четверг, 16 апреля 2009 г.

Как оценить ущерб, причиненный субъекту персональных данных?


  Мы постоянно слышим про ущерб, который будет причинен субъекту, если его персональные данные станут общедоступными по вине оператора. А как можно оценить этот ущерб и кто это может сделать? Сам субъект? Оператор (парадокс заключается в том, что зачастую на этапе построения системы ущерб оценивает оператор, а не сам субъект)? Если персональные данные станут достоянием общественности, то какой-либо значительный ущерб будет нанесен не более 5-7% субъектам из всего массива ПДн, обрабатываемых в ИСПДн организации (здесь я не имею, конечно, в виду секретные объекты и т.п.). Если мои данные есть на сайте http://radarix.com/ (также на этом сайте есть данные всех жителей России :)) или на дисках на горбушке или савеловском рынке, то мне от этого ни жарко, ни холодно. Может наоборот, я завел свою страничку в Интернете со всеми своими регалиями, чтобы обо мне узнало как можно больше людей... К этому вопросу можно подойти с другой стороны. Например, если станут доступными данные моих банковских счетов, кредитных историй, номеров кредитных карт с пин-кодами и т.п., т.е. те данные, утрата (компрометация) которых мне может нанести реальный материальный ущерб, потерю репутации или проведение прямого шантажа. Для того чтобы это избежать существует обязательный к внедрению стандарт PCI DSS в кредитно-финансовых учреждениях.
  Для того, чтобы оператору привести свои ИСПДн в соответствие с требованиями 152-ФЗ потребуются достаточно большие материальные средства. При этом совершенно не учитывается тот факт, что в случае компрометации ПДн реальные ущерб от этого может быть совсем не значительным (в сравнении с затратами на построение защищенной ИСПДн). Для оператора, вероятно, оптимальным является такой вариант построения ИСПДн, затраты на реализацию которого (в соответствии с требованиями 152-ФЗ) ХОТЯБЫ БУДУТ СОПОСТАВИМЫ с ущербом причиненным субъектам ПДн. Может организации дешевле будет постоянно выплачивать штрафы, предусмотренные КоАП? Здесь есть другая сторона медали. Операторы, зная, что в случае возникновения инцидента смогут потратить значительно меньшие средства на штрафы и удовлетворение претензий субъекта, чем на построение защищенной ИСПДн, могут злоупотреблять этим. Вот здесь вступает в силу Уголовный кодекс РФ.

14 комментариев:

  1. Слишком большая нагрузка на один тост" (с)
    Давайте хотя бы отделим ущерб для оператора и ущерб для субъекта, а то совсем мешанина.

    ОтветитьУдалить
  2. Согласен, тему ущерба и для оператора и субъекта одним сообщением сложно ограничить. Что касается оператора, то его затраты (если говорить о финансовой стороне вопроса) можно разбить на 2 части, это затраты на внедрение СЗИ для ИСПДн (включая все процедуры лицензирования, сертификации и аттестации) и затраты, связанные с компенсацией ущерба субъекту, если произойдет инцидент по вине оператора. Интересно другое, были ли уже прициденты, вязанные с компенсацией ущерба, нанесенного субъекту в связи с невыполнением оперетором положений 152-ФЗ? Поделитесь этой информацией

    ОтветитьУдалить
  3. > это затраты на внедрение СЗИ для ИСПДн
    > и затраты, связанные с компенсацией

    Штрафик потеряли. 10000 руб за каждого из 20000 субъектов (по 13.11 КоАП) - это, на мой взгляд, более заметная сумма, нежели единицы из них в суде вытребуют. А вот затраты на внедрение, кстати, могут быть и нулевыми, если ИБ фирма не вчера занялась.

    > были ли уже прициденты
    Было что-то, когда в школе ребенку слили, что он усыновленный, но сумму не помню.

    ОтветитьУдалить
  4. Не ущерб, а убытки.

    Оценивать убытки, как каждому юристу известно, вправе суд. Если, конечно, субъект с оператором в досудебном порядке не договорятся.

    И Уголовный кодекс тут всуе помянут.

    ОтветитьУдалить
  5. Не претендую на чужую предметную область, но ущерб более интересно. Особенно если восстановление неизвестности ПДн лицам, ознакомившимся с ними, невозможно.
    А докрутить до убытков уже не проблема, наверно.

    ОтветитьУдалить
  6. С точки зрения оператора, это убыток, т.к. будет исчисляться конкретными денежными потерями. А для субъекта, это ущерб, т.к. он может быть не только материальный, но и моральный. Наверно как то так :).

    ОтветитьУдалить
  7. У обоих убыток (убыток = ущерб + упущенная выгода + судебные издержки, кажется), но интригует именно "ущербная" составляющая.

    ОтветитьУдалить
  8. Для infowatch: Наверно да, все таки если говорить об операторе, то для него и штрафы и компенсации, все это убытки.
    Когда говоришь об УК РФ, то это как-то эффективнее действует на руководство компании оператора...

    Для Ригель: Интересная идея восстановления неизвестности ПДн лицам ))), это как? Типа, если ПДн стали общедоступными по вине оператора, то обязать его либо заплатить неимоверный штраф, либо обязать оператора заставить всех кто успел ознакомиться с ПДн забыть эти данные )))

    Для Анонимный: Тоже разделяю эту точку зрения.

    ОтветитьУдалить
  9. Игорь, так в этом-то и засада: ущерб традиционно через стоимость восстановления считают, а с ПДН тут опаньки!

    ОтветитьУдалить
  10. Не совсем согласен с этим утверждением. Ущерб может быть материальным, имущественным, моральным… Следуя этой логике, первые два вида ущерба можно оценить по стоимости восстановления. А как мы можем оценить стоимость восстановления морального ущерба? У субъекта подорвана репутация или ущемлены права, как оценить их в денежном эквиваленте? Тут действительно опаньки!

    ОтветитьУдалить
  11. С моральным всегда так, если кто не знал.

    ОтветитьУдалить
  12. Думаю с этим, действительно согласятся все...

    ОтветитьУдалить
  13. Был прецедент, когда произошла утечка из Head Henter'ского агентства, они переманивали ТОР'а.
    Понеся потери, в виде существующей работы и репутации, соискателем было составлено очень красивое исковое заявление. HH агентство выплатило круглую сумму в досудебном порядке.

    ОтветитьУдалить
  14. Да, такие вопросы лучше решить в досудебном порядке по взаимному согласию сторон. Чаще лучше выплатить круглую сумму, чем нарваться еще и на возможное уголовное преследование...

    ОтветитьУдалить