Если смотреть на штрафы за утечки персональных данных, информация о вас стоит совсем недорого – чуть больше одной копейки за пользователя (даже не 15 рублей). Тем не менее компания, допустившая утечку, теряет гораздо больше – клиент, который понимает, что его данные могут быть выложены в открытый доступ, дважды задумается прежде чем учиться у вас чему-то или заказывать еду.
Если данные клиентов утекают в Интернет, то к компании обязательно придет Роскомнадзор – этот государственный орган не только собирает обидные прозвища президента России и собирает кандидатов в иноагенты, но и наказывает предпринимателей за нарушения Закона о персональных данных. Защититься от штрафа в случае утечки практически невозможно – многие юристы (включая меня) пытались, но, насколько мне известно, никому это не удалось.
Исход проверки в любом случае будет негативным (от штрафа вам не спастись), поэтому проблему лучше предотвратить чем бороться с ее последствиями.
Какое наказание грозит за утечку персональных данных?
В комментариях под утечкой Skyeng пользователи возмущаются – как же так, наши данные может использовать кто угодно, а эти проклятые капиталисты получили штраф в 60 000 рублей?! Несмотря на ваш праведный гнев, здесь ничего не попишешь – максимальный штраф по ч. 1 ст. 13.11 КоАП РФ составляет 100 000 рублей при первом нарушении, а при повторном – до 300 000 рублей (неприятно, но и не смертельно – бизнес из-за этого не обанкротится). Обычно назначают меньше, так как компании стараются соблюдать требования Закона о персональных данных в большей или меньшей степени, и максимальный штраф назначается редко.
Но в будущем все может измениться – 13 января президент поручил ввести оборотные штрафы за нарушение Закона о персональных данных, и эта инициатива должна быть реализована к 1 июля. Этот штраф рассчитывается как процент от выручки компании, и он может быть болезненным для бизнеса. Например, выручка Skyeng в 2021 году составила 6 млрд рублей, и даже 1% от нее – 60 000 000 рублей (стоимость двухкомнатной квартиры на Маяковской).
Бизнес против такого оригинального способа пополнения бюджета, но если у Правительства дойдут руки до законопроекта по оборотным штрафам, то Госдума вне всяких сомнений возьмет инициативу президента под козырек.
Кто может быть оштрафован за утечку персональных данных?
Если вы думаете, что штрафы за утечки персональных данных касаются только большого бизнеса, к которому можно (часто необоснованно) испытывать классовую ненависть, то вы ошибаетесь. По закону операторами персональных данных могут быть любые компании и физические лица.
Например, если вы с друзьями разработали сервис по доставке безглютеновых пончиков и свекольных латте и для программы лояльности собираете имена, фамилии, отчества и телефоны клиентов, а потом в телеграм-канале "Россия без хипстеров" опубликуют их данные, то будьте готовы к тому, что к вам придет Роскомнадзор, и Таганский районный суд влепит штраф, даже если данные у вас украли злобные хакеры.
Если этот штраф станет оборотным, то к своим 6% налога на ИП можете смело добавлять 2-3% штрафа и закрывать бизнес.
Так что будьте осторожны с обработкой персональных данных и следуйте моим советам ниже.
Совет № 1: не собирайте данные клиентов, если они вам не нужны
Если вам кажется, что для вашего онлайн-курса нужны имена, фамилии, отчества, номера телефонов, адреса электронных почт вашего клиента, его родственников и друзей, то подумайте еще раз. В вопросах персональных данных почти всегда нужно руководствоваться принципом «больше не значит лучше» – собирайте самый минимум данных, которые вам правда понадобятся.
Например, если вы готовите рассылки для клиентов, то задайте себе вопрос – точно ли вам нужно что-то кроме имени и адреса почты или можно обойтись без этого? Если можно, то искренне советую вам так и сделать, иначе при утечке придет РКН и накажет вас.
