В России ужесточат правила обращения с персональными данными
Эксперты не раз жаловались, что закон об обращении с персональными данными приняли аж в 2006 году, а многие вопросы до сих пор остаются неясными и туманными. Поэтому скоро в России станут суровее регулировать работу с персональными данными. Например, вступят в силу правила на случай удаления данных и оценки вреда при их утечке. Между тем 89,5% опрошенных россиян не чувствуют, что защищены от краж и утечек данных.
Недавно Роскомнадзор обязал компании и предпринимателей сообщать об атаках на сайт и утечке персональных данных, а также о передаче сведений за рубеж. Новые распоряжения ведомства объясняют, как оценить вред, причинённый при утечке, а также прописывают порядок удаления сведений о человеке (если он сам попросит). Эти документы вступят в силу с марта 2023 года и будут действовать шесть лет.
Впрочем, эксперты не верят, что всё станет лучше. Число утечек за последние годы растёт, а компании «теряют» как относительно безобидные сведения типа адресов электронной почты, так и слитые сканы паспортов и реальные адреса людей.
Например, в феврале случилась одна из крупнейших утечек персональных данных в истории РФ. В сеть утекли сведения о более чем о 20 млн пользователей СДЭК. Личные данные также теряли сервисы доставки еды и медицинские клиники. Перечень слитой информации разнообразен: от ФИО до адресов с указанием этажа и кода домофона. И с каждым днём утечек всё больше, как и судов по ним ради взыскания компенсаций.
Вступающие в силу правила играют на пользу потерпевших и ставят оператора в заведомо невыгодное положение. С другой стороны, это должно стимулировать его тщательнее следить за информационной безопасностью.
С 2021 года в России действует закон, по которому каждый человек может отозвать свои персональные данные, где бы они ни хранились. Убрать их обязаны по первому требованию, владельцу не надо ничего никому доказывать и объяснять. Правда, на деле вместо уничтожения информации заявителю предлагают отозвать согласие на обработку персональных данных. Данные никуда не денутся, просто про них на время забудут. И такое нарушение карается лишь небольшими штрафами. А теперь наказание за возможную утечку вырастут до 3% от годового дохода компании. Это уже не шутки.
Как показал опрос Роскачества, 89,5% россиян не чувствуют защиты от краж и утечек персональных данных в сети. А ведь личные данные можно продать другим злоумышленникам, составить на их основе более достоверные фишинговые письма, получить доступ к аккаунтам и устройствам владельца информации или оценить платёжеспособность человека. Всё зависит от того, что утекло в сеть.
«Последствия могут быть самыми различными: от слежки за человеком (с помощью информации о перемещении на такси или ином транспорте) до реализации мошеннических схем (документы, биометрия), шантажа и угроз (сведения о болезнях, личной жизни)», — рассказал замдиректора департамента информационной безопасности Step Logic Денис Пащенко.
Сейчас штрафы для компаний более чем скромные. Так, когда в интернете появилась интерактивная карта с именами, фамилиями и отчествами клиентов «Яндекс.Еды», их адресами, телефонами, электронными почтами, а также общими суммами заказов, компанию оштрафовали всего лишь на 60 000 рублей. Что куда дешевле, чем наладить безопасность в сервисе.