Юрист объяснила, можно ли добиться компенсации, если ваши личные данные утекли по вине компании
На днях стало известно об утечке данных в общей сумме почти миллиона пользователей. Сообщений от людей, которые не знают, что делать в сложившейся ситуации, хватает, и смена пароля на сайте компании их, мягко говоря, не устраивает.
Есть ли шанс получить компенсацию морального вреда и на какую сумму стоит рассчитывать? Об этом Onliner спросил у юриста.
Хронология
Для начала вспомним, что вообще произошло. О первой утечке данных клиентов на этой неделе сообщил «Буслік». Случилось все еще в прошлом месяце, в июне. В базе, которую злоумышленники выставили на продажу, содержится информация о более чем 220 тыс. пользователей. Отмечается, что кто-то получил незаконный доступ к информационной системе ООО «ДПМ» (это компания, которая владеет сетью «Буслік»), а потом распространил персональные данные пользователей интернет-магазина.
Об утечке в «Острове чистоты» стало известно 6 июля. Компания сообщает, что она произошла в результате кибератаки со стороны третьих лиц на сервер с базой данных сети. В итоге злоумышленники выставили на продажу базу данных, которая содержит персональную информацию более чем 730 тыс. пользователей этого ресурса.
По информации Национального центра защиты персональных данных, утечки у «Острова чистоты» были и ранее: за период с августа 2021 по конец июля 2022 года в сеть утекли 148 тыс. записей о данных пользователей. В открытый доступ попали адреса, Ф. И. О., номера мобильных телефонов и логины электронных почт. После данного инцидента организацию постигали внеплановые проверки, но «важные мероприятия по технической и криптографической защите не были выполнены, что повлекло за собой новую утечку».
Но на этом новости не закончились, Центр персональных данных в тот же день сообщил о новой утечке, на этот раз в БГУ. Там был осуществлен несанкционированный доступ к информационной системе университета. В результате в руках у злоумышленников оказались данные около 6 тыс. человек.
Что предлагают компании?
Как данными воспользуются злоумышленники: будут делать спам-рассылки, сразу присылать сообщения со ссылкой на фишинговые сайты или шантажировать, мы не знаем. Единственное, что предлагают компании, это изменить пароли для авторизации на сайтах. Вот только одна история поменять пароль, другая — адрес проживания, электронную почту или номер мобильного телефона. Согласитесь, неудобств тут хватает с головой.
— В «Бусліке» в телефонном разговоре передо мной просто извинились и признали факт утечки данных. Но ни о каких компенсациях и прочем сказано не было. «Приносим вам свои извинения» — это если дословно, — делится своим опытом читатель.
Как понять, что мои данные утекли в сеть?
Спам-сообщения и многочисленные звонки от неизвестных номеров, безусловно, являются знаком того, что ваши данные попали в открытый доступ. Кроме того, существуют и сервисы по проверке безопасности данных, но необходимо быть очень осторожным при выборе платформы. Такие сервисы могут оказаться обычными мошенническими, которые под эгидой безопасности как раз и являются сборщиками данных для продажи. Это крайне выгодный рынок, и желающих заработать в такой нише очень много.
Юрист: «У вас есть право требовать от оператора денежную компенсацию»
Что грозит компаниям и как вести себя пользователям, чьи данные утекли в сеть, а также в каких случаях можно требовать компенсацию, рассказывает юрист Татьяна Ревинская.
— Действующее законодательство нашей страны предусматривает обязанность операторов (уполномоченных лиц) принять ряд мер: правовых, организационных и технических по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Проще говоря, компания, обрабатывающая персональные данные, полностью отвечает за их сохранность.
Причины утечки персональных данных могут быть самыми разнообразными: действия хакеров, умышленные (неумышленные) действия работника, ненадлежащая организация процесса обработки персональных данных и пр. Соответственно, и последствия для субъекта персональных данных могут быть разными: от мошенничества от имени «потерпевшего» до шантажа.
Ст. 23.7 КоАП (п. 4) установлена ответственность оператора за несоблюдение мер обеспечения защиты персональных данных физлиц в виде наложения штрафа. В частности, на юридическое лицо — от 20 до 50 базовых, или, в переводе на деньги, меньше двух тысяч рублей по верхней планке.
Кроме того, установлена уголовная ответственность:
- ст. 203-1 УК — за незаконные действия в отношении информации о частной жизни и персональных данных;
- ст. 203-2 УК — за несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим их обработку, повлекшее по неосторожности распространение этих данных и причинение тяжких последствий (например, причинение вреда здоровью потерпевшего, причинение ущерба в особо крупном размере и др.).
— Нарушение организацией требований Закона о защите персональных данных, которое может негативно повлиять на субъекта персональных данных, с точки зрения закона будет рассматриваться как нарушение прав этого субъекта.
Закон о защите персональных данных содержит ст. 19, норма которой предоставляет гражданину в случае нарушения оператором его прав как субъекта персональных данных требовать от оператора денежную компенсацию за причиненный моральный вред, а также (при наличии) возмещения имущественного вреда и понесенных убытков (п. 8, 10 ст. 11 ГК). Причем возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Гражданин может обратиться с иском к организации, в которой произошла утечка его персональных данных, а при неудовлетворении его требований — в суд, указав в заявлении, кем, при каких обстоятельствах и какими действиями (бездействием) причинены ему физические или нравственные страдания, в чем они выражаются, в какой денежной сумме он оценивает их компенсацию.