Comments 50
можно добиться исполнимыми смягчающими обстоятельствами, например соблюдением мер в области информационной безопасности, отраслевых стандартов и др.
Ага, заменить реальную работу имитацией. Данные утекли, стандарты соблюдены. Всё ок!
Ну так, все эти ФЗ изначально не о защите данных, а о назначении виноватых, если что.
Где у вас приказ о назначении ответственного за ИБ? Мы его назначим виноватым.
Нет такого приказа.
Значит, виноватым назначаем конкретно Вас.
Но оборотные штрафы - это уже беспредел. Методы взлома и векторы атак постоянно развиваются. И что было достаточно для ИБ сегодня, может оказаться недостаточным завтра. И от взлома и утечки мало кто застрахован. Только тот, кто работает за "воздушным зазором". Но бизнесу в сфере услуг это не реально.
Таким образом, обанкротить конкурента при помощи организации у него утечки становится всё реальнее.
Меня больше не оборотные штрафы беспокоят, а минимальный порог, который составляет, если не ошибаюсь, три миллиона. А штрафы эти планируется применять, насколько помню, при утечке всего более 1000 учетных записей.
Предположим, у вас небольшой форум или маленький интернет-магазинчик с парой тысяч участников/клиентов (мыло, телефон, адрес доставки). Получается, в случае утечки этому микробизнесу (или форуму) кранты?
Также не понятно, как определять, что обнаруженный файл с утекшими данными содержит настоящие данные, а не фейковые? Следствие полноценное будут проводить? Или с ходу штрафовать?
Адрес доставки для привоза товаров, телефон для уточнения времени, емейл как ID. Что из этих сведений является персональными данными, то есть позволяет определить человека?
Зачем магазину хранить имя и фамилию?
А что является персональными данными - вопрос мутный, не имеющий однозначного ответа. Некоторые даже куки притягивают к персональным данным.
Ранее РКН признавало куки персданными, в деле против linkedin.
Сочетание "имя и почта" - признавалось РКН как персональные данные. А нужно оно как для обращений, так и для проверки, кому выдаётся заказ.
Вроде не 3, а 15 и не тысяча, а сто тысяч.
Поправки предполагают значительное повышение штрафов за утечки
персональных данных — с нынешних 100 тыс. до 15 млн рублей, если утечка
касалась более 100 тыс. граждан, а также возможность назначать оборотные
штрафы за повторное нарушение в размере от 0,1 до 3% выручки, но не
менее 15 млн рублей и не более 500 млн рублей.
Открыл сейчас законопроект:
Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от одной тысячи до десяти тысяч субъектов персональных данных, и (или) от десяти тысяч до ста тысяч уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц (далее - идентификаторы), если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, - влечет наложение административного штрафа на граждан в размере от ста тысяч до двухсот тысяч рублей; на должностных лиц - от восьмисот тысяч до одного миллиона рублей; на юридических лиц - от трех миллионов до пяти миллионов рублей.
Да, минимум - 3 миллиона для организаций за утечку 1000 перс.данных или 10000 идентификаторов этих данных (сюда, думаю, как раз емэйлы и телефоны попадают). Так что для маленького интернет магазинчика (как организации) предлагаемый минимальный штраф - 3 млн. Для ИПэшника - от 800 тыщ, для физика - от 100 тыщ.
А за повторное нарушение:
Совершение административного правонарушения, предусмотренного частями 12-14 настоящей статьи, лицом, подвергнутым административному наказанию за административное правонарушение, предусмотренное частями 12 - 14 настоящей статьи, - влечет наложение административного штрафа на граждан в размере от четырехсот тысяч до шестисот тысяч рублей; на должностных лиц - от двух миллионов до четырех миллионов рублей, на юридических лиц - от одной десятой процента до трех процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявленного административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, но не менее пятнадцати миллионов рублей и не более пятисот миллионов рублей.
Мда... с таким законом, мне кажется, любая организация будет находиться под угрозой банкротства. А мелкому бизнесу грозит мгновенное банкротство.
А можно просто отказаться от обработки персональных данных.
То есть закрыть любой бизнес хоть как-то связанный с оффлайном.
Давно есть законы об обязательной идентификации клиентов и хранении истории сколько-то там лет.
Ну вот, то есть проблема именно в хранении ненужных данных (а это, между прочим, одни из столпов GDPR, не хранить то что не нужно). А так по хорошему, должна быть опция удалять данные сделки после ее завершения. То есть свои данные пользователь хранит у себя, локально. При совершении покупки, его профиль забирает эти данные на время сделки, и удаляет перс данные после завершения оплаты-доставки, а в аккаунте остаются только вспомогательная информация. Бонусы, скидки т.п.
