Комментарии 14
у госучреждений нет оборота и, соответственно, с них этот штраф взять невозможно
Какой смысл государству штрафовать самого себя? Это ж просто перекладывание денег из одной статьи бюджета в другую, все одно, в следующем году перераспределят.
В то же время Войлуков считает верхний порог штрафа «совершенно чрезмерным, поскольку, например, крупный банк, получив подобный штраф, может вчинить регрессивный иск компании‑поставщику, от которой получил программное обеспечение, ставшее причиной утечки». Для большинства таких компаний штраф в сотни миллионов рублей «приведёт к банкротству», полагает он.
Это только в том случае, если причиной утечки стало ПО, а не охочий до наживы сотрудник банка, который слил базу. И назвал это утечкой. Необходимо будет тщательное расследование причин, что может банку не понравиться - всплывет еще какая-либо дрянь, возможно более дрянная, чем факт утечки. Может они этого боятся, а не штрафов вовсе.
Сейчас не в контексте банков, а в контексте мелких организаций и гос. организаций: понятна ответственность за умышленный слив базы. Но кривой конфиг - это чья вина?
Довольно большая часть таких сливов - это торчащий в интернет голой жопой сервак с mysql с паролем "admin". Находятся такие обычным перебором по ip + портам.
Умысла не было, халатность была. Был ли умысел у исполнителя заранее сделать халатно - под вопросом. Может там у сына бухгалтерши, которому это дело сказали сделать, просто квалификации не хватало знать, что есть дефолтные пароли.
в таком случае ответственность вообще на каком-то нанимающем персонале должна быть?
В случае с кривым конфигом - вариант неоднозначный. Опять же, нельзя просто так совать в руки постановления о штрафах, не разобравшись досконально в вопросе. Если к программному продукту документация давала исчерпывающие инструкции о том, как все настроить, чтобы не было утечек - я бы предположил, что здесь именно халатность (или спешка, или умысел), и отвечать должен тот, кто настраивал.
А если человек сделал все четко по инструкции (и сумеет это доказать), и все равно образовалась голая жопа, или же толковой инструкции просто не было - тогда проблемы, скорее всего, на стороне ПО.
Уже несколько лет как введена должность, ответственного за ПД. Правда ответственность у него есть, а прав не особо.
Ну, надо же. Банки разорятся. Если у вас персонал криворукий, то это вина банка, что такое серьезное (ли?) учреждение так халатно относится к подбору и поддержанию квалификации персонала.
Я наверное с вами соглашусь, но еще и расширю. Не только банки, но и гос.организации. Причем если сотрудник этой гос. организации сделал все через одно место, потому что "не умеет", "так всегда делали", "да мне то что", то виновата должна быть организация + сотрудник. Сотрудника же нанимала организация, проверяли его квалификацию и допустила к работе. Просто боюсь, что могут просто навесить штраф на сотрудника и все, а это на мой взгляд тоже не верно. Если взяли человека, так обучайте его, давайте книги/стажировки и т.д. и только потом уже пускайте к критической инфраструктуре.
За прошедшие два года я обнаружил нарущений по своим персональным данным, прямо в договорах с банком, что просто ужас.
Идем в договоры четырех банков. ВТБ, Тинькофф, озон и сбер. Смотрим. В ВТБ в договоре уже расставлены галочки (2022) год на всякую ерунду. В остальных договорах с банками (других банков) не нашел.
Плюс, во всех банковских договорах, всех банков, все три пункта: сам договор, соглашение на обработку пдн и согласие на рекламу всё в одном документе. Кроме того, ВТБ умудрился ввернуть пункт в согласие на распространение третьим лицам - организациям аутсорса. Хорошо хоть не клининговым.
Сегодня получал карту Озона. Курьер приехал на самокате. Не назвал своего имени, не показал удостоверния личности. В момент, когда в моём приложении я должен был ввести номер моей карты и CVC код, он тупо разорвал конверт, вынул карту и продиктовал мне номер карты и CVC код. Я конечно попросил в поддержке Озона выяснить, как так получилось и провести внутреннее расследование. Но, уверен, так поступает большая половина курьеров по личным, возможно, злоумышленным целям или же по нелостаточности инструктажа и проверки происходящего.
Внимание, вопрос. Вопрос к Ассоциации банков России и представителям Банков, которые, уверен, тут читают.
Что Вы там просили об отмене оборотного штрафа за утечку персональных данных?
Надо было не принимать, а заявить об утечке конфиденциальных данных и заказать новую карту :)
Да это надо в общем прекращать. Есть постаматы с камерами. Пусть туда присылают. Я в Европе когда то жил, там в почтовый ящик приссылали и потом в банке пин код получал. Сейчас есть охраняемые постаматы, пункты выдачи того же Озона, Бокс Бери и так далее. Не вижу проблем вообще. Жена же получала в пункте выдачи Озона? Ей курьер не привез, проморозились с доставкой.
Немнорго ОФФтоп Не совсем в тему, но тоже про ПДН. Ростелеком, тот вообще умудрился после года по расторжению моих договорв на пользование его услугами....Та-дааам! Подключить на мой номер другого абонента. Я это узнал случайно, когда позвонил в Ростелеком, уже не будучи абонентом уже год. А там - на вашем счету... И так далее. Пока не разбираюсь, но обязательно разберусь.
Так что там про оборотные штраф за утечку ПДН.
Да, мы уху ели. И что?
Ассоциация банков России попросила власти отказаться от введения оборотных штрафов за утечки информации