Повальный сбор и обработка персональных данных при недостаточной их защите приводят к все более серьезным проблемам, которые освещает FederalCity. До сих пор компании и учреждения, виновные в утечке личных данных своих клиентов отделывались лишь административными делами и небольшими штрафами, но теперь в России появился прецедент, связанный с уголовным преследованием за такое правонарушение.
В начале августа 2022 года Следственный комитет РФ возбудил уже второе уголовное дело по факту утечки информации из базы данных сервиса «Яндекс.Еда». Первое было заведено еще в конце апреля по результатам проверки имеющихся фактов утечки. Причиной же этого стало обращение в СК депутата Государственной Думы Михаила Романова, посчитавшего, что клиентам «Яндекс.Еды» был нанесен ущерб, а преступники могут теперь воспользоваться попавшими в интернет данными.
Штаб-квартира "Яндекса" в Москве. Фото: Википедия
Сервис поиска утечек данных «DLBI» обнаружил слив информации из «Яндекс.Еды» еще 27 февраля. В свободном доступе оказался архив с данными заказов и комментариев к ним 49,4 миллиона клиентов из России, Казахстана и Беларуси. Там были имена и фамилии заказчиков, их телефонные номера и адреса, по которым доставлялась еда. Заказы были сделаны в период с 19 июня 2021 года по 4 февраля 2022-го.
1 марта служба информационной безопасности «Яндекс.Еды» тоже обнаружила эту утечку, и руководство сервиса публично рассказало об этом, обвинив в случившемся одного из своих сотрудников, после чего сообщило обо всем в органы правопорядка. 22 марта во многих СМИ, а также в телеграм-каналах была опубликована ссылка на некий сайт, где можно было воспользоваться интерактивной картой с подробными адресами клиентов «Яндекс.Еды», их фамилиями, телефонами, электронной почтой и даже общей суммы их затрат за последние полгода при пользовании сервисом. Эта карта, совершенно очевидно, была составлена на основании слитых в феврале данных. В настоящий момент этот сайт заблокирован, но можно не сомневаться, что опубликованную на нем информацию успело скопировать к себе множество людей.
Михаил Романов. Фото: Википедия
Затем, 23 марта, Роскомнадзор составил протокол в связи с этим делом, и лишь на следующий день, через 26 дней после утечки, все это время никак не комментировавший происшедшее руководитель сервиса Роман Маресов принес пострадавшим клиентам извинения.
В конце апреля состоялся суд, и компании, допустившей утечку, был назначен штраф в размере 60 тысяч рублей. А примерно через месяц после этого все тот же сервис «DLBI» сообщил о новых выложенных в интернет данных, касающихся «Яндекс.Еды». На этот раз на всеобщее обозрение были вывешены персональные данные курьеров, которые занимаются доставкой заказов. После этого представители «Яндекс.Еды» заявили, что это не новая утечка и что информация о курьерах была слита еще в феврале вместе с данными о заказчиках. В их заявлении говорилось, что с момента той утечки, политика хранения данных компанией была серьезно ужесточена, а количество сотрудников, допущенных к персональным данным, сократилось в несколько раз, так что новые сливы информации были просто невозможны.
Несмотря на это, 11 июля суд зарегистрировал второй протокол Роскомнадзора, а 2 августа «Яндекс.Еду» повторно оштрафовали на 60 тысяч рублей, теперь уже за утечку данных курьеров. А спустя еще три дня, 5 августа, против этой компании завели второе уголовное дело.
Теперь слив персональных данных может привести к неприятным последствиям. Фото: stock.adobe.com
По мнению юриста Даниила Горькова, вероятнее всего, сама компания «Яндекс.Еда» к уголовной ответственности привлечена не будет – для этих целей найдутся конкретные сотрудники-вредители. Однако, впоследствии, после приговора суда, пострадавшие клиенты сервиса будут иметь право подать иск в Высший арбитражный суд уже против компании, допустившей утечку, чтобы попытаться получить компенсации.
После того, как лаборатория «Гемотест» отделалась «копеечным» штрафом за утечку сведений, являющихся врачебной тайной, о чем сообщало FederalCity, уголовные дела, заведенные против «Яндекса», внушают оптимизм: есть шанс, что теперь организации, собирающие персональные данные будут следить за их безопасностью более тщательно, опасаясь наказания, а если утечка все-таки произойдет, наказание будет достаточно «чувствительным».