Кроме того, если РКН найдет в открытом доступе имена ваших клиентов и адреса их электронной почты, то вы всегда можете попробовать доказать, что данные утекли не из вашей базы, а из базы другого оператора (например, СДЭК). Здесь дополнительно могу посоветовать не собирать данные о дате оставления заявки, потому что РКН сопоставит данные из утечки и вашей базы, и если даты будут совпадать, то РКН докажет, что утечка произошла именно из вашей базы.
Совет № 2: ограничьте круг работников, которые работают с персональными данными
Если вы думаете, что уборщица в вашей компании должна знать имена всех приходящих к вам клиентов – это не так, только избранные сотрудники вашей компании должны иметь доступ к персональным данным ваших клиентов, и каждый из таких сотрудников должен быть знаком с правилами обработки персональных данных.
Если вы не будете ограничивать доступ к персональным данным клиентов, то ваш дружелюбный менеджер по работе с клиентами может вдруг обидеться на то, что ему не выплатили премию, на которую он хотел свозить жену на Мальдивы (или хотя бы в Сочи), и увести базу ваших клиентов. Дальше он может либо слить данные в сети, и тогда Роскомнадзор постучится в вашу дверь, либо увести клиентов, либо (если у вас политический проект) отправить данные прямиком на Лубянку.
Я не предлагаю вам закрыть данные клиентов для всех менеджеров по продажам, ведь тогда их работа не будет иметь смысла, но можно установить разные уровни доступа: кто-то может только просматривать данные (в этом нет ничего страшного), а кто-то скачивать (тут надо максимально ограничивать доступ).
Ограничение доступа работников к персональным данным клиентов и выставление разных уровней доступа для разных категорий работников – ключ к борьбе с утечками.
Совет № 3: не храните персональные данные клиентов на своих серверах
Персональные данные клиентов хранятся в ИСПДн (информационная система персональных данных), и утекают они именно из этих систем. Защититься на 100% от утечек невозможно, часто вы в них и не виноваты (вас просто взломали и увели данные), но даже если утечка произошла без вашей вины, к ответственности за нее вас все равно привлекут.
Единственный реалистичный способ снизить риски утечки – хранить данные на специальных облачных сервисах, которые легко найти в сети по запросы "сервисы по хранению персональных данных" (за рекламу мне никто не платил, но вам будет достаточно первой страницы выдачи).
Несмотря на то, что оператором персональных данных по-прежнему будете вы (сервис работает по вашему поручению), такие сервисы обеспечивают более высокий уровень информационной безопасности, чем это можете сделать вы (едва ли вы готовы раскошелиться на отдел кибербезопасности).
Кроме того, в этом случае появятся дополнительные аргументы о том, что утечка произошла не по вашей вине, а значит формально вас нельзя привлечь к ответственности за утечку – вам, скорее всего, все равно назначат штраф, но хотя бы не обвинят в халатном обращении с персональными данными, что очень важно для сохранения репутации.
Совет № 4: разрабатывайте максимально подробные документы по вопросам персональных данных
Если у вас B2C бизнес, который особенно чувствителен к утечкам, я бы советовал вам разработать максимальное количество документов по персональным данным и следовать правилам, установленным в них. В этом случае если к вам придет Роскомнадзор из-за утечки, то вы сможете показать, что защита персональных данных для вас не пустой звук.
Также это поможет вам получить "позитивное" предписание об устранении нарушений, выявленных в результате проверки – проверяющие напишут, что у вас произошла утечка, но не смогут написать, какие нарушения они выявили. Затем вы сможете оспорить предписание как неисполнимое, ведь оно сформулировано как "найди то, не знаю что, пойди туда, не знаю куда".
Кроме того, вы сможете сделать красивые анонсы для СМИ, ведь фактически она произошла не по вашей вине (это все злобные хакеры).
Тем не менее, чтобы прийти к этой точке, вам нужно разработать:
- Положение об обработке персональных данных;
- Политика конфиденциальности;
- Порядок работы с файлами cookie;
- Регламент проведения внутренних контрольных мероприятий по соответствию обработки персональных данных требованиям к защите ПД;
- Регламент учета, хранения и уничтожения носителей персональных данных;
- Правