Comments 101
"Выглядит как заказуха" - это можно сказать о любом споре. Судятся за права? Заказуха. Пишет комментарий о заказухе? Заказуха. Котик своровал котлетку? Заказуха.
В утечке Я.Еды особо ПД то не было. ФИ без отчества да тлф
И правда - что тут такого?
а уж какие данные из госуслуг/ментовских/пфр/итд баз утекают.... ммм.... Рискнете киберкукарекнуть?
Вы можете быть первым, чтобы сэкономить время всем остальным, и рассказать о своем опыте, а не говорить кому что делать
с прискорбием заявляю, что кукарекаешь тут пока только ты...
из еды будешь или из отрядов этих, как их... неуловимых джо, которым нечего скрывать в "этих ваших энторнетах"?
В утечке Я.Еды особо ПД то не было
В утечке были ФИО + адреса + телефоны (не помню, были ли и email-ы) + заказы за большой промежуток времени. Даже интересно, как это можно выписать из ПД.
Рискнете киберкукарекнуть?
Уровень дискуссии на уровне двача, а может быть даже и выше.
Напомню - российский суд признал !кукисы! (cookies) персональными данными и заблокировал в РФ linkedin
Вы не понимаете, это другое!
ЛинкедИн это вражеская площадка, а Yandex N.V. своя, исконная.
Заблокировал РКН, а суд ничего про кукисы не говорил от слова совсем. Там вполне стандартное (для нашего времени) решение: удовлетворить иск, потому что учение Маркса доводы заявителя (РКН) - верные. В чем их верность, в чем неверность доводов ответчика - суд в нарушение норм ГПК никак не разъясняет (но мы-то знаем: в том, что всесильные). А вот про то, что кукисы - это персональные данные суд не сказал ни слова, и какие именно доводы заявителя он счет убедительными - тайна сия велика есть.
Те куки хранились непонятно где во враждебном зарубежье. Эти данные Еды они вот тут под рукой в безопасности. Безопасность это наличие копии в прямом доступе тов майора по запросу или даже в спец терминале.
Там были имена, номера квартир и суммы. Вы о чём вообще?
А какая собственно разница на каких именно кошках тестировать механизм чтобы вскрыть грабли?
В утечке Я.Еды особо ПД то не было. ФИ без отчества да тлф.
А я то думаю, чего это прокуроры всякие стали отчество путать..
на другой чаше весов какая стояла цель? оборотные штафы и разорение яндекса?
Для нас - создание положительной практики по коллективным искам, в том числе связанным с защитой права на приватность. В оборотные штрафы я не верю. Да и вряд ли государство готово к тому, чтобы само себя выпарывать и наказывать штрафами госкомпании, которые в большинстве и текут. Да и на что это похоже? Переливание из одного кармана в другой? Пользователям от этого ни горячо, ни холодно.
В госконторах можно предложить оборотные сроки. По дню за каждую слитую строчку данных.
Позвольте тогда уточнить (и собрать свою порцию минусов): в чем эта положительная практика должна заключаться? Штраф - нет. Просто судебное решение: да, истцы правы, а Яндекс - не прав? Но без (оборотного) штрафа ему? И в чем тогда положительность этой практики? Ну признали Яндекс виновным, покачали головой, а Яндекс слушает да ест... В оборотные штрафы Вы не верите, в штраф в 60к - тоже, а во что тогда верите? Я не доматываюсь, мне непонятно, на какой сухой осадок Вы рассчитывали?
изменение судебной практики - это длительный процесс. Он заключается в том, что вы поднимаете планку суммы компенсаций через последовательное обжалование неправосудного акта, действий или бездействия. В какой то момент одно из решений с более высокой суммой компенсации внезапно засиливается. Возможно и через кассацию ВС РФ. Тогда это создает возможность сторонам ссылаться на единообразие судебной практики, а судьям, имеющим меньше оснований полагать, что судебный акт отменят, более уверенно удовлетворять требования коллективных истцов как класса при доказанных случаях халатности оператора. Вот на это и расчитываем.