В развитых странах по такому принципу сделаны местные госуслуги. Там вообще нет аккаунтов. Просто выбираешь услугу, вводишь свои данные, производишь оплату, получаешь результат. Так как нет фиксированного аккаунта, ничего нельзя взломать.
Так нельзя. Причем почти нигде нельзя. GDPR тут не причем.
Если вы заказали доставку условных цветов куда-то кому-то, то это надо хранить годами без возможности удаления. Имена, адреса, телефоны и всё такое. Скрыть можно, но вы же не этого хотите?
В каком смысле нельзя? Запрещено законом? Так GDPR прямо указывает на запрет хранения без необходимости.
Personal data may only be stored for as long as necessary for the purposes of processing.
Для бухгалтерии все транзакции есть в банке.
это надо хранить годами без возможности удаления. Имена, адреса, телефоны и всё такое. Скрыть можно, но вы же не этого хотите?
Почему не хочу? Зачем это хранить?
Так необходимость есть. Законы прямо обязывают такое хранить. И отдавать той же полиции по официальному запросу.
Законы прямо обязывают
Ну это видимо российский феномен, собственно этот закон и является дырой. Собственно тогда и исправить ничего нельзя.
Конечно же нет. Примерно такие же законы везде. Нельзя доехать на такси/заказать доставку и всё такое и стать анонимусом по кнопке. Все везде хранится годами. От вас только скрывается по кнопке.
Вот пример. Два года все нужно хранить.
это надо хранить годами без возможности удаления
Так никто не говорит о том, что это должно храниться голым местом в Интернет. Напечатали на бумаге, электронную версию стёрли — и всё, пусть хоть обвзламываются. Для малого бизнеса это может быть проще и дешевле, чем навороченные и всегда актуальные системы безопасности электрических данных.
Что мешает использовать для этого третью сторону? Магазин же, обрабатывая карту, никаких персональных данных не имеет. Этим занимается платёжная система
Например, потому что это запрещено законом. Закон могут принять. «О передаче копии ПД в Единую Гос Базу» Хотите?
Что плохого-то? Предъявляете одноразовый токен, который вам сгенерировали госуслуги
Сложно и не будет работать.
Будет именно копия ПД, вероятно с некими деталями от сервисов. Да-да адрес любовницы и дома прямо в соседних строчках официальной базы которая естественно утечет рано или поздно.
Сервисы будут работать так же как сейчас, что-то запрашивать и разрешать пользователи не осилят. Я пользователей давно знаю. Но появится опция когда сервис может удалить у себя персональные данные и официально отдавать id или что там. Или даже всю базу просто передавать и онлайне. Ну там фио+телефон+адреса_такси и все такое. И не хранить у себя.
И аналогично у пользователя появится возможность удалить свои данные их сервиса. Сервис всю историю выгружает в официальную БД и честно удаляет у себя. Естесвенно все это сделают так чтобы каждый день что-то удалять у вас не вышло. Недели 2 грейс период, потом недели две до новой регистрации и все такое.
Все просто. Сервису предъявляем ключ, он с ним ходит в госуслуги, там ему подтверждают, что это человек, кто надо человек. Все. Если человек захочет, может разрешить сервису видеть историю ключей, выпущенных для этого сервиса.
О, обязательный вход через Госуслуги везде.
Вы сторонник полной централизации, госконтроля и госуправления всем интернетом. Это понятная позиция и я с ней не согласен. Я очень рад что отцы основатели интернета его таким не проектировали.
Большинство утечек происходит не из-за технических мер. Времена торчащих в Интеренет эластиков и редисов прошли. Постоянно развивающиеся методы взлома и новые векторы атак перекрываются аутсорсингом SOCа (если оправдано платить огромные деньги за такую услугу).
Воздушный зазор в условиях современного бизнеса почти не реализовать (какие-нибудь КБ и заводы ок, но там в основном ПДн работников). Те, кто работают B2C обрабатывают самое большое количество ПДн. С клиентами сложно будет работать без средств автоматизации.
Самое большое количество инциденов, связанных с утечками происходят из-за не лояльных сотрудников, которые и осуществляют вывод ПДн за периметр компаний. Можно конечно обвешаться DLP и посадить операторов обрабатывать с них данные, но тогда лояльность сотрудников совсем снизится, да и работать никто не захочет.
Тут нужен некоторый баланс из технических и организационных мер, но его мало кто будет соблюдать потому, что для этого нужен квалифицированной персонал безопасников и понимание руководства компании необходимости всего этого. Но обычно в средней по больнице компании главное побольше заработать здесь и сейчас любой ценой, не задумываясь и не планируя какие-либо мероприятия, на которые ещё и потратиться придется.
