У нас было 20 нотариальных доверенностей (как требует ст. 244.20 ГПК РФ для групповых исков), 1008 подписанных заявлений о присоединении к иску, а также 1 компьютерно‑техническое исследование, 3 адвоката, 2 юриста и пинта чистого дофамина. Не то чтобы это был необходимый запас для суда, но раз уж начал готовить первый групповой иск по утечкам к гиганту, то сложно остановиться...
За полтора года нашей совместной (РКС + Сетевые свободы) работы по делу самой массовой утечки в российской кибер истории, мы прошли долгий путь от несостоявшегося коллективного иска к Яндекс.Еде до получения отказа силовиков признавать утекшие данные сведениями о частной жизни при принятии решения о возбуждении уголовного дела по ст.137 УК РФ (нарушение неприкосновенности частной жизни).
Ожидания
Мы ожидали появление первого в России кейса в виде группового иска по защите права на приватность пользователей российских платформ.
Я убежден, что как бы государство ни пыталось драконовскими штрафами закошмарить бизнес, чтобы они “лучше защищали персональные данные”, ничего из этого не выйдет. Лишь только институт коллективных исков c существенной гражданско-правовой ответственностью корпораций перед своими пользователями способен поменять ситуацию с реальным, а не показательным обеспечением информационной приватности и безопасности.
Поэтому, полагая, что административные меры защиты (напомню, что Яндекс.Еда за утечку получила штраф в 60 000 рублей) являются недостаточными и неэффективными, мы решили использовать методы гражданско-правовой и уголовной защиты. Для гражданско-правовой защиты мы решили использовать относительно новую для российской цивилистики статью 244.20 ГПК РФ (групповые иски), а в рамках уголовно-правовой защиты - институт “потерпевшего” по уголовному делу в рамках ст.137 (нарушение неприкосновенности частной жизни) и ст.272 (неправомерный доступ к компьютерной информации), 273 (Создание, использование и распространение вредоносных компьютерных программ) УК РФ.
Вот что из этого вышло.
Подготовка
Мы провели адвокационную кампанию и проделали невероятную работу, чтобы объяснить пострадавшим пользователям, почему важно судиться, и почему это не сложно, заверяя их в том, что всю грязную работу мы возьмем на себя и сделаем это абсолютно бесплатно. Но даже это приходилось терпеливо разъяснять гражданам, не доверяющим в принципе ни самому закону, ни судам, которые должны эти законы интерпретировать. Люди просто напросто не верят, что закон может служить реальным инструментом защиты информационной приватности.
У нас было 20 нотариальных доверенностей (как требует ст. 244.20 ГПК РФ для групповых исков), 1008 подписанных заявлений о присоединении к иску, а также 1 компьютерно-техническое исследование, 3 адвоката, 2 юриста и пинта чистого дофамина. Не то чтобы это был необходимый запас для суда, но раз уж начал готовить первый групповой иск по утечкам к гиганту, то сложно остановиться...И мы пошли в суд.
Результат
Гражданский процесс
Суд отказывает в принятии иска в качестве группового по правилам ст. 244.20 ГПК РФ, что влечет и отказ в принятии 1008 заявлений в упрощенном порядке о присоединении к иску
Суд разъединяет иск на 20 отдельных производств, ссылаясь на то, что в указанном деле у группы истцов нет однородных прав и законных интересов. Логика суда такая - персональные данные у каждого заявителя разные, а значит и рассматриваться они должны в качестве индивидуальных жалоб.
13 заявителям иск был удовлетворен, еще 7 отказали в удовлетворении иска в связи с недоказанностью позиции (ненадлежащие скриншоты)
По 5000 рублей суды первой и апелляционной инстанций присуждают заявителям, снижая ее в 20 раз от первоначально заявленной суммы.
Некоторые пользователи самостоятельно попытали счастье, но столкнулись с еще большим количеством сложностей. Так, например, Куйбышевский районный суд г. Санкт-Петербурга по одному из дел (Шацкий против Яндекс.Еды), отказывая в удовлетворении иска, указал следующее:
1. Не доказана причинно-следственная связь.
“Истцом не представлены доказательства, что именно ответчиком раскрыты третьим лицам либо распространены персональные данные истца. Информационное сообщение о произошедшей утечке данных клиентов ООО «Яндекс.Еда» без указания конкретных лиц, а также само по себе появление в информационных ресурсах сведений об истце, как о пользователе услуг сервиса «Яндекс.Еда», не свидетельствуют о том, что именно ответчиком совершены незаконные действия, направленные на нарушение прав истца”.
2. Скриншоты признаны неотносимым доказательством.
