print

Крупная утечка в СДЭК

Персональные данные клиентов СДЭК более чем из 100 тысяч заказов попали в Интернет.

Трудовое право | №9 за 2022 год

СДЭК подтверждает утечку данных клиентов своих сервисов, ведется проверка, сообщает РБК. Речь идет о двух базах данных — платформы для заказов товаров из-за границы CDEK.Shopping и маркетплейса «CДЭК.Маркет» по 19,839 строк и 100 тыс. строк. Они включают имена и фамилии, адреса электронной почты, телефон, дату рождения, хешированный пароль. Данные относятся к периоду с конца августа 2018 года по апрель 2022 года.

Наш комментарий:

Михаил Хохолков, INTELLECT, специально для журнала «Трудовое право»:

Вектор изменения законодательства о персональных данных направлен на ужесточение ответственности операторов и формализацию процессов обработки информации.

Комментирует Михаил Хохолков, руководитель практики «Медиаправо» юридической фирмы INTELLECT:

В последнее время информация о случаях утечки персональных данных пользователей крупнейших сервисов появляется все чаще. Поэтому желание властей ужесточить ответственность операторов за подобные инциденты более чем понятно.

Показательно, что новость об утечке данных клиентов СДЭК вышла в преддверии вступления в силу изменений в Закон «О персональных данных». Эти поправки довольно существенны и посвящены как раз реагированию на утечки. Они вступают в силу поэтапно: первая часть — с 1 сентября 2022 года, вторая — с 1 марта 2023 года.

Согласно нововведениям, каждый оператор персональных данных будет обязан в порядке, определенном ФСБ России, подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ее называют «ГосСОПКА»). Это необходимо для оперативного информирования властей о любых компьютерных инцидентах, повлекших за собой неправомерную передачу (предоставление, распространение) персональных данных.

Оператор персональных данных в течение 24 часов должен будет уведомить Роскомнадзор о произошедшем инциденте, о его предполагаемых причинах и предполагаемом вреде, нанесенном правам субъектов персональных данных. Также организация должна сообщить о принятых мерах по устранению последствий соответствующего инцидента, а в течение 72 часов — отчитаться о результатах внутреннего расследования инцидента и предоставить сведения о лицах, действия которых стали его причиной.

Отмечу и неоднократные предложения о введении оборотных штрафов за утечки персональной информации. Думаю, принятие такого закона не за горами — законодателям есть чем обосновать такую необходимость

Поэтому уже сейчас рекомендую проверить, как у вас в компании налажена работа с персональными данными. Обязательно должны быть созданы и внедрены локальные правовые акты, это само собой разумеется. Но не менее, а может, и более важно получить полное представление об объеме и целях обработки персональных данных. Идеальный вариант — собрать карту данных, чтобы увидеть, какие персональные данные обрабатываются, где хранятся, какие подразделения и сотрудники имеют доступ к персональным данным, с какой целью. Визуализация процессов обработки персональных данных поможет увидеть слабые места и превентивно их устранить.

Повторюсь, вектор изменения законодательства о персональных данных направлен на ужесточение ответственности операторов и формализацию процессов обработки информации. Многие крупные компании уже вводят в штат специальных сотрудников (DPO — Data Protection Officer), в чьи обязанности входят исключительно вопросы защиты и обработки персональных данных. Такой подход оправдан, поскольку эти вопросы уже не решаются только подготовкой положения об обработке персональных данных, а представляют собой непрерывный процесс.

Единственное, что в этой истории пока остается без внимания, — права пользователей, чьи данные утекли. В нынешнем состоянии законодательства пользователь может рассчитывать лишь на небольшую компенсацию морального вреда, который сначала придется еще доказать в суде.

Комментарии экспертов юридической фирмы INTELLECT >>

персональные данные

Похожие материалы

Юридические услуги, разрешение споров, патентные услуги, регистрация товарных знаков, помощь адвокатаюридическое сопровождение банкротства, услуги арбитражного управляющего, регистрационные услуги для бизнеса


Екатеринбург
+7 (343) 236-62-67

Москва
+7 (495) 668-07-31

Нижний Новгород
+7 (831) 429-01-27

Новосибирск
+7 (383) 202-21-91

Пермь
+7 (342) 270-01-68

Санкт-Петербург
+7 (812) 309-18-49

Челябинск
+7 (351) 202-13-40


Политика информационной безопасности