Несколько дней назад русскоязычное медиа-пространство всколыхнула новость об утечке данных пользователей почтового сервиса Mail.ru. По данным некоторых источников, речь идет о персональных данных 3,5 миллионов пользователей. Звучит достаточно масштабно.
Давайте разбираться, что произошло и каковы последствия для сервиса и его клиентов.
Love to work together
Поможем привести компанию к соответствию законам о защите персональных данных.
Итак, 13 января 2023 года в сети Интернет неизвестными были опубликованы данные 3 505 918 пользователей почтового сервиса Mail.ru. Публикация содержала следующую информацию о пользователях: ID в системе; фамилия и имя пользователя; никнейм пользователя; номер телефона (1 647 711 уникальных номера); адрес электронной почты.
«Пользователям почтового сервиса ничего не угрожает, сервис надёжно защищён. Результаты проверки показали, что опубликованные данные связаны с утечкой стороннего ресурса в начале прошлого года».
Заявила пресс-служба почтового сервиса Mail.ru.
Каковы последствия?
Что касается последствий для субъектов данных, единственное, что пока можно с точностью отметить – это своего рода депсевдонимизация в сервисе, а вот степень негативного влияния на пользователей очевидно будет разниться, поскольку всецело зависит от степени и характера активности конкретного пользователя в сервисе.
Как вы все знаете, Mail.ru – это не просто почта. На сервисе можно осуществлять разные активности, например обсуждать разные вопросы, в том числе и провокационные. Так степень и характер активности конкретных пользователей станет причиной того, что на некоторых пользователей можно будет собрать целое досье, возможно, с компрометирующей их информацией (использовать ее может кто-угодно и с какой-угодно целью), некоторые же никак не пострадают.
Говоря же о последствиях для самого сервиса, первые последствия мы уже можем наблюдать. Согласно п. 1 ч. 3.1 ст. 21 Федерального закона «О персональных данных» (ФЗ-152), оператор обязан в случае утечки данных уведомить уполномоченных орган в течении 24 часов с момента обнаружения факта утечки данных, уполномоченным органом постановлением правительства был определен Роскомнадзор. Однако любопытным является факт, что медиаресурс Интерфакс, собирая информацию об инциденте, обратился к Роскомнадзору за комментарием и позже написал: «В Роскомнадзоре “Интерфаксу” позже сообщили, что проверят информацию о возможной утечке, и напомнили, что в соответствии с законодательством о персональных данных оператор должен уведомить РКН об инциденте в течение суток с момента происшествия». Так, исходя из имеющихся фактов и ответа госоргана, следует, что почтовый сервис Mail.ru не уведомил Роскомнадзор об утечке.
Далее, согласно ФЗ-152 события должны разворачиваться по следующему сценарию:
- Роскомнадзор проведет проверку на предмет принятия оператором необходимых мер по обеспечению безопасности персональных данных при их обработке, в соответствии со ст.19 закона, и, более того, если кто-то из пользователей решит, что потерпел моральный вред, расследование будет и по факту этого заявления. От результатов расследования будет зависеть, понесет ли Mail.ru ответственность за свои действия, в том числе, возникнет ли обязательство возместить пользователям моральный ущерб.
- Mail.ru столкнется с последствиями своего нарушения (неуведомление Роскомнадзора) в соответствии со ст.24 ФЗ-152.
Как видно, перспективы пока не очень радужные. Именно поэтому позже в наших статьях мы поговорим о том, какие меры следует предпринимать бизнесу для того, чтобы свести к минимум саму возможность такого рода происшествий.
Забронируйте бесплатную консультацию прямо сейчас!
- Внедрение GDPR
- Обучение GDPR
- Выстраивание системы защиты персональных данных
- Минимальный комплаенс для выхода на новые рынки
- Индивидуальные решения по вашим запросам