Дайджест изменения НПА Российской Федерации по ЗПДн и ИБ (30 марта 2023)
Дата: 30.03.2023 г.
Автор статьи: Мария Моисеева — Специалист по защите информации в Альтирикс групп
Термины, сокращения и определения
Инцидент с персональными данными — Любое непредвиденное или нежелательное событие, сопряженное с нарушением прав субъектов персональных данных, предполагающее «выход» персональных данных за пределы контролируемой зоны (пространства, в пределах которого осуществляется контроль над пребыванием и действиями работников и посетителей) оператора персональных данных, и происходящее в результате случайности или неправомерных действий (бездействия).
Оператор — Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (ПДн) — Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Роскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Утечки персональных данных сервисов «СберЛогистика», «СберПраво», «СберСпасибо»
Роскомнадзор проводит проверочные мероприятия в отношении фактов инцидентов с персональными данными (утечки), зафиксированных в феврале-марте в ряде дочерних компаний группы «Сбербанк».
1) В открытом доступе оказались ПДн клиентов и сотрудников компании «СберЛогистика» в составе: фамилия, имя, отчество, номер телефона, адрес электронной почты, а также хешированный пароль пользователя. В двух обнародованных файлах насчитывается 671 474 и 691 548 строк. По данным аналитиков, информация была получена не ранее 3.02.2023, и утечка охватывает период с 16.02.2016 по 3.02.2023. Среди нелегитимно распространенных данных содержатся 142 083 уникальных адреса электронной почты (11 854 почт на домене sblogistica.ru и 2047 на домене sberbank.ru), а также 675 549 уникальных телефонных номеров.
2) Опубликованы ПДн пользователей онлайн-платформы правовой помощи «СберПраво». В сети Интернет оказался архив из трех файлов, содержащих ПДн в следующем составе: фамилия, имя, отчество, адрес электронной почты, наименование юридического лица, дата рождения и регистрации пользователя, телефон, идентификатор пользователя. Суммарно в архиве содержатся 152 900 уникальных номеров и 70 155 адресов электронной почты.
3) Опубликованы ПДн клиентов бонусной платформы «СберСпасибо», содержащие: телефоны, даты рождения, хешированные номера банковских карт, даты создания и обновления записи (с 05.06.2022 по 22.01.2023). В общей сложности были обнародованы 51 977 405 уникальных номеров телефонов, 3 298 456 уникальных email-адресов, 100 092 292 уникальных хешей карт.
Ответственность оператора, предусмотренная в случае выявления факта утечки персональных данных
В настоящее время за утечку ПДн кодексом об административных правонарушениях (ст. 13.11 ч. 6) предусмотрена административная ответственность в виде наложения на юридическое лицо штрафа в размере от 50 000 до 100 000 рублей. На стадии проработки инициативы по введению оборотных штрафов.
Похожие статьи
Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» вносится ряд изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»…
Смотреть видео
- Ключевые изменения в области регулирования персональных данных по состоянию на 02.05.2023
- Изменения в других областях информационной безопасности
Скачать НПА
- Ключевые изменения в области регулирования персональных данных по состоянию на 03.10.2023
- Изменения в других областях информационной безопасности
Скачать НПА