Журнал "Information Security/ Информационная безопасность" #1, 2019

В настоящий момент все компании, так или иначе ведущие деятельность в Интернете, должны учитывать риски, связанные с утечкой данных. Игровая индустрия в этом отношении не исклю- чение, еще в 2011 г. данные значитель- ного количества игроков были скомпро- метированы. В 2018 г. Facebook также пострадал от утечки персональных дан- ных, что, помимо серьезного репута- ционного ущерба, также грозит как штрафами регулятора, так и граждан- скими исками. В российском законодательстве в настоящее время отсутствуют санкции для операторов за утечку персональных данных пользователей. Тем не менее Минкомсвязь разрабо- тала законопроект, покрывающий состав нарушения, связанного с незаконным раскрытием и распространением персо- нальных данных третьим лицам. Следует отметить, что формулировка является довольно широкой и включает в себя как случаи утечки персональных данных, так и сознательную передачу данных третьим лицам без согласия физических лиц. В случае принятия законопроекта максимальное наказание за указанное нарушение составляет 40 тыс. руб. для юридических лиц. Что касается превентивных мер, то Федеральный закон "О персональных данных" обязывает операторов прини- мать надлежащие правовые, организа- ционные и технические меры защиты персональных данных, включая прове- дение анализа потенциальных угроз для информационных систем. Однако, как правило, при проверках регулятор не изучает фактическую техническую защи- щенность ИТ-инфраструктуры, ограничи- ваясь рассмотрением документов. Таким образом, несмотря на наличие обязанностей по контролю за утечками, операторы зачастую могут игнорировать законодательные требования, учитывая высокие расходы на создание и поддер- жание надлежащей ИТ-инфраструктуры. Введение незначительных штрафов вряд ли приведет к значительным изменениям в практической имплементации средств защиты данных. Для сравнения: в ЕС недавно всту- пивший в силу GDPR устанавливает более значительные штрафы за раз- личные нарушения, включая утечку пер- сональных данных, которые могут дохо- дить до 20 млн евро или 4% годового оборота. Помимо этого, регуляторы имеют полномочия по ограничению дея- тельности оператора по обработке пер- сональных данных при наличии рисков утечки. Более того, GDPR обязывает опера- торов уведомлять национальных регу- ляторов о случаях утечки персональных данных, а в определенных случаях и самих лиц, чьи данные были незаконно получены третьими лицами. Неуведом- ление является самостоятельным нару- шением, которое также грозит штра- фом до 10 млн евро или 2% годового оборота. Следует отметить, что GDPR может применяться и к российским разработ- чикам видеоигр, если они предлагают свои услуги лицам, находящимся на тер- ритории Европейского союза. Высокие штрафы, установленные GDPR, служат единственной цели – обеспечить реальное соблюдение зако- нодательства в сфере персональных данных, поэтому практика их применения и ее влияние на различные индустрии, включая игровую, особенно актуальна в настоящее время. Положительное правоприменение GDPR может послужить фактором, побу- дившим законодателей иных стран также ввести более высокие штрафы для обес- печения соблюдения прав субъектов персональных данных. l • 17 ПРАВО И НОРМАТИВЫ www.itsec.ru Персональные данные в видеоиграх ак правило, компании из индустрии видеоигр собирают данные об игроках, включающие в себя имя, место нахождения, данные об устройстве, адрес электронной почты и иные данные. Зачастую игроки также идентифицируются путем привязки к аккаунту в социальных сетях. Таким образом, указанные данные в совокупности позволяют компаниям идентифицировать физических лиц и, соответственно, являются персональными данными. К Владислав Елтовский , юрист CMS, Россия Ваше мнение и вопросы присылайте по адресу is@groteck.ru

RkJQdWJsaXNoZXIy Mzk4NzYw