“Скриншот страницы сайта, который истец приобщил к материалам дела, не содержит информации, позволяющей отнести данный Интернет-ресурс к ведению ответчика, а также, что источником информации, размещенной на данном сайте, являлось именно ООО «Яндекс.Еда»”.
3. Не доказан недостаточный уровень защиты и осмотрительности оператора.
“Доказательств, свидетельствующих о том, что принятые ответчиком меры безопасности не соответствуют законодательству, противоречат техническим правилам и не обеспечиваются (не поддерживаются) техническими ресурсами, недостаточны и не эффективны, в материалы дела не представлено. Ответчиком, в свою очередь, в порядке применения организационных технических мер по обеспечению безопасности персональных данных, утверждена и обновляется Политика информационной безопасности сервиса «Яндекс.Еда», в июне 2018 г. ответчиком получен сертификат соответствия требованиям международного стандарта безопасности PCI DSS”.
Как видно, суд не сильно был заинтересован помогать пользователю в процессе, и фактически топит истца в недоказанности позиции, все больше соглашаясь с правовой позицией ответчика.
Правда, городской суд Санкт-петербурга решение все равно отменил и вынес новое решение. Однако, сумма взысканной компенсации опять не выросла больше 5 000 рублей.
Уголовный процесс
Из гражданского процесса и из самой позиции компании при полном равнодушии к обстоятельствам дела самого суда, нам к сожалению, не удалось узнать никаких деталей, связанных с произошедшей утечкой. Доступ к материалам дела об административном нарушении Роскомнадзором также не предусмотрен ни публично, ни по индивидуальным запросам, если вы не являетесь стороной, непосредственно привлеченной к административному производству. Поэтому у нас оставалась надежда, занырнув в уголовное дело на стороне потерпевших, получить чуть больше информации о самой утечке. После того, как Следственный комитет вынес Постановление о возбуждении уголовного дела по поводу утечки из «Яндекс.Еды» по трем составам:
- ч.1 ст. 137. УК РФ (нарушение неприкосновенности частной жизни);
- ч.3 ст. 272 УК РФ (неправомерный доступ к компьютерной информации);
- ч.2 ст. 273 УК РФ (создание, использование и распространение вредоносных программ).
мы заявились в процесс от лица наших заявителей с ходатайством адвокатов о признании граждан в качестве потерпевших по уголовному делу, однако в этом всем было отказано.
Позиция Отдела киберпреступлений СК РФ сводится к тому, что сведения о заявителях (включая их имена, адреса жительства и телефоны) незаконно полученные и распространенные в результате совершения преступления, не могут быть отнесены к сведениям о частной жизни лица, образующим личную или семейную тайны. 23 августа 2023, не желая вмешиваться в работу следствия, Басманный суд поддерживает эту позицию.
Выводы
Назвать это победой сложно, но на этом кейсе нам удалось вскрыть все подводные камни законодательства о защите частной жизни, ради которой все новшества в части регулирования персональных данных и принимаются.
Результаты нашего эксперимента в полях все еще неутешительны для самих пользователей:
Несмотря на наличие множество гражданско-правовых, административных, уголовных мер защиты приватности гражданина, самостоятельное использование правовых инструментов защиты представляется неэффективным и затруднительным для пользователей, не обладающих специальными знаниями и юридическими компетенциями
Компании не готовы признавать утечки, сообщать о них публично, нести какую-либо ответственность перед пользователями, самостоятельно принимать меры, направленные на возмещение причиненного ущерба своим клиентам
Роскомнадзор не готов, да и не способен защитить чьи-либо права ввиду отсутствия независимого статуса (вряд ли он будет проверять и наказывать госкомпании), а также адекватного наказания за утечки в действующем КоАП (60к рублей все еще max штраф)
Суды не готовы применять институт групповых исков в отношении крупных IT-операторов, не принявших достаточные организационно-правовые и технические меры защиты персональных данных пользователей, что и приводит к утечкам
Суды не готовы подвергать компании, допустившие утечки пользовательских данных, каким-либо существенным суммам взыскания в пользу граждан. Максимальная сумма компенсации во всех случаях не превысила 5000 рублей.
Правоохранительные органы не готовы признавать даже широкий объем утекшей пользовательской информации в качестве сведений о частной жизни лица, и следовательно, осуществлять доследственную проверку компаний и расследовать вопросы, связанные с обстоятельствами утечек в отношении граждан.
Отсюда можно сделать вывод, что если ваши данные утекли, у вас не остается практически никаких инструментов защиты. Вы предстанете голым и незащищенным не только перед компанией, которой вы доверили данные, и тем, кто эти данные украл, но и почувствуете абсолютную беспомощность, когда обратитесь за помощью к государству и тем нормам права, которые специально были приняты для того, чтобы обеспечить право на тайну частной жизни.