Из ваших слов следует, что для нормальной работы с ПД надо, чтобы «побольше заработать здесь и сейчас» стало невозможным. Ну да, к этому и движутся!
Будем честны, большинство компаний не прорабатывают свои бизнес-процессы, метаются без краткосрочного и долгосрочного планирования. Из-за этого собирают больше ПДн, чем им необходимо для зарабатывания денег.
Ну а а все эти чек-листы в виде подзаконных актов реальную защиту никогда не обеспечат. Может быть просто конечная цель закручивания гаек в том, чтобы запретить коммерческим организациям совсем обрабатывать ПДн (по аналогии с тем, как запретили аккредитованным удостоверяющим центрам выпускать квалифицированные ЭП на юридических лиц, изменив 63-ФЗ).
Если введут оборотные штрафы, то пострадает только бизнес, причём средний и малый больше всего. В случае уечек с Госуслуг они сами себя не накажут, да и оборота денежных средств у сервиса нет.
Предлагаемый законопроект не предполагает различия между тем, недостаточны ли организационные меры или технические или взломали БД извне, использовав хитроумную 0-day уязвимость.
Опять билеты подорожают.
И бензин
И водка.
А какой вой на болотах поднимется, если ещё попытаются ввести штрафы за спам звонки для операторов и успешные переводы на "безопасные счета" для банков))))
По словам другого собеседника РБК в одной из компаний бытовой техники и электроники, они выступают за солидарную административную ответственность: компании, у которой зафиксирована утечка данных, и компании, оказывающей первой услуги информационной безопасности.
Т.е. вместо контрактных обязательств об ответственности:
ИБ компании за качество своих услуг
заказчика услуг ИБ за соблюдение регламента, внедренного ИБ
с взаимным контролем друг друга, повяжем заказчика и исполнителя кровью административкой, чтобы в четыре руки заметали проблемы под ковер.
Из критических обращений напрашивается вывод, что серьёзно в защиту персональных данных никто не верит, идёт торг о приемлемой стоимости этой утечки.
Банально некоторые перестанут собирать о человеке кучу не нужных данных. Ну или просто не хранить все эти данные в корневой папке своего сайта.
Да тут и без утечек некоторые компании преисполнились настолько, что направо и налево раздают персональные данные (возможно специально(?), см. ниже выделенный текст):
На примере АльфаСтрахования, при попытке продлить или оформить обыкновенный электронный ОСАГО, нужно поставить галочки про "обработку ПД", а там, как выяснилось, если почитать, должен согласиться с тем, что данные передаются третьим лицам и список этих третьих лиц просто чудовищной длины. Там есть куча непонятных ИП, супермаркеты (например Перекресток), банки (ну ладно бы Альфа, но Киви!?), в общем кого там только нет!
Документ pdf со списком партнеров имеет 11 страниц! https://www.alfastrah.ru/docs/Partner_2019.pdf
Так что "утечки" у этих "партнеров" - это лишь вопрос времени.
Ну или подобный "список" специально делается, чтобы на любые утечки потом можно было сказать, мол это не мы, это может быть у кого-то из партнеров из списка. А там поди разберись у кого типа "был слив".
При оформлении ОСАГО они получают (и передают) всю информацию о человеке вплоть до прописки, паспортных данных... А потом спам-звонки и "службы безопасности банка" знающие все данные... Чему тут удивляться...
И вишенка на торте - сносочка под цифрой 3 на первой странице: "В случае модернизации бизнес-процессов АО «АльфаСтрахование» в перечень (имеется ввиду партнеров) могут вноситься изменения".
Так что хорошо бы в начале с бездумной "передачей ПД" разобраться.
P.S. Поддержка Альфы отвечает, что
нельзя оформить полис или продлить его не поставив ту галочку. Да, не имеют права отказать в оформлении ОСАГО лишь на том основании, что я не хочу передавать свои ПД компаниям и ИП, которые никак с целями страхования не связаны, поддержка естественно отвечает "можете направить обращение в службу контроля качества".
Заниматься переписками и упражнениями "оформи ОСАГО заказным письмом" - нет никакого желания, проще проголосовать ногами в пользу другой и вменяемой страховой.
Кстати насчёт способов переписки с поддержкой там тоже интересно футболят: связаться с поддержкой в ЛК на сайте нельзя :) Но можно написать им через ТГ (где они говорят, что "не могут заниматься этими вопросами через иностранный мессенджер" :) и рекомендуют написать через VK или мобильное приложение.
Получается, что если VK нет и/или нет желания (возможности) ставить приложуху, то и связаться с ними нельзя, так как они "не уверены, что им пишет страхователь" :) Интересно как они в VK проверяют, что им страхователь пишет, а не человек который при регистрации там указал "похожие на нужные" фио.