А, то есть Вы хотите стрясти много денег, но не в виде штрафа, а в виде возмещения вреда? Теперь понятно. ИМХО Ваши желания желаниями и останутся: бизнес всегда занесет по принципиальным вопросам, именно чтобы не было прецедента, а если он и будет, то ответчик станет размахивать сотней других с противоположным исходом. Тут скорее поможет массовость, независимо от суммы, на которую будет вынужден обратить внимание ВС и вякнуть какое-нибудь разъяснение. И то не факт, что оно будет в пользу граждан, ибо см. выше рис.1 фиг.4 "Бабло решает" :(
Необходим институт репутации, его просто нет. Если пару раз показательно ПО ЗАКОНУ наказать ООО за потерю личных данных, это заставит всех остальных серьезнее относится к защите.
у нас в городе, висит с десяток вакансий, по информационной безопасности от гос контор с зарплатами от 40к до 60к, вот такое "серьезное отношение" просто это никому не нужно.
Так это замкнутый круг. И вы спросите, но при чем тут Путин? Поясню: если бы ВВП знал, что его поймают на лжи (можно взять любого чиновника, любое обещагние хоть из 2004 года), он знал бы что репутацией надо дорожить, а значит и врать нельзя и в суде можно проиграть и так далее. А так как суды в РФ не работают, свободы слова нет, уличить во лжи не получается, института репуации нет, следовательно, зарплаты по информационной безопасности в разы ниже чем в мире. Так как безопасность просто не нужна, народ и так хавает. В прямом и переносном смысле.
А как работает институт репутации в странах с более лучшими судами?
Поясните пожалуйста, как это работает на примере самых известных и крупных утечек - Equifax, Twitch и Sony pictures.
Отличный вопрос!
Кто-то может ответить по существу?
Элементарно: после утечки сначала некрупное падение капитализации. Если репутацию сильно подмочили, то и кредит не взять и акции особо не нужны. Иногда репутация убивает многомиллиардные бизнесы.
Посмотрите для примера на компанию с оборотом более 10 000 000 000 в год (10 миллиардов долларов). Их уличили не в утечке, а в других грехах, что тоже подмочило репутацию. Сначала скандал обвинение в мухлеже с отчетностью, потом скандал про секс домогательства (правда замяли), потом скандал с искажением годовых планов и обман акционеров... Я говорю про Compaq в 1998-2001 годах. Когда все три группы скандалов стали всем известны (спасибо свободе слова) - акции за год упали в 2 раза. Ну да, инвесторов мало беспокоил секс скандал, попытка обмана в отчетах куда более серьеезное по их мнению, преступление.
Но вот вопрос: Где сейчас Compaq?
Ответ: А нет больше такой компании.
Так мухлевали-то не от хорошей жизни, скорее всего. Компания катилась-катилась.. и докатилась.
Интересно, как вы проигнорировали три приведённые компании и переключились на удобный пример, который не связан с утечкой, а включает в себя серьёзные уголовные преступления включая махинацию с отчетностью по части прибыли.
Неужели вы думаете, что если вскроется завышенная прибыль компании из РФ, инвесторы не побегут из акций компании?
Compaq не HP нынче? Может не такое уж и плохое для инвесторов?
Если компания не в состоянии обеспечить защиту данных своих клиентов, то ей прямая дорога в утиль
Ну, так то если бы прокатил коллективный иск, и по пять тысяч за каждого слитого человека - уже это научило бы следить за персональными данными...
разорение яндекса?Я бы не отказался, а то эти собаки монополизировали рынок доставки еды и теперь совершенно не стесняясь ставят «бесплатная доставка от 10200 рублей!» и цену на доставку лепят 600 (при заказе на 1500). И это даже не то чтобы неожиданно.
Полагаю это не доброта от яндекса с бесплатной доставкой, а сам ресторан сообщил что возьмёт на себя стоимость доставки и компенсирует яндексу разницу.
Может и так, но совпадением рост цены на доставку в 5 раз язык назвать не поворачивается.