Все это не способствует тому, чтобы компании относились к защите данных не как к карго-культу, а как к своей прямой обязанности перед пользователями для обеспечения которой компании надо тратить ресурсы и нанимать в штат подготовленных кадров в области защиты информации и data privacy. Если что, мы это умеем и всегда готовы наладить бизнес-процесс так, чтобы утечек в принципе не произошло, а если даже и произошло (все таки на все 100% от этого не застрахован никто), то компания правильно реагировала на такие инциденты.
Мы все еще продолжаем работать в поисках путей и других стратегий защиты, намереваясь переломить судебную практику по утечкам и отношения к этому компаний. Впереди нас ждет кассация, а также еще несколько интересных инициатив, которые мы сейчас готовим и о которых в самое ближайшее время расскажем.
Stay tuned!
Комментарии (93)
Sedoy66
24.09.2023 16:13-53на другой чаше весов какая стояла цель? оборотные штафы и разорение яндекса?
sardarbinyan Автор
24.09.2023 16:13+58Для нас - создание положительной практики по коллективным искам, в том числе связанным с защитой права на приватность. В оборотные штрафы я не верю. Да и вряд ли государство готово к тому, чтобы само себя выпарывать и наказывать штрафами госкомпании, которые в большинстве и текут. Да и на что это похоже? Переливание из одного кармана в другой? Пользователям от этого ни горячо, ни холодно.
ifap
24.09.2023 16:13+1Позвольте тогда уточнить (и собрать свою порцию минусов): в чем эта положительная практика должна заключаться? Штраф - нет. Просто судебное решение: да, истцы правы, а Яндекс - не прав? Но без (оборотного) штрафа ему? И в чем тогда положительность этой практики? Ну признали Яндекс виновным, покачали головой, а Яндекс слушает да ест... В оборотные штрафы Вы не верите, в штраф в 60к - тоже, а во что тогда верите? Я не доматываюсь, мне непонятно, на какой сухой осадок Вы рассчитывали?
sardarbinyan Автор
24.09.2023 16:13+1изменение судебной практики - это длительный процесс. Он заключается в том, что вы поднимаете планку суммы компенсаций через последовательное обжалование неправосудного акта, действий или бездействия. В какой то момент одно из решений с более высокой суммой компенсации внезапно засиливается. Возможно и через кассацию ВС РФ. Тогда это создает возможность сторонам ссылаться на единообразие судебной практики, а судьям, имеющим меньше оснований полагать, что судебный акт отменят, более уверенно удовлетворять требования коллективных истцов как класса при доказанных случаях халатности оператора. Вот на это и расчитываем.
ifap
24.09.2023 16:13А, то есть Вы хотите стрясти много денег, но не в виде штрафа, а в виде возмещения вреда? Теперь понятно. ИМХО Ваши желания желаниями и останутся: бизнес всегда занесет по принципиальным вопросам, именно чтобы не было прецедента, а если он и будет, то ответчик станет размахивать сотней других с противоположным исходом. Тут скорее поможет массовость, независимо от суммы, на которую будет вынужден обратить внимание ВС и вякнуть какое-нибудь разъяснение. И то не факт, что оно будет в пользу граждан, ибо см. выше рис.1 фиг.4 "Бабло решает" :(
sardarbinyan Автор
24.09.2023 16:13+2не сожрем, там покусаем. ))) Конечно, нам не нужен штраф. Вы о чем? Штраф никому не нужен, кроме российского бюджета, который потратит их на войну. Точка еще не поставлена, работа продолжается, хоть ваши прогнозы и унылы.
ifap
24.09.2023 16:13+1Штраф никому не нужен
Тут не соглашусь: если задача - отучить разбрасываться ПД, то все едино, в каком виде виновный лишится денег, цель все равно достигается. Возмещение, а не штраф - это лишь стимул потерпевшим судиться. Мои прогнозы - моя практика, а она совсем не универсальна.
ThePolymer
24.09.2023 16:13+6Необходим институт репутации, его просто нет. Если пару раз показательно ПО ЗАКОНУ наказать ООО за потерю личных данных, это заставит всех остальных серьезнее относится к защите.
Maximuzz
24.09.2023 16:13+3у нас в городе, висит с десяток вакансий, по информационной безопасности от гос контор с зарплатами от 40к до 60к, вот такое "серьезное отношение" просто это никому не нужно.
ThePolymer
24.09.2023 16:13+10Так это замкнутый круг. И вы спросите, но при чем тут Путин? Поясню: если бы ВВП знал, что его поймают на лжи (можно взять любого чиновника, любое обещагние хоть из 2004 года), он знал бы что репутацией надо дорожить, а значит и врать нельзя и в суде можно проиграть и так далее. А так как суды в РФ не работают, свободы слова нет, уличить во лжи не получается, института репуации нет, следовательно, зарплаты по информационной безопасности в разы ниже чем в мире. Так как безопасность просто не нужна, народ и так хавает. В прямом и переносном смысле.
gxcreator
24.09.2023 16:13+8А как работает институт репутации в странах с более лучшими судами?
