12 декабря 2022 года мировой суд Хамовнического района Москвы признал автономную некоммерческую организацию дополнительного профессионального образования (АНО ДПО) «Образовательные технологии „Яндекса“» (учредитель «Яндекс») виновной в совершении административного правонарушения по ч. 1 ст. 13.11 КоАП РФ (обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных). Суд выбрал нижнюю рамку по наказанию и наложил на организацию штраф в 60 тыс. рублей за утечку персональных данных 300 тыс. клиентов «Яндекс Практикума».
«С того момента на основе внутреннего расследования мы провели детальный аудит систем безопасности и ужесточили политику хранения данных в сервисе. Важно учесть, что из-за этого инцидента никакие платёжные данные или пароли наших пользователей не были скомпрометированы», — пояснили СМИ в пресс-службе «Яндекса». Компания не предоставила пострадавшим пользователям компенсацию или другие условия обслуживания после утечки.
АНО ДПО «Образовательные технологии „Яндекса“ была создана в апреле 2014 года в Москве. Её единственным учредителем является „Яндекс“. Компания занимается разработкой программ дополнительного профессионального образования. Организация создаёт программы профессиональной подготовки и курсы повышения квалификации, включая платформу онлайн-образования „Яндекс Практикум“.
14 июня, по информации экспертов сервиса поиска утечек и мониторинга даркнета DLBI, в свободный доступ выложили часть базы пользователей «Яндекс Практикум».
В утечке содержалась информация о 300 тыс. клиентах обучающей системы «Яндекс.Практикум» (practicum.yandex.ru), включая:
- Яндекс ID;
- username в системе;
- фамилия и имя клиента сервиса;
- адрес электронной почты почты (299 908 уникальных адреса);
- номер телефона (246,424 уникальных номера);
Комментарий „Яндекса“ для Хабра после этой утечки был таким: „Мы проводим внутреннее расследование и проверяем актуальность данных. Никакие платёжные данные или пароли пользователей не скомпрометированы“.
15 июня 2022 года Роскомнадзор запросил у „Яндекса“ информацию о возможной утечке данных клиентов платформы „Яндекс.Практикум“. В случае подтверждения факта новой утечки персональных данных ведомство намеревалось составить протокол за это нарушение и отправит его в суд. Яндексу грозит административный штраф от 60 тыс. рублей до 100 тыс. рублей за нарушение законодательства в области персональных данных по ч. 1 ст. 13.11 КоАП РФ.
«Роскомнадзор направил запрос в компанию с требованием предоставить детальную информацию о возможной утечке персональных данных пользователей сервиса „Яндекс Практикум“», — сообщили в ведомстве.
РКН напомнил, что пользователи, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
9 ноября 2022 года московский суд постановил выплатить в качестве компенсации 13 пользователям сервиса доставки «Яндекс Еда» по 5 тыс. рублей за утечку их персональных данных в рамках февральской утечки в „Яндексе“ из-за недобросовестных действий одного из сотрудников. Заявители иска требовали через суд от «Яндекса» компенсации в размере 100 тыс. рублей за утечку данных каждого пользователя.
Юристы, которые подали иск, пояснили, что предметом спора по заявлениям пользователей является право требования заявителями компенсации морального вреда в связи с нарушением п. 2 ст. 17 закона «О персональных данных». Из положений этой статьи следует, что пользователь, передавший информацию оператору персональных данных, имеет право на обжалование его действий или бездействия, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке. Только суд может решать в каждом случае, какую именно назначить итоговую компенсацию каждому пострадавшему пользователю с учётом обстоятельств, при которых им был причинен моральный вред.