Меня, как клиента, ценообразование стоимости доставки волновать не должно. Только результат. А результат таков, что через год после покупки Delivery Яндексом, цена доставки в нем стала даже больше, чем в Яндекс Еде. Переезжайте в другое приложение, ребята.
Да, если компания сливает налево и направо данные пользователей, включая адрес, телефоны фио - туда ей и дорога. Из плюсов тут только то, что теперь я знаю по каким номерам звонить соседям, когда мне с ними надо связаться. Из минусов - соседи тоже знают по каким звонить. Ах, да, еще сдэк из той же компании любителей сливать всё чуть ли не онлайн.
Только крупные штрафы могут заставить компании серьёзно отнестись к ИБ.
А без них сотрудники и дальше будут обмениваться сканами паспортов через WhatsApp и игнорировать сообщения об уязвимостях.
Спасибо за этот эксперимент, даже отрицательный результат это все же результат.
Отдельный респект юристам, которые делают свою работу даже понимая, что итог немного предсказуем - по мне так это очень сложно.
Почему-то думал Midjourney AI делает более качественные изображения.
Коллеги, а не нарабатывали ли вы практику по ч.3 ст.11 О ПД и ч.4 ст.16 ЗоЗПП, т.е. о запрете вымогательства персданных?
В европах слив тоже нормально не монетизируется. Штрафы оборотные есть, но регуляторы их применяют так, что это больше напоминает рэкет (см. штрафы Гугла в Ирландии). Надзорный орган лишь собирает жалобы и доказательства.
Была забавная история. Мониторил топ сайтов по доменным зонам ЕС, и тестировал реакцию на репорты от personal data protection authorities. Они обычно "анонимам" не отвечают, но латвийский благодарил. До тех пор, пока не получили в списке кроме прочих сайт налоговой инспекции, у которой висела интеграция с фейсбуком и твиттером, включенная по умолчанию.
Выражаю большое человеческое спасибо автору поста за их работу. Терпения и удачи!
Чтобы гос-во и озаботилось приватностью граждан? не смешно даже, особенно сейчас.
Защитить свою личную жизнь сможете только вы самостоятельно, это как с похудением, эту задачу невозможно переложить на кого-то еще.
Хотя у нас право не прецедентное, обратите внимание на практику дел касательно ПД каких-нибудь представителей власти.
Вот это прекрасно!
"Мы ... проделали невероятную работу, чтобы объяснить пострадавшим пользователям, почему важно судиться... приходилось терпеливо разъяснять гражданам, не доверяющим в принципе ни самому закону, ни судам... Люди просто напросто не верят, что закон может служить реальным инструментом защиты информационной приватности".
И в результате...
"...если ваши данные утекли, у вас не остается практически никаких инструментов защиты. Вы предстанете голым и незащищенным не только перед компанией, которой вы доверили данные, и тем, кто эти данные украл, но и почувствуете абсолютную беспомощность, когда обернетесь к государству и тем нормам права, которые специально были приняты для того, чтобы обеспечить право на тайну частной жизни".
ВЕРДИКТ: ЛЮДИ ПРАВЫ.
---
Сорри за ёрничанье и скептицизм - вы делаете важное дело. То что компаниям на ПД наплевать это понятно, но капля камень точит и может что-то начнет меняться?
У нас было 20 нотариальных доверенностей (как требует ст. 244.20 ГПК РФ для групповых исков), 1008 подписанных заявлений о присоединении к иску, а также 1 компьютерно‑техническое исследование, 3 адвоката, 2 юриста и пинта чистого дофамина
У вас, что не было самого главного: слитой в паблик БД?
Кстати, гражданские юр. институты не планируют в ближайшем будущем требовать справедливой, аналогичной расправы на Сбером в судах, не знаете?