Поясните пожалуйста, как это работает на примере самых известных и крупных утечек - Equifax, Twitch и Sony pictures.ThePolymer
24.09.2023 16:13+3Элементарно: после утечки сначала некрупное падение капитализации. Если репутацию сильно подмочили, то и кредит не взять и акции особо не нужны. Иногда репутация убивает многомиллиардные бизнесы.
Посмотрите для примера на компанию с оборотом более 10 000 000 000 в год (10 миллиардов долларов). Их уличили не в утечке, а в других грехах, что тоже подмочило репутацию. Сначала скандал обвинение в мухлеже с отчетностью, потом скандал про секс домогательства (правда замяли), потом скандал с искажением годовых планов и обман акционеров... Я говорю про Compaq в 1998-2001 годах. Когда все три группы скандалов стали всем известны (спасибо свободе слова) - акции за год упали в 2 раза. Ну да, инвесторов мало беспокоил секс скандал, попытка обмана в отчетах куда более серьеезное по их мнению, преступление.
Но вот вопрос: Где сейчас Compaq?
Ответ: А нет больше такой компании.
larasage
24.09.2023 16:13-2Так мухлевали-то не от хорошей жизни, скорее всего. Компания катилась-катилась.. и докатилась.
gxcreator
24.09.2023 16:13+8Интересно, как вы проигнорировали три приведённые компании и переключились на удобный пример, который не связан с утечкой, а включает в себя серьёзные уголовные преступления включая махинацию с отчетностью по части прибыли.
Неужели вы думаете, что если вскроется завышенная прибыль компании из РФ, инвесторы не побегут из акций компании?
alek0585
24.09.2023 16:13+6Если компания не в состоянии обеспечить защиту данных своих клиентов, то ей прямая дорога в утиль
Hlad
24.09.2023 16:13+1Ну, так то если бы прокатил коллективный иск, и по пять тысяч за каждого слитого человека - уже это научило бы следить за персональными данными...
nidalee
24.09.2023 16:13+2разорение яндекса?
Я бы не отказался, а то эти собаки монополизировали рынок доставки еды и теперь совершенно не стесняясь ставят «бесплатная доставка от 10200 рублей!» и цену на доставку лепят 600 (при заказе на 1500). И это даже не то чтобы неожиданно.
CptAFK
24.09.2023 16:13Полагаю это не доброта от яндекса с бесплатной доставкой, а сам ресторан сообщил что возьмёт на себя стоимость доставки и компенсирует яндексу разницу.
nidalee
24.09.2023 16:13Может и так, но совпадением рост цены на доставку в 5 раз язык назвать не поворачивается.
Меня, как клиента, ценообразование стоимости доставки волновать не должно. Только результат. А результат таков, что через год после покупки Delivery Яндексом, цена доставки в нем стала даже больше, чем в Яндекс Еде. Переезжайте в другое приложение, ребята.
Boilerplate
24.09.2023 16:13Да, если компания сливает налево и направо данные пользователей, включая адрес, телефоны фио - туда ей и дорога. Из плюсов тут только то, что теперь я знаю по каким номерам звонить соседям, когда мне с ними надо связаться. Из минусов - соседи тоже знают по каким звонить. Ах, да, еще сдэк из той же компании любителей сливать всё чуть ли не онлайн.
navion
24.09.2023 16:13Только крупные штрафы могут заставить компании серьёзно отнестись к ИБ.
А без них сотрудники и дальше будут обмениваться сканами паспортов через WhatsApp и игнорировать сообщения об уязвимостях.
escapist4908
24.09.2023 16:13+43Спасибо за этот эксперимент, даже отрицательный результат это все же результат.
Отдельный респект юристам, которые делают свою работу даже понимая, что итог немного предсказуем - по мне так это очень сложно.sardarbinyan Автор
24.09.2023 16:13+28но мы еще не закончили. Поэтому и указал, что предварительные.
evoq
24.09.2023 16:13-19В России жизнь ничего не стоит, а тут про перс данные. Наверное стоит идти по порядку, а начинать с конца надеясь прийти а началу и исправить его - не тот случай
sardarbinyan Автор
24.09.2023 16:13+37И что теперь до прихода «Теплой России Будущего» ничего не делать?
