Юристы рассказали, что грозит транспортным компаниям за утечки данных

Самый большой риск вследствие недостаточной защищенности информации – утечка персональных данных (ПД) с серверов компаний. О том, почему их сохранению сейчас нужно уделять еще более пристальное внимание, а также об изменениях в законодательстве, связанных с их защитой, рассказали на X Сибирском транспортном форуме.

Сохранить персональные данные

В транспортной отрасли занято большое количество населения страны. Соответственно, защите данных должно уделяться пристальное внимание, а владельцы бизнеса – быть в курсе текущих изменений в законопроектах, едва успевающих за развитием информационных технологий, считают юристы компании «ЛексПроф». Совместно с представителями «Роскомандзора» и федерального IT-интегратора ГК «Компьютеры и сети» они рассказали о трендах, рисках, связанных с изменениями законодательства за 2022 – 2023 годы, и как те отразились на регулировании ответственности компаний, владельцев и руководителей бизнеса.
Пристальное внимание было уделено персональным данным, поскольку, зачастую именно из-за них компании подвергаются атакам. Так, новые требования, обусловленные федеральным законом №266-ФЗ, накладывают ограничения на обработку биометрических данных несовершеннолетних, предполагают обязательное информирование об инцидентах с базами данных, вносят изменения в характер трансграничной передачи персональных данных, в экстерриториальность применения российского законодательства о ПД, втрое сокращают сроки ответа на запросы органов власти.

Часто нарушением является отсутствие согласия на обработку данных, но иногда операторы не обязаны его запрашивать. О таких исключениях рассказала специалист «ЛексПроф» в сфере IT Елизавета Пакуш: «В законе «О персональных данных» есть перечень исключений, при которых нет необходимости в получении письменного согласия на передачу данных. Так, согласие не требуется при обработке для исполнения договора стороной, выгодоприобретателем или поручителем по которому является субъект ПД. Например, крупная авиационная компания установила для своих сотрудников корпоративные привилегии, по которым те могли пользоваться услугами санаторно-курортного лечения. Работодатель не получал согласие на обработку ПД и передачу их для заключения договора на оказание соответствующих услуг. При проведении проверки «Роскомнадзор» выявил семь нарушений, в числе которых оказалось отсутствия такого согласия. Нашим коллегам удалось доказать, что получение согласия не требовалось, и предписания были убраны из списка нарушений», – рассказала Елизавета Пакуш.

За несоблюдение или нарушение правил обработки ПД может быть наложена административная, уголовная, гражданско-правовая и дисциплинарная с материальной выплатой ответственность, отметил дипломированный специалист в сфере IT, юрист ЮК «ЛексПроф» Константин Бойко.

«Тенденция к увеличению штрафов в этой области наблюдается с 2017 года, иногда их размер повышается в десятки раз. Так, в КоАП планируется внести норму о правилах обработки биометрических персональных данных», – подчеркнул он.

«Представители ЛДПР хотят увеличить ответственность в этой сфере буквально до одного миллиарда рублей. Мы думаем, что таких кардинальных изменений не будет, но предложение есть, и это показывает серьезность внимания к отрасли», – добавила управляющий партнер ЮК «ЛексПроф» Татьяна Гончарова.

Избежать утечек

С обработкой ПД люди сталкиваются ежедневно, иногда даже не подозревая об этом. При оставлении заявок на интернет-ресурсах, заказе обратных звонков, организации оповещают о сборе ПД или просят ознакомиться с политикой конфиденциальности (тождественные понятия), однако и это происходит не всегда.

«Я взял в качестве примера сайт «РЖД», видно, что у них с этим все в порядке, присутствует ссылка на форму согласия и политику конфиденциальности. То же с сайтом X Сибирского транспортного форума. А на сайте частной перевозочной компании такой ссылки не обнаружилось, это стоит учесть всем», – подчеркнул дипломированный специалист в сфере цифрового права, юрист ЮК «ЛексПроф» Илья Манилов.

Такие сайты можно считать неблагонадежными, поскольку они не гарантируют конфиденциальность ПД, а значит, высок и риск утечки.

«Транспортная инфраструктура относится к критической информационной структуре, потому что она соприкасается с огромным объемом ПД, а последствия утечек могут быть очень серьезными. Даже не на уровне известного случая с «Яндекс.Едой». Специалисты по защите информации знают, что хранение ПД граждан России должно осуществляться на серверах, расположенных внутри страны. За это нарушение предусмотрена ответственность в КоАП. Если на сайте осуществляется сбор ПД, политика обработки обязательно должна быть размещена. Мы регулярно мониторим сайты различных организаций, в том числе проверяя наличие политики, место хранения данных, использование сервисов вроде «Яндекс.Метрика», – рассказал заместитель руководителя Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций («Роскомнадзор») по Сибирскому федеральному округу Роман Марущак.

Поскольку обработка персональных данных сейчас осуществляется, кроме прочего, посредством интернет-ресурсов, то увеличивается и риск их утечки, и с современными угрозами не способны справиться одно лишь законодательное регулирование или антивирусы, которые выявляют скрытые опасности, но неспособны распознать шифровальщиков, считает руководитель отдела информационной безопасности ГК «Компьютеры и сети» Игорь Зайцев.

«Требования законодательства в части технических мер по защите ПД не менялись еще с 2013 года, а ландшафт угроз меняется постоянно. Инфраструктура государства постоянно подвергается различным атакам, и требования законодательства и регуляторов не защитят ни права субъектов ПД, ни операторов, потому что это не просто не поможет предотвратить атаку, но вы о ней даже не узнаете, как не узнаете о передаче данных, распространении, утечке. Современные решения в области информационной безопасности способны защитить от этого», – подчеркнул Игорь Зайцев.

Автор: Анна Маничева