Цитата из лички:
"""
Здравствуйте! ... про сливы сбербанк спасибо. Я готовлю коллективный иск, по разным ботам прогнал потенциальных доверителей, везде подтверждение имеется. Но мне в качества доказательства необходимо приобщить к иску в суд саму базу на флешке. Скажите, пожалуйста, как её достать, если Вы знаете? Прочёл кучу форумов, нигде нет ссылок, но она ходит по узкому кругу лиц.
"""
Певец ртом ест шаверму из я.еды?
Одним из «новшеств» слитой базы стал список знаменитостей, чьи личные данные были тщательно рассортированы и выставлены на всеобщее обозрение. С его помощью пользователи рунета могут полюбопытничать и узнать, сколько популярные личности потратили на «Яндекс.Еду» за полгода и, возможно, вычислить их любимые рестораны. Например, дочь пресс-секретаря президента РФ Дмитрия Пескова Елизавета отдала более 87 тысяч рублей за доставку, а самым частым местом заказа оказалось московское кафе Touch of matcha.medialeaks.ru/1805rgg-str-yandex-eda-new
Есть тут адекватные юристы? Поясните за "Перс данные"="Сведения о частной жизни". Вот на мой субъективный взгляд, это нихрена не так. Как по мне: перс. данные - это через что можно 100% меня определить. А сведения о частной жизни- это всё, что скрыто стенами моей собственности или кабинки санузла в обществ. месте.
Вопрос хороший. Трудность в том, что определение этого термина не дается. Но было определение конституционного суда
термин "частная жизнь" раскрыл КС РФ в одном из своих определений, указав, что право на неприкосновенность частной жизни означает возможность контролировать информацию о самом себе и препятствовать разглашению сведений личного, интимного характера. В понятие "частная жизнь", подытоживает Суд, включается та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если она носит непротивоправный характер
относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если она носит непротивоправный характер
А вот это красиво. То есть вы можете делать за закрытой дверью что угодно, это ваше личное дело, но мы всё равно попробуем проверить, а вдруг вы там что-то такое нарушаете?
ну да, где и на сколько вы жрали к тайне частной жизни отношения никакого не имеет? Подумайте об этом ) А я вот вам историю пока расскажу про то, как жена развелась с мужем, который должен был быть в командировке в Карсноярске, а по утечке "Я.Еды" выяснилось, что в час ночи он заказывал суши на двоих в гостиницу на Якиманке.
Можно ли было сослаться на решение Роскомнадзора о том, что утечка была, и использовать это в доказательной базе, в дополнение к скриншотам и т.п. Насколько это был весомый аргумент, или суд может сослаться на то, что не известно были ли персональные данные именно истца в той утечке?
Огромный труд, конечно. Особенно в условиях под названием "государства нет".
>У нас было 20 нотариальных доверенностей
/s А нужно было всего на всего зачитать адрес судьи и сумму его трат
Надо действовать привинтивно, пинать негодяев за проставленные галочки согласия на всё с мелкой припиской, что отказаться можно сделав два раза КУ лично в кабинете начальника. Никаких обработок ПД в течении 50 лет после завершения действия договора и прочего.
Насколько я понимаю как обыватель, то для того чтобы получить какую-то компенсацию нужно подтвердить/обосновать материальный ущерб в денежном выражении. В случае компенсации морального вреда, можно конечно запрашивать любые суммы, но насколько я помню, отечественный суд не пропускает произвольные суммы, и может удовлетворить иск на небольшую сумму, причем размер её индивидуален, (грубо говоря моральные страдания бомжа-алкоголика и представителя театральной богемы могут быть оценены по разному и коллективный иск тут неподходит по формату) . Для кого-то упомянутая сумма в 5К - ничто, а кто-то будет рад таким оплачиваемым утечкам, а 100К, ИМХО, все же требует индивидуального обоснования истца.
