9 ноября 2022 года московский суд постановил выплатить в качестве компенсации 13 пользователям сервиса доставки «Яндекс Еда» по 5 тыс. рублей за утечку их персональных данных. Заявители иска требовали через суд от «Яндекса» компенсации в размере 100 тыс. рублей за утечку данных каждого пользователя.
Юристы, которые подали иск, пояснили, что предметом спора по заявлениям пользователей является право требования заявителями компенсации морального вреда в связи с нарушением п. 2 ст. 17 закона «О персональных данных». Из положений этой статьи следует, что пользователь, передавший информацию оператору персональных данных, имеет право на обжалование его действий или бездействия, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
Согласно исковому заявлению, после утечки персональных данных пользователям «Яндекс Еды» начали массово поступать звонки с незнакомых номеров с рекламными предложениями различных услуг, им также стали звонить мошенники. Пользователи сервиса считают, что была нарушена неприкосновенность их частной жизни, они переживают за свою безопасность, так как в утечке есть их ФИО, фактические адреса, коды от домофонов, номера квартир и другая их частная информация.
Только суд может решать в каждом случае, какую именно назначить итоговую компенсацию каждому пострадавшему пользователю с учётом обстоятельств, при которых им был причинен моральный вред.
В итоге московский суд рассмотрел 20 исков против «Яндекса» от пользователей и часть отклонил. По 13 из ним суд постановил выплатить пострадавшим по 5 тыс. рублей в качестве компенсации.
1 марта служба информационной безопасности «Яндекс.Еды» рассказала об обнаружении утечки данных. В пресс-релизе компании говорится, что она произошла из-за недобросовестных действий одного из сотрудников. Также компания обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и делает все для того, чтобы предотвратить распространение опубликованной информации.
Согласно данным по этой утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе 27 февраля. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и данные:
- имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
- номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
- полный адрес доставки клиента;
- комментарии к заказу;
- выгрузка содержала даты заказов с 19.06.2021 по 04.02.2022.
24 марта руководитель сервиса «Яндекс Еда» Роман Маресов впервые пояснил ситуацию, прокомментировал инцидент и рассказал, что компания сделала не так и почему она так подвела пользователей.
21 апреля Мировой судья судебного участка района Замоскворечье в Москве оштрафовал на 60 тыс. рублей компанию «Яндекс Еда» за утечку данных пользователей.
2 августа суд повторно оштрафовал «Яндекс.Еду» на 60 тыс. руб. за утечку персональных данных. Теперь административное наказание было наложено за инцидент с утечкой информации о курьерах.
Фактически «Яндекс» получил второй административный штраф за одну ту же утечку, как заверяет компания. Данное наказание могло быть от 60 тыс. рублей до 100 тыс. рублей за нарушение законодательства в области персональных данных по ч. 1 ст. 13.11 КоАП РФ. Суд выбрал нижнюю рамку по штрафу.
Проблема в том, что только с начала года в общий доступ попали данные десятков миллионов пользователей разных сервисов из российских компаний. Штрафы за эти утечки сейчас составляют по ч. 1 ст. 13.11 КоАП РФ (за нарушение законодательства в области персональных данных) от 60 тыс. рублей до 100 тыс. рублей. Фактически операторы персональных данных сейчас ничем не рискуют, если потеряют базы данных тысячи и более пользователей.
Компании после подтверждения факта утечек не выплачивают пострадавшим пользователям компенсации. Роскомнадзор считает, что клиенты компаний, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
С другой стороны, доказать ущерб гражданам от утечки их персональных данных в суде даже в групповом иске непросто, так как компании после утечек максимально пытаются дистанцироваться от этой ситуации. В итоге суд может присудить символические компенсации.
В российском законодательстве нет определения того, что считать утечкой персональных данных, и неясно, какое надзорное ведомство и по каким критериям будет проверять, подтверждать и классифицировать утечки данных для оборотных штрафов. В законе нет обозначения, что является новой утечкой и как понять, что это не предыдущая. Компаниям проще заявлять, что это старая утечка и прикрываться предупреждением от РКН или небольшим штрафом. В Минцифры пояснили СМИ, что сейчас ведомство с рядом крупных IT-компаний прорабатывает механизм таких компенсаций. В том числе на обсуждении находится способ определения объёма выплат, условий получения компенсации и другие детали.
В начале октября Минцифры предложило ввести персональную ответственность для должностных лиц за утечки персональных данных (ПД) пользователей. В новой версии законопроекта об оборотных штрафах за утечки персональных данных предусмотрены штрафы не только для компаний, но и для их должностных лиц. Так, для руководителей компании, допустившей утечку данных от 10 тыс. до 100 тыс. субъектов ПД, штраф составит 200 тыс. – 400 тыс. рублей. Для ИП и юрлиц штраф за такой же инцидент составит 0,02% от оборота, но не менее 1 млн рублей.
29 августа Минцифры предложило ввести оборотные штрафы для компаний за утечку персональных данных более 10 тыс. клиентов и предложить проведение добровольного ежегодного аудита для операторов персональных данных.
19 августа Минцифры сообщило, что ведомство планирует создать фонд материальных компенсаций для граждан, пострадавших от утечек персональных данных из компаний. Предполагается, что в качестве финансовых средств в фонде будут использоваться оборотные штрафы, наложенные на компании за утечку данных.
Российская Ассоциация больших данных (АБД) выступила против инициативы Минцифры по созданию фонда для выплат компенсаций пострадавшим от утечек персональных данных пользователям.
В АБД входят «Яндекс», VK, «Сбер», «Ростелеком» и другие IT-компании. Представители бизнеса считают, что компенсационный фонд Минцифры потребует бюджетных вложений для ведения своей деятельности, а объём выплат из него каждому пострадавшему пользователю окажется незначительным. Причём при условии такой выплаты пользователи не смогут обратится в суд с иском против компании для взыскания компенсации за моральный вред.
Ассоциация пояснила, что для предотвращения утечек компаниям нужно проводить аудит своих информационных систем, модернизировать системы защиты, а не тратить собственные средства для перечисления в такой фонд.