Дайджест изменения НПА Российской Федерации по ЗПДн и ИБ (30 марта 2023)

54

Дата: 30.03.2023 г.
Автор статьи: Мария Моисеева — Специалист по защите информации в Альтирикс групп

Термины, сокращения и определения

Инцидент с персональными данными — Любое непредвиденное или нежелательное событие, сопряженное с нарушением прав субъектов персональных данных, предполагающее «выход» персональных данных за пределы контролируемой зоны (пространства, в пределах которого осуществляется контроль над пребыванием и действиями работников и посетителей) оператора персональных данных, и происходящее в результате случайности или неправомерных действий (бездействия).

Оператор — Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные (ПДн) — Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Роскомнадзор — Федеральная служба ‎по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Утечки персональных данных сервисов «СберЛогистика», «СберПраво», «СберСпасибо»

Роскомнадзор проводит проверочные мероприятия в отношении фактов инцидентов с персональными данными (утечки), зафиксированных в феврале-марте в ряде дочерних компаний группы «Сбербанк».

1) В открытом доступе оказались ПДн клиентов и сотрудников компании «СберЛогистика» в составе: фамилия, имя, отчество, номер телефона, адрес электронной почты, а также хешированный пароль пользователя. В двух обнародованных файлах насчитывается 671 474 и 691 548 строк. По данным аналитиков, информация была получена не ранее 3.02.2023, и утечка охватывает период с 16.02.2016 по 3.02.2023. Среди нелегитимно распространенных данных содержатся 142 083 уникальных адреса электронной почты (11 854 почт на домене sblogistica.ru и 2047 на домене sberbank.ru), а также 675 549 уникальных телефонных номеров.

2) Опубликованы ПДн пользователей онлайн-платформы правовой помощи «СберПраво». В сети Интернет оказался архив из трех файлов, содержащих ПДн в следующем составе: фамилия, имя, отчество, адрес электронной почты, наименование юридического лица, дата рождения и регистрации пользователя, телефон, идентификатор пользователя. Суммарно в архиве содержатся 152 900 уникальных номеров и 70 155 адресов электронной почты.

3) Опубликованы ПДн клиентов бонусной платформы «СберСпасибо», содержащие: телефоны, даты рождения, хешированные номера банковских карт, даты создания и обновления записи (с 05.06.2022 по 22.01.2023). В общей сложности были обнародованы 51 977 405 уникальных номеров телефонов, 3 298 456 уникальных email-адресов, 100 092 292 уникальных хешей карт.

Ответственность оператора, предусмотренная в случае выявления факта утечки персональных данных

В настоящее время за утечку ПДн кодексом об административных правонарушениях (ст. 13.11 ч. 6) предусмотрена административная ответственность в виде наложения на юридическое лицо штрафа в размере от 50 000 до 100 000 рублей. На стадии проработки инициативы по введению оборотных штрафов.

 

В начало статьи 

Похожие статьи

Блог_Видеобзор изменений 152-ФЗ
Видеообзор изменений от 14.07.2022 в 152-ФЗ "О персональных данных"

Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» вносится ряд изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»…

Смотреть видео

417
Дайджест_2_мая__2023
Дайджест изменения НПА Российской Федерации по ЗПДн и ИБ (2 мая 2023)
  • Ключевые изменения в области регулирования персональных данных по состоянию на 02.05.2023
  • Изменения в других областях информационной безопасности

Скачать НПА

238
Дайджест_3_октября_2023
Дайджест изменения НПА Российской Федерации по ЗПДн и ИБ (3 октября 2023)
  • Ключевые изменения в области регулирования персональных данных по состоянию на 03.10.2023
  • Изменения в других областях информационной безопасности

Скачать НПА

146