Кроме того, личные данные сейчас обрабатывают не только крупные ИТ-компании и банки, но и небольшие предприятия, которые редко инвестируют в кибербезопасность.
0
показов
6.7K
открытий
ага, получается компания заплатит штраф в гос бюджет, а людям, чьи данные слили, им как-то это не особо поможет
Вы всегда можете и могли подать иск на компанию. Некоторые уже подали
https://habr.com/ru/news/t/658107/
Так это пополнение бюджета, а значит новые дороги, больницы и так далее)
Больше интересно, а кто будет гос. Структуры штрафовать или там утечек нет?)
Опять же новый рычаг давления на компании. А штрафы со временем увеличат 100%
Ну для компаний это будет стимулом хранить данные надежнее.
Так законы и работают вообще то.
Штрафы не призваны помогать пострадавшим, они призваны добиваться соблюдения правил.
Поэтому штраф оборотный, 1% от годового оборота то же еды это довольно большая сумма чтобы хорошенько задуматься.
Комментарий недоступен
Люди кооперируется и подают групповое заявление в суд.
Коллективные иски странно, что они только недавно появились. Люди осваивают их
Возможно, для обхода этого штрафа будут использовать новояз. К примеру, произошла не "утечка и распространение персональных данных", а "увеличение информации в результате неизбежного роста энтропии вселенной".
Этот лайфхак только Яндексу будет разрешен)
Пора уже делать рейтинг позиций новояза
Новейшая отечественная разработка - Open Source база данных.
Штраф маловат.
Но гораздо больше, чем было. Сдвинулось с места, уже радует
Но он явно больше чем 60 тыс которые заплатил Яндекс за утечку
Публично обругать матом на дворцовой(можно привязать к столбу), компенсировать 2 мл $ каждому пострадавшему.
Для компания типа Яндекс, 3% от оборота это очень много. Например в 3 квартале 2021 суммарный оборот «Яндекс.Лавки» и «Яндекс.Еды» - 21 млрд руб. 3% это 63 миллиона и это только один квартал, суммарно за год штраф может быть 200 миллионов. Вполне достаточно.
Вангую будущие шантажи компаний, бывшими сотрудниками. Упер такой данные пользаков и трясешь с компании выкуп вдвое меньше, чем им будет штраф за их утечку )
Тогда компания попав на штраф взыщет сумму ущерба с этого сотрудника и он афигеет потом ))
Информационная система должна иметь такую архитектуру, чтобы один пользователь любого ранга не мог в одиночку получить дамп всей базы.
Ну шантаж это уголовка, слишком высокие риск, даже для относительно высоко сидящего сотрудника.
А вот шатнаж со стороны условных хакеров, куда более реальный.
Только нам это уже не поможет.
Заходя на тот известный сайт и забив в поиск свой номер, я вижу полное ФИО и точный адрес.
И даже номер не нужен, достаточно знать фамилию и он выдаёт полный список однофамильцев.
Меня уже посчитали.
ПОПАЛСЯ!
!?
В идеале конечно бы какой-то прогрессирующий процент, в зависимости от оборота компаний, то есть 1% для какого нибудь салона красоты(условно) и 10% для Яндекса(ещё условнее)
Чтобы вообще никакого бизнеса в стране не осталось. Идеально, да.
Ладно уж, храни свои секреты
Честно говоря не уверен насчёт правильности таких оборотных штрафов в этом случае. Я бы всё-таки шел в данном конкретном случае в сторону более понятной и простой процедуры защиты прав и потерь каждого конкретного пострадавшего, чтобы легче было объединиться и были прописаны что значит с морально-этической и финансовой тоже стороны вот такие потери личной инфы для гражданина.
Просто эти оборотные штрафы, это считай уже ввели что-то вроде страхового взноса на все интернет-компании, в размере 1% от годового оборота. Объясню: взламывают всех, даже самые защищенные, новые, после аудитов системы. Про огромное число дырок мы просто ещё не знаем или не представляем, что так можно сделать. И выходит, что даже при условии, что делаешь всё максимально верно, у тебя есть далеко не нулевой шанс попасть.
И ещё интересно, как этот закон будет работать против гос структур, условного МВД, базы которых достаточно часто актуализируются и продаются тут и там.
А вот закон со стороны людей и их ущерба, позволил бы действовать в каждой конкретной ситуации. Ну и в случае утечки МВД в суд можно было подать бы на МВД(условный пример), штраф/компенсация бы была связана не с годовыми оборотами, а с оценкой суда ущерба людей (с чем сегодня нередко проблемы, в сторону занижения).
И тут же над всей Россией разольется плач Ярославны по поводу того, что условный физик не сможет обосновать чем же ему навредил слив в сеть его данных о заказанных бургерах и острых крылышках.
По факту, такой подход будет способствовать бездействию со стороны сборщика ПДн по защите этих данных.
Видится, что более действенным было бы введение уникального ID для каждого гражданина, который бы получал гражданин в условном хранилище его персданных, которое бы регистрировало любое обращение за детализацией этих данных и целей обработки.
Т.е., на стороне обработчина ПДн создается уникальный ключ (ID+случайный код). При запросе ПДн из хранилища обработчик передает этот уникальный код и свой ключ авторизации в хранилище. Хранилище расшифровывает переданный ключ, вытаскивает ID субъекта обработки ПДн, и передает данные на обработку стороне, которая запрашивала. История запросов сохраняется на стороне хранилища.
Оплата работы хранилища - абонентская плата со стороны профессиональных обработчиков данных хошъ по транзакциям, хошъ по кол-ву пользователей в месяц.
Такой подход позволит централизованно хранить ПДн граждан РФ, исключить максимально утечки значимой информации "сотрудникам банков".
Если в БД банков будет храниться только ключ, то даже весь дамп базы Сбера будет представлять собой никакой ценности, т.к вместо ФИО будет храниться хэш, который может быть расшифрован только путем подачи запроса определенным пользователем хранилища.
На стороне пользователя - пластиковая карточка с чипом и/или полюбившимся все QR-кодом.
Пришел устраиваться на работу, отсканировали твой Id, сделали запрос в хранилище, хранилище "отрыгнуло" все твои ПДн на экран оператору.
Госструктуры - не благодарите за идею.
Чтобы такого не было, нужно, чтобы компании беспокоились о своей репутации в первую очередь, штраф они всегда смогут выплатить и забыть.
Репутация возможна при альтернативах, иначе тупнешь ножкой как недовольный пользователь/клиент «компании с плохой репутацией» и на этом все.
К примеру Авито, ну бубнят в приемку через пост , что дальше ? Альтернатив то особо и нету
Не самое приятное, когда данные пользователей утекают. Не знаю, не особо суровое наказание, как мне кажется
Да нормально, чо. Сто утечек - плюс одна компания у какого-нибудь silovika.
Сразу видны приоритеты - оборотный штраф за неудаление неугодной информации ввели давно, а за утечку персданных только сейчас обсуждают
Не забудьте штраф ГИБДД выписать, оттуда тоже данные утекли)
Наивный)) сказано же, что закон обратной силы не имеет
Комментарий удален модератором
В год?
И по 1 млн. руб. тому, чьи данные утекли 😁
Вам до оплаты ипотеки 1 млн не хватает?))
Заранее продумывать ответственность нужно. Ну ведь законы целые, неужели сложно просчитать действия и последствия?
Теперь, когда данные просто чуть ли не каждую неделю публикуют и видно что и где все соседи покупают, очухались.
С другой стороны – хотя бы так сделали, м-да.
Вспоминается Вовка из тридевятого: «И так сойдёт!».
так у нас сперва подготовят почву для законов, потом сам закон. Вы думали замечаете, как перед законом что-то начинают в новостях массировать
Комментарий недоступен
Комментарий недоступен
Сначала закон учитывает возможность заинтересованных обогатиться на кажущейся "незрелости" закона, потом, после этого этапа, начинаются доработки, корректировки, "ужесточения" и прочее.
Поэтому зачастую кажется, что закон создан наскоро и не продуман. Так нет – всё там продумано, только не для всех, скажем так.
Для этих целей в 152-ФЗ есть категоризация систем. Если К1 (более 100к индивидумов, либо хранение мед.данных)- то вот тут и надо вводить оборотные штрафы и чем серьезнее - тем лучше. Остальных смысла нет сильно штрафовать на первый раз.
Иначе получится классическое палководство и иллюзия заботы о гражданах. С условного ООО "Лютик" с 15 человеками в штате (категория К4) с оборота в 30-40 млн снимут "стружки" на 400к.. И таких ООО "Лютик", "Ромашках", "Зайчата и Ко" в стране сотни тысяч и 100 лет они не вперлись любым хакерам.
А те кто реально должен заботится о сохранности данных (например Ин витро, Медси, Деливериклабы и прочие) - будет как по пизде ладошкой.
Очередной популизм.
Такой штраф может похоронить низкомаржинальные бизнесы, типа интернет-ритейла, маркетплейсов.
10 и 30% от дохода разумнее?
Самые крупные сливы данных уже случились
Когда все слили, можно и закон принять. Классика.
И штраф до 10% при повышенном спросе на штрафы.
А они за утечки из своих сервисов, будут платить штрафы? Если зайти к Ананимоусам на вики, там данных за последние пару месяцев. Только от Сбера они выложили 180 гигов SQL дампа данных. Интересно это на какой штраф тянет?
Так а за утечку из кадастра или ГИБДД все равно никому ничего не будет?)
Комментарий недоступен
Добавили бы ещё обязательство каждого, кто является оператором персональных данных, обязательно регистрироваться на какой-то гос.платформе и своевременно обновлять информацию о том, каким образом получены эти данные. И потом бы вывели в ЛК каждого зарегистрированного на госуслугах общую базу, кто и где владеем моими данными. Было бы супер круто знать, куда пошли гулять мои персональные данные и отозвать право на их использование. Конечно, чёрный рынок никто не отменял, но хотя бы тут станет проще. Потому что в день приходит по 7-12 звонков с левых номеров. Уже раздражать собственный телефон стал...
Что-то мне подсказывает, что из-за этого данные утекать не перестанут
Да не уже ли, не прошло и 5 лет, как они решили наказывать за утечки.
штрафы, которые переложат на тех, чьи данные сливают.
Так пользователи и "не заметят" превентивное подорожание услуг на 1% :-)
судя по комментариям ..
проблема не в сумме штрафа, а в русском мЫшлении .. основанном по принципу сделать подлянку, наебать, съебать ..
а также, чтобы нового не предлогалии - обязательно доколупаться и вставить свои пять копеек ..
при этом игнорируя факт, что на вас и ваши данные всем похуй, а кому надо и так знают как собрать инфо .. в т.ч. не с закрытых источников
лучшеб ввели уголовку за пользование "утечёнными" данными ..
тогда б и спрос на них поменьше был .. )
Это ключевое — повышение ставки за не уведомление. Скорее всего будут пытаться продавить чтобы было исключено из закона.
Че-то стремно как-то. Любую компанию можно взломать и утащить что хочешь. 1% че-то многовато. 3% если скрыли - самое то.
Наконец то, пусть лучше хоть так, чем никак