Emulyator
24.09.2023 16:13Почему-то думал Midjourney AI делает более качественные изображения.
bolk
24.09.2023 16:13Он делает, но нужно стараться, подбирать подсказки )
ZhilkinSerg
24.09.2023 16:13А как любая подсказка поможет пальцы или глаза научиться рисовать тому, что не умеет этого делать?
ifap
24.09.2023 16:13+8Коллеги, а не нарабатывали ли вы практику по ч.3 ст.11 О ПД и ч.4 ст.16 ЗоЗПП, т.е. о запрете вымогательства персданных?
olku
24.09.2023 16:13+6В европах слив тоже нормально не монетизируется. Штрафы оборотные есть, но регуляторы их применяют так, что это больше напоминает рэкет (см. штрафы Гугла в Ирландии). Надзорный орган лишь собирает жалобы и доказательства.
Была забавная история. Мониторил топ сайтов по доменным зонам ЕС, и тестировал реакцию на репорты от personal data protection authorities. Они обычно "анонимам" не отвечают, но латвийский благодарил. До тех пор, пока не получили в списке кроме прочих сайт налоговой инспекции, у которой висела интеграция с фейсбуком и твиттером, включенная по умолчанию.
ThePolymer
24.09.2023 16:13+10Выражаю большое человеческое спасибо автору поста за их работу. Терпения и удачи!
anonym0use
24.09.2023 16:13+1Чтобы гос-во и озаботилось приватностью граждан? не смешно даже, особенно сейчас.
Защитить свою личную жизнь сможете только вы самостоятельно, это как с похудением, эту задачу невозможно переложить на кого-то еще.
karavan_750
24.09.2023 16:13+2Хотя у нас право не прецедентное, обратите внимание на практику дел касательно ПД каких-нибудь представителей власти.
Daddy_Cool
24.09.2023 16:13+10Вот это прекрасно!
"Мы ... проделали невероятную работу, чтобы объяснить пострадавшим пользователям, почему важно судиться... приходилось терпеливо разъяснять гражданам, не доверяющим в принципе ни самому закону, ни судам... Люди просто напросто не верят, что закон может служить реальным инструментом защиты информационной приватности".
И в результате...
"...если ваши данные утекли, у вас не остается практически никаких инструментов защиты. Вы предстанете голым и незащищенным не только перед компанией, которой вы доверили данные, и тем, кто эти данные украл, но и почувствуете абсолютную беспомощность, когда обернетесь к государству и тем нормам права, которые специально были приняты для того, чтобы обеспечить право на тайну частной жизни".
ВЕРДИКТ: ЛЮДИ ПРАВЫ.
---
Сорри за ёрничанье и скептицизм - вы делаете важное дело. То что компаниям на ПД наплевать это понятно, но капля камень точит и может что-то начнет меняться?
Popadanec
24.09.2023 16:13+2Со штрафами в 60тыр? Это было абсолютно ожидаемо.
Когда его выписывали, смеялись, и когда его Яндекс увидел, тоже смеялись.
ne555
24.09.2023 16:13+1У нас было 20 нотариальных доверенностей (как требует ст. 244.20 ГПК РФ для групповых исков), 1008 подписанных заявлений о присоединении к иску, а также 1 компьютерно‑техническое исследование, 3 адвоката, 2 юриста и пинта чистого дофамина
У вас, что не было самого главного: слитой в паблик БД?
Кстати, гражданские юр. институты не планируют в ближайшем будущем требовать справедливой, аналогичной расправы на Сбером в судах, не знаете?
Цитата из лички:
"""
Здравствуйте! ... про сливы сбербанк спасибо. Я готовлю коллективный иск, по разным ботам прогнал потенциальных доверителей, везде подтверждение имеется. Но мне в качества доказательства необходимо приобщить к иску в суд саму базу на флешке. Скажите, пожалуйста, как её достать, если Вы знаете? Прочёл кучу форумов, нигде нет ссылок, но она ходит по узкому кругу лиц.
"""
zabanen2
24.09.2023 16:13+3прям представил, как Иван тащит в суд эксельку на 100 мб на флешке, а его прямо из зала суда уводят за распространение и утечку этих данных
Yuribtr
24.09.2023 16:13+2У нас было 20 нотариальных доверенностей (как требует ст. 244.20 ГПК РФ для групповых исков), 1008 подписанных заявлений о присоединении к иску, а также 1 компьютерно-техническое исследование, 3 адвоката, 2 юриста и пинта чистого дофамина. Не то чтобы это был необходимый запас для суда, но раз уж начал готовить первый групповой иск по утечкам к гиганту, то сложно остановиться...И мы пошли в суд.
Осмелюсь предположить, что вам надо было взять в истцы людей, которые более заметны в обществе. И через них активнее раскрутить тему в СМИ. Потому что одно дело неизвестный Вася Пупкин, а другое дело какой нибудь певец ротом, у которого из за деанона сорвались графики выступлений или нервы. Ну и приложить справочки об упущенной выгоде или из скорой помощи. Так глядишь веселее дело пошло бы.