В который раз убеждаюсь, что в Альфе всё специально делается, чтобы ОСАГО не оформлялись. Формально не отказывают, но и куча сложностей генерируют с продлением. Или уж если оформлять ОСАГО, то хотя бы заработают на передаче ПД ;) Ведь вроде бы страховым компаниям направление ОСАГО - убыточно, вот и "виляют" по всякому.
Про перечень третьих лиц это конечно они очень перестраховались, засунув туда всех своих подрядчиков :) Например там есть поручение на обработку ПДн для целей "Поддержка работоспособности информационных систем и ресурсов Компании". Но зачем такому подрядчику обрабатывать ПДн? Ну предположим, что они обслуживают инфраструктуру, например ОС. Но ПДн то должны быть зашифрованы и у таких подрядчиков доступа не должно быть. Если то, что данные зашифрованы (я надеюсь) не имеет значение, то почему тогда не указаны все подрядчики, обеспечивающие каналы связи (передача - тоже обработка). Или то, что они передаются по каналам в зашифрованном виде (я надеюсь) - это другое?
В законодательстве не указана грань, кому давать поручение. Там написано, что надо давать поручение тем, кто обрабатывает (в том понимании, как термин "обработка" определен в 152-ФЗ), а каждый это трактует по своему. Поэтому скорее из-за такого размытия понятия другие компании не пишут в своих согласиях, что они поручают обработку куче других операторов.
это конечно они очень перестраховались
да нет, это не перестраховка - это борзость и наглость :) Там полно в списке контор с конкретными целями СПАМить. То есть откровенно передают данные клиента левым организациям, подозреваю, что не за бесплатно.
Там есть, например ООО «СМС ТРАФИК» с целями "предоставление пользователям сведений маркетингового характера".
И очень много других конторок с целями "предоставление
дополнительных возможностей и услуг, а также персонифицированных
предложений Компании и третьих лиц, в том числе путем осуществления прямых
контактов с помощью средств связи".
А ещё "Построение моделей, профилирование, таргетирование, статистические,
аналитические и иные исследования взаимодействия, скоринг, обогащение и сегментация для формирования и адаптации возможных услуг и предложений".
То есть не скрывают сбор данных, обогащение, и, получается, объединение баз для "предложений". Что это как не "данные - новый товар"?
И там просто жуть как много их, в том числе ООО «МЭЙЛ.РУ» и некий АО «МАРКЕТИНГОВЫЙ ИНФОРМАЦИОННЫЙ ЦЕНТР».
Ну вот зачем при оформлении ОСАГО передавать данные в ООО «ФЛОКТОРИ», которые занимаются рекламой через "вы оплатили за электроэнергию - вам подарок, посмотрите 10 страниц с рекламой".
В Альфабанке перечень третьих лиц тоже есть и там тоже есть большой список контор с целями "Продвижение продуктов и услуг, улучшение клиентского опыта, составление профилей предпочтений, построение моделей, анализ, профилирование, таргетирование, статистические, аналитические и иные исследования". А также "Банк вправе вносить изменения в Перечень третьих лиц".
Так что персональные данные - это товар. И без утечек - передаются налево и направо.
В таком случае эти третьи лица должны быть указаны не в "Согласии на обработку ПДн", а в "Согласии на получение рекламных рассылок", что регламентировано не 152-ФЗ, а 38-ФЗ "О рекламе".
Но вся проблема в том, что привлечь за несоблюдение в данном случае могут только после обращения в ФАС (https://fas.gov.ru/pages/Reklamnyjspam), но там придется доказать эти действия. С апреля 2024 увеличили штрафы за спам, но положительных решений можно пересчитать по пальцам:
для компаний — от 300 тыс. до 1 млн руб.;
для руководителей компаний — от 20 до 100 тыс. руб.;
для граждан — от 10 до 20 тыс. руб.
Ингосстрах по данным полиса ОСАГО (открытая информация) выдаёт персональные данные клиента при попытке продления на сайте. Днище.
Ну еще бы они не раскритиковали этот законопроект...
Я один не понял возмущения компаний? Они заявляют, что до этого не занимались безопасностью данных и чтобы им теперь заняться - у них уйдут миллионы бабосов, что потребует повысить ценники. То есть компании заведомо понимают, что штрафы их настигнут потому что они никак данные пользователей не защищают, хотя ОБЯЗАНЫ это делать.
Сюр какой-то. Надеюсь закон ввиду и запретят ценники поднимать.
РЖД, «Аэрофлот», «Автодор» и другой крупный бизнес раскритиковали законопроект об оборотных штрафах за утечки данных