Третья утечка персональных данных пользователей российского оператора экспресс-доставки документов и грузов СДЭК с начала 2022 года может грозить компании штрафом в размере до 300 тыс. рублей. Соответствующее положение закреплено в статье 13.11 КоАП.

В соответствии со статьей КоАП, сумма штрафа при утечке данных составляет от 60 тыс. рублей до 100 тыс. рублей для организаций. При повторном нарушении — 100-300 тыс. рублей. Для СДЭК утечка в конце августа стала третьей за год.

Напомним, 29 августа представители компании по доставке грузов СДЭК подтвердили факт утечки сведений из базы данных клиентов CDEK.Shopping и «СДЭК.Маркет», в настоящий момент проводится проверка. Известно, что в базу не попали номера документов, удостоверяющих личность, и данные банковских карт клиентов.

О необходимости ужесточения наказания за утечку персональных данных уже заявляли в СовФеде. В частности, первый замглавы комитета Совета Федерации по конституционному законодательству и госстроительству Ирина Рукавишникова в конце мая обращала внимание, что для крупных корпораций с многомиллиардными оборотами нынешние штрафы могут оказаться недостаточной мерой.

«Вопросы определенных корректировок действующего законодательства в данной сфере экспертным сообществом обсуждаются, но готовых решений пока нет»,
— отмечала Рукавишникова в интервью газете «Ведомости».

Отметим, что для стимулирования компаний к усилению безопасности персональных данных пользователей в Минцифры уже предложили ввести оборотные штрафы для компаний, которые допускают атаки хакеров с последующей кражей данных. Платить в случае принятия мер придется примерно 1% от оборота для компании с выручкой в 100 млрд рублей. Инициативу, предложенную ведомством быстро поставили на паузу, признав слишком радикальной. Однако после взлома «Почты России» в начале августа к ней вернулись вновь. Совет Федерации идею одобрил.

В начале июля депутаты Госдумы приняли закон об усилении защиты персональных данных и ужесточении требований к операторам обработки информации. В соответствии с ним оператор обязан предоставлять информацию об утечках данных органам власти в течение суток. В заявке требуется указать «описание скомпрометированных данных и контактное лицо». Компании также обязаны в течение трех суток представить результаты внутренней проверки.

Несмотря на ужесточение механизма предоставлении отчетности об утечках, штрафы для компаний могут показаться слишком низкими. В этой связи создается впечатление, что организациям дешевле заплатить штраф, чем заниматься усилением мер безопасности.