Harwest
24.09.2023 16:13-1Певец ртом ест шаверму из я.еды?
nidalee
24.09.2023 16:13Ладно еще певец ртом…
Одним из «новшеств» слитой базы стал список знаменитостей, чьи личные данные были тщательно рассортированы и выставлены на всеобщее обозрение. С его помощью пользователи рунета могут полюбопытничать и узнать, сколько популярные личности потратили на «Яндекс.Еду» за полгода и, возможно, вычислить их любимые рестораны. Например, дочь пресс-секретаря президента РФ Дмитрия Пескова Елизавета отдала более 87 тысяч рублей за доставку, а самым частым местом заказа оказалось московское кафе Touch of matcha.
medialeaks.ru/1805rgg-str-yandex-eda-new
Megabyte88
24.09.2023 16:13+2Есть тут адекватные юристы? Поясните за "Перс данные"="Сведения о частной жизни". Вот на мой субъективный взгляд, это нихрена не так. Как по мне: перс. данные - это через что можно 100% меня определить. А сведения о частной жизни- это всё, что скрыто стенами моей собственности или кабинки санузла в обществ. месте.
MikhailZakharov
24.09.2023 16:13+1Вопрос хороший. Трудность в том, что определение этого термина не дается. Но было определение конституционного суда
термин "частная жизнь" раскрыл КС РФ в одном из своих определений, указав, что право на неприкосновенность частной жизни означает возможность контролировать информацию о самом себе и препятствовать разглашению сведений личного, интимного характера. В понятие "частная жизнь", подытоживает Суд, включается та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если она носит непротивоправный характер
Xeldos
24.09.2023 16:13относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если она носит непротивоправный характер
А вот это красиво. То есть вы можете делать за закрытой дверью что угодно, это ваше личное дело, но мы всё равно попробуем проверить, а вдруг вы там что-то такое нарушаете?
sardarbinyan Автор
24.09.2023 16:13+1ну да, где и на сколько вы жрали к тайне частной жизни отношения никакого не имеет? Подумайте об этом ) А я вот вам историю пока расскажу про то, как жена развелась с мужем, который должен был быть в командировке в Карсноярске, а по утечке "Я.Еды" выяснилось, что в час ночи он заказывал суши на двоих в гостиницу на Якиманке.
MikhailZakharov
24.09.2023 16:13+3Можно ли было сослаться на решение Роскомнадзора о том, что утечка была, и использовать это в доказательной базе, в дополнение к скриншотам и т.п. Насколько это был весомый аргумент, или суд может сослаться на то, что не известно были ли персональные данные именно истца в той утечке?
sardarbinyan Автор
24.09.2023 16:13+2Мы и ссылались, конечно, на преюдицию. Даже вовлекали их в процесс. Но вот к уголовному делу нас так и не пустили, поэтому, в чем была действительна причина знает только Я.Еда и РКН. Но не жертвы утечки.
freeExec
24.09.2023 16:13Надо действовать привинтивно, пинать негодяев за проставленные галочки согласия на всё с мелкой припиской, что отказаться можно сделав два раза КУ лично в кабинете начальника. Никаких обработок ПД в течении 50 лет после завершения действия договора и прочего.
Emulyator
24.09.2023 16:13+2Насколько я понимаю как обыватель, то для того чтобы получить какую-то компенсацию нужно подтвердить/обосновать материальный ущерб в денежном выражении. В случае компенсации морального вреда, можно конечно запрашивать любые суммы, но насколько я помню, отечественный суд не пропускает произвольные суммы, и может удовлетворить иск на небольшую сумму, причем размер её индивидуален, (грубо говоря моральные страдания бомжа-алкоголика и представителя театральной богемы могут быть оценены по разному и коллективный иск тут неподходит по формату) . Для кого-то упомянутая сумма в 5К - ничто, а кто-то будет рад таким оплачиваемым утечкам, а 100К, ИМХО, все же требует индивидуального обоснования истца.
В тоже время хочу поднять, оставленный без внимания, но, по моему мнению, интересный вопрос. Факт утечки ПД автоматом делает виновным оператора обрабатывающего эти ПД? Грубо говоря, если на поселковую поликлинику нападет группа вооруженных лиц, должны ли все сотрудники кидаться грудью на автомат в попытке остановить утечку ПД и всяких медицинских секретов из карточек пациентов? Может есть набор достаточных по закону, но увы, не всегда предотвращающих утечку мер, или априори считается, раз утечка произошла, значит меры недостаточны(юридически)? И если есть такие критерии, то, имхо, разумно оценивать размер штрафов исходя из (не)приложенных ответчиком усилий по обеспечению безопасности ПД.