В тоже время хочу поднять, оставленный без внимания, но, по моему мнению, интересный вопрос. Факт утечки ПД автоматом делает виновным оператора обрабатывающего эти ПД? Грубо говоря, если на поселковую поликлинику нападет группа вооруженных лиц, должны ли все сотрудники кидаться грудью на автомат в попытке остановить утечку ПД и всяких медицинских секретов из карточек пациентов? Может есть набор достаточных по закону, но увы, не всегда предотвращающих утечку мер, или априори считается, раз утечка произошла, значит меры недостаточны(юридически)? И если есть такие критерии, то, имхо, разумно оценивать размер штрафов исходя из (не)приложенных ответчиком усилий по обеспечению безопасности ПД.
Например, у кого-то все защищено по первому классу, но в результате использования уязвимости нулевого дня произошла утечка, то такая организация виновна в той же степени, как и та, у которой базы с ПД на флешках вместе сериалами сотрудники домой каждый день носят?
Да и в целом странно все это выглядит: обокрали квартиру - виноват вор (а не плохой замок), ограбили банк - виноваты грабители (а не банк), жулики слили ПД - виноват оператор ПД, ну если утрировать. )
Скажем так: во всех случаях, когда вы имеете дело с потенциальным вредом для третьих лиц, вас проверят на принятие необходимых мер для исключения этого вреда. Если банк из вашего примера хранил деньги в мешках в вестибюле, а не в отдельной комнате с сигнализацией и ограниченным доступом — банку мало не покажется, хотя грабили его грабители. Если у вас украли ружье, висевшее на стене рядом с набитым патронташем — вам тоже мало не покажется, потому что оружие должно храниться в сейфе, и это проверяют (заодно участковому, который это обязан проверять, может тоже прилететь).
Если оператор ПД докажет, что атакующие использовали свежую (а не позапрошлогоднюю) уязвимость, и дело вовсе не в наклеенных на мониторы бумажках с рутовым паролем (я утрирую, понятное дело)…
Но это уже надо доказывать. Как и хранение оружия в сейфе, и ограниченный доступ в деньгохранилище.
Вот и я так думаю. Также предполагаю, что закручивание гаек принципиально не решит проблему с утечками. Информацию тяжело одновременно использовать в работе и в тоже время удержать в пределах периметра использования, поэтому упор по факту только на громкие, массовые утечки, хотя отдельному человеку не легче, слит он один или среди многих. С одной стороны люди требуют наказаний и компенсаций за утечку своих ПД, с другой стороны они же работают в банках, школах, больницах, юридических фирмах и т.д. и в лучшем случае участвуют в театре безопасности собирая какие-нибудь формальные согласия или ставя подписи, а по факту большинство работает так же, как и до принятия законов о защите ПД. Без всяких там сейфов, журналов, смены паролей, соблюения политик "чистого стола", шумовых датчиков на стеклах и прочего.
Даже интересно было бы услышать в отдельной статье или хотя бы в комментариях, а как сами авторы показательно правильно организовали у себя работу с ПД тех же лиц пострадавших от утечки? Наверняка нашлось бы не мало действительно специалистов готовых обсудить такие схемы, ведь специалистов, способных объективно оценить юридическую часть, тут намного меньше и истина ускользает... )
Скажем так: если за утечки не наказывать вообще, или наказывать формально (60 килорублей штрафа для Яндекса, ага), будет большой соблазн забить и не тратиться на их охрану вообще. Как во времена, когда я занимался природоохраной, лесопользователям было выгоднее платить копеечные штрафы, чем организовывать лесопользование в соответствии с законодательством (кстати сомневаюсь, что сейчас что-нибудь поменялось в лучшую сторону). Т.е., какое-то закручивание гаек наверное нужно, особенно с учетом того, что утечка ПД сейчас грозит совершенно реальными проблемами для их владельцев. Понятно, что это закручивание будет работать только до определенных пределов, дальше проще будет закрыть компанию или изначально не связываться.
Не знаю, есть ли тут хорошее решение. Хорошо, что я не специалист по ИБ :)
По размеру компенсации. Тут велосипед придумывать не надо. Также как и подменять понятия. Если установлено, что оператор один и тот же, категории ПДн (которые подверглись утечки) одни и те же, и данные стали доступны третьим лицам при одном и том же инцидинте, суд должен определить группу как класс. И далее исследовать обстоятельства и устанавливать суммы компенсации.
