Дайджест изменения НПА Российской Федерации по ЗПДн и ИБ (30 марта 2023)

Дата: 30.03.2023 г.
Автор статьи: Мария Моисеева — Специалист по защите информации в Альтирикс групп

Термины, сокращения и определения

Инцидент с персональными данными — Любое непредвиденное или нежелательное событие, сопряженное с нарушением прав субъектов персональных данных, предполагающее «выход» персональных данных за пределы контролируемой зоны (пространства, в пределах которого осуществляется контроль над пребыванием и действиями работников и посетителей) оператора персональных данных, и происходящее в результате случайности или неправомерных действий (бездействия).

Оператор — Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные (ПДн) — Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Роскомнадзор — Федеральная служба ‎по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Утечки персональных данных сервисов «СберЛогистика», «СберПраво», «СберСпасибо»

Роскомнадзор проводит проверочные мероприятия в отношении фактов инцидентов с персональными данными (утечки), зафиксированных в феврале-марте в ряде дочерних компаний группы «Сбербанк».

1) В открытом доступе оказались ПДн клиентов и сотрудников компании «СберЛогистика» в составе: фамилия, имя, отчество, номер телефона, адрес электронной почты, а также хешированный пароль пользователя. В двух обнародованных файлах насчитывается 671 474 и 691 548 строк. По данным аналитиков, информация была получена не ранее 3.02.2023, и утечка охватывает период с 16.02.2016 по 3.02.2023. Среди нелегитимно распространенных данных содержатся 142 083 уникальных адреса электронной почты (11 854 почт на домене sblogistica.ru и 2047 на домене sberbank.ru), а также 675 549 уникальных телефонных номеров.

2) Опубликованы ПДн пользователей онлайн-платформы правовой помощи «СберПраво». В сети Интернет оказался архив из трех файлов, содержащих ПДн в следующем составе: фамилия, имя, отчество, адрес электронной почты, наименование юридического лица, дата рождения и регистрации пользователя, телефон, идентификатор пользователя. Суммарно в архиве содержатся 152 900 уникальных номеров и 70 155 адресов электронной почты.

3) Опубликованы ПДн клиентов бонусной платформы «СберСпасибо», содержащие: телефоны, даты рождения, хешированные номера банковских карт, даты создания и обновления записи (с 05.06.2022 по 22.01.2023). В общей сложности были обнародованы 51 977 405 уникальных номеров телефонов, 3 298 456 уникальных email-адресов, 100 092 292 уникальных хешей карт.

Ответственность оператора, предусмотренная в случае выявления факта утечки персональных данных

В настоящее время за утечку ПДн кодексом об административных правонарушениях (ст. 13.11 ч. 6) предусмотрена административная ответственность в виде наложения на юридическое лицо штрафа в размере от 50 000 до 100 000 рублей. На стадии проработки инициативы по введению оборотных штрафов.

В начало статьи ↑