Например, у кого-то все защищено по первому классу, но в результате использования уязвимости нулевого дня произошла утечка, то такая организация виновна в той же степени, как и та, у которой базы с ПД на флешках вместе сериалами сотрудники домой каждый день носят?
Да и в целом странно все это выглядит: обокрали квартиру - виноват вор (а не плохой замок), ограбили банк - виноваты грабители (а не банк), жулики слили ПД - виноват оператор ПД, ну если утрировать. )
MTyrz
24.09.2023 16:13+1Скажем так: во всех случаях, когда вы имеете дело с потенциальным вредом для третьих лиц, вас проверят на принятие необходимых мер для исключения этого вреда. Если банк из вашего примера хранил деньги в мешках в вестибюле, а не в отдельной комнате с сигнализацией и ограниченным доступом — банку мало не покажется, хотя грабили его грабители. Если у вас украли ружье, висевшее на стене рядом с набитым патронташем — вам тоже мало не покажется, потому что оружие должно храниться в сейфе, и это проверяют (заодно участковому, который это обязан проверять, может тоже прилететь).
Если оператор ПД докажет, что атакующие использовали свежую (а не позапрошлогоднюю) уязвимость, и дело вовсе не в наклеенных на мониторы бумажках с рутовым паролем (я утрирую, понятное дело)…
Но это уже надо доказывать. Как и хранение оружия в сейфе, и ограниченный доступ в деньгохранилище.Emulyator
24.09.2023 16:13Вот и я так думаю. Также предполагаю, что закручивание гаек принципиально не решит проблему с утечками. Информацию тяжело одновременно использовать в работе и в тоже время удержать в пределах периметра использования, поэтому упор по факту только на громкие, массовые утечки, хотя отдельному человеку не легче, слит он один или среди многих. С одной стороны люди требуют наказаний и компенсаций за утечку своих ПД, с другой стороны они же работают в банках, школах, больницах, юридических фирмах и т.д. и в лучшем случае участвуют в театре безопасности собирая какие-нибудь формальные согласия или ставя подписи, а по факту большинство работает так же, как и до принятия законов о защите ПД. Без всяких там сейфов, журналов, смены паролей, соблюения политик "чистого стола", шумовых датчиков на стеклах и прочего.
Даже интересно было бы услышать в отдельной статье или хотя бы в комментариях, а как сами авторы показательно правильно организовали у себя работу с ПД тех же лиц пострадавших от утечки? Наверняка нашлось бы не мало действительно специалистов готовых обсудить такие схемы, ведь специалистов, способных объективно оценить юридическую часть, тут намного меньше и истина ускользает... )
MTyrz
24.09.2023 16:13+1Скажем так: если за утечки не наказывать вообще, или наказывать формально (60 килорублей штрафа для Яндекса, ага), будет большой соблазн забить и не тратиться на их охрану вообще. Как во времена, когда я занимался природоохраной, лесопользователям было выгоднее платить копеечные штрафы, чем организовывать лесопользование в соответствии с законодательством (кстати сомневаюсь, что сейчас что-нибудь поменялось в лучшую сторону). Т.е., какое-то закручивание гаек наверное нужно, особенно с учетом того, что утечка ПД сейчас грозит совершенно реальными проблемами для их владельцев. Понятно, что это закручивание будет работать только до определенных пределов, дальше проще будет закрыть компанию или изначально не связываться.
Не знаю, есть ли тут хорошее решение. Хорошо, что я не специалист по ИБ :)
sardarbinyan Автор
24.09.2023 16:13+2По размеру компенсации. Тут велосипед придумывать не надо. Также как и подменять понятия. Если установлено, что оператор один и тот же, категории ПДн (которые подверглись утечки) одни и те же, и данные стали доступны третьим лицам при одном и том же инцидинте, суд должен определить группу как класс. И далее исследовать обстоятельства и устанавливать суммы компенсации.
По суммам компенсаций не надо придумывать велосипед. Все уже придумано. Пример CCPA. Пожалуйста, если данные пользователя были потеряны или украдены, компания должна будет заплатить от 100 до 750$ каждому пострадавшему, без необходимости пострадавшим доказывать размер ущерба и последствия. Хочешь больше? Welcome! Иди с индивидуальным иском, если можешь нанять адвоката.
Очевидно, определяя общую сумму взыскиваемой компенсации, суд (также как и регулятор, накладывая штраф) должен оценить, насколько в компании были внедрены и соблюдались политики по приватности и информационной защите. Если компания по всем показателям проявила себя безупречно (внедрила и соблюдала все политики, быстро в паблике рассказала об утечке, выплатила компенсации, провела внутренне расследование) сумма компенсации может быть снижена или вовсе сведена к нуля.