По суммам компенсаций не надо придумывать велосипед. Все уже придумано. Пример CCPA. Пожалуйста, если данные пользователя были потеряны или украдены, компания должна будет заплатить от 100 до 750$ каждому пострадавшему, без необходимости пострадавшим доказывать размер ущерба и последствия. Хочешь больше? Welcome! Иди с индивидуальным иском, если можешь нанять адвоката.
Очевидно, определяя общую сумму взыскиваемой компенсации, суд (также как и регулятор, накладывая штраф) должен оценить, насколько в компании были внедрены и соблюдались политики по приватности и информационной защите. Если компания по всем показателям проявила себя безупречно (внедрила и соблюдала все политики, быстро в паблике рассказала об утечке, выплатила компенсации, провела внутренне расследование) сумма компенсации может быть снижена или вовсе сведена к нуля.
По размеру компенсации. Тут велосипед придумывать не надо.
По суммам компенсаций не надо придумывать велосипед.
А чем размеры отличаются от суммы? Как я уже писал, я - обыватель и высказываю свои суждения, и не очень понимаю в чем я ошибаюсь. Почему велосипед придуманный где-то в другой стране в текущей для той страны ситуации надо слепо копировать без обсуждений, потому что в этому убежден автор, что велосипед с оборотными штрафами не сработает? Почему штрафы кошмарят бизнес, а коллективные иски не будут кошмарить? Утрирую, но почему не заменить все штрафы коллективными исками или какие-то штрафы все же работают?
Если компания по всем показателям проявила себя безупречно (внедрила и соблюдала все политики, быстро в паблике рассказала об утечке, выплатила компенсации, провела внутренне расследование) сумма компенсации может быть снижена или вовсе сведена к нуля.
В чем выгода рассказа в паблике об утечке? Ведь это повышает вероятность того, что об этой утечке узнает и оперативно воспользуется бОльшее число жуликов. Почему не требовать оперативного уведомления о совершенном преступлении в правоохранительные органы? Практика раздувания в сми на примере с тем же яндексом привела к мгновенному возникновению и популяризации сервисов использующим утекшие ПД.
Как можно сначала выплатить компенсацию, а потом снизить её сумму, для меня загадка.
А ведь в сливе были данные важных лиц. Странно, что это не помогло
Суд разъединяет иск на 20 отдельных производств, ссылаясь на то, что в указанном деле у группы истцов нет однородных прав и законных интересов.
А в вышестоящем суде подобное решение можно оспорить, или если первая инстанция не приняла - то с концами?
Яндекс прикрывают везде где только можно, это касается практически любых дел, связанных с этой компанией. У меня к сожалению нет статистики, но я думаю если бы она была, то всё встало бы на свои места)
Вот поэтому в стране безопасники толком и не востребованы. Зачем, если можно отделаться штрафом в 50к и работать дальше.
Потому что нет устоявшейся практики коллективных исков на почве утечки ПД? Но кроме ПД много чего можно защищать в информационной сфере, например уничтожение баз данных почти любую компанию остановит хотя бы на время, на радость врагам и конкурентам, но видимо такие угрозы не считают достаточно вероятными или как-то обходятся без массового привлечения безопасников.
Суд разъединяет иск на 20 отдельных производств, ссылаясь на то, что в указанном деле у группы истцов нет однородных прав и законных интересов. Логика суда такая - персональные данные у каждого заявителя разные, а значит и рассматриваться они должны в качестве индивидуальных жалоб.
Трудно даже подобрать какой-то конкретный повод посокрушаться во всём этом ворохе безумия, но, честно говоря, отрывок выше — пример особого то ли дурачества, то ли лицемерия (из которых ни одно качество — и ни одна сколь бы то ни было сходственная альтернатива — не должны быть для статуса Суда не то что привычными, но вообще допустимыми).
Лежим пока в направлении мечты, получается.
Яндекс.Еда, утечки и правосудие. Предварительные итоги