Emulyator
24.09.2023 16:13По размеру компенсации. Тут велосипед придумывать не надо.
По суммам компенсаций не надо придумывать велосипед.
А чем размеры отличаются от суммы? Как я уже писал, я - обыватель и высказываю свои суждения, и не очень понимаю в чем я ошибаюсь. Почему велосипед придуманный где-то в другой стране в текущей для той страны ситуации надо слепо копировать без обсуждений, потому что в этому убежден автор, что велосипед с оборотными штрафами не сработает? Почему штрафы кошмарят бизнес, а коллективные иски не будут кошмарить? Утрирую, но почему не заменить все штрафы коллективными исками или какие-то штрафы все же работают?
Если компания по всем показателям проявила себя безупречно (внедрила и соблюдала все политики, быстро в паблике рассказала об утечке, выплатила компенсации, провела внутренне расследование) сумма компенсации может быть снижена или вовсе сведена к нуля.
В чем выгода рассказа в паблике об утечке? Ведь это повышает вероятность того, что об этой утечке узнает и оперативно воспользуется бОльшее число жуликов. Почему не требовать оперативного уведомления о совершенном преступлении в правоохранительные органы? Практика раздувания в сми на примере с тем же яндексом привела к мгновенному возникновению и популяризации сервисов использующим утекшие ПД.
Как можно сначала выплатить компенсацию, а потом снизить её сумму, для меня загадка.
ildarz
24.09.2023 16:13Суд разъединяет иск на 20 отдельных производств, ссылаясь на то, что в указанном деле у группы истцов нет однородных прав и законных интересов.
А в вышестоящем суде подобное решение можно оспорить, или если первая инстанция не приняла - то с концами?
Dreaming
24.09.2023 16:13+2Яндекс прикрывают везде где только можно, это касается практически любых дел, связанных с этой компанией. У меня к сожалению нет статистики, но я думаю если бы она была, то всё встало бы на свои места)
Antbor
24.09.2023 16:13Вот поэтому в стране безопасники толком и не востребованы. Зачем, если можно отделаться штрафом в 50к и работать дальше.
shmutz
В утечке Я.Еды особо ПД то не было. ФИ без отчества да тлф. ) на МТС-Банк бы лучше вскукарекнули или на Департамент ИТ МСК, а то выглядит какой-то убогой заказной показухой.
а уж какие данные из госуслуг/ментовских/пфр/итд баз утекают.... ммм.... Рискнете киберкукарекнуть?
iburanguloff
"Выглядит как заказуха" - это можно сказать о любом споре. Судятся за права? Заказуха. Пишет комментарий о заказухе? Заказуха. Котик своровал котлетку? Заказуха.
И правда - что тут такого?
Вы можете быть первым, чтобы сэкономить время всем остальным, и рассказать о своем опыте, а не говорить кому что делать
Ionenice
Не, ну тут явная подстава, котик не стал бы воровать всего одну котлетку
dewil
А как же локация точки доставки заказа?
aol-nnov
с прискорбием заявляю, что кукарекаешь тут пока только ты...
из еды будешь или из отрядов этих, как их... неуловимых джо, которым нечего скрывать в "этих ваших энторнетах"?
seepeeyou
свои имяфамилие и мобилу кидай. это ж не особо ПД. а не кинешь - балабол.
Pavel7
В утечке были ФИО + адреса + телефоны (не помню, были ли и email-ы) + заказы за большой промежуток времени. Даже интересно, как это можно выписать из ПД.
Уровень дискуссии на уровне двача, а может быть даже и выше.
Earthsea
Двач даже в телевизоре побывал, теперь это известная и уважаемая площадка, лол.
Popadanec
Какой стол, такой и стул.
foxyrus
Напомню - российский суд признал !кукисы! (cookies) персональными данными и заблокировал в РФ linkedin
GDragon
Вы не понимаете, это другое!
ЛинкедИн это вражеская площадка, а Yandex N.V. своя, исконная.
Didimus
Своя, голландская, родная
ifap
Заблокировал РКН, а суд ничего про кукисы не говорил от слова совсем. Там вполне стандартное (для нашего времени) решение: удовлетворить иск, потому что
учение Марксадоводы заявителя (РКН) - верные. В чем их верность, в чем неверность доводов ответчика - суд в нарушение норм ГПК никак не разъясняет (но мы-то знаем: в том, что всесильные). А вот про то, что кукисы - это персональные данные суд не сказал ни слова, и какие именно доводы заявителя он счет убедительными - тайна сия велика есть.Ohar
Там были имена, номера квартир и суммы. Вы о чём вообще?
vikarti
А какая собственно разница на каких именно кошках тестировать механизм чтобы вскрыть грабли?
Dolios
А я то думаю, чего это прокуроры всякие стали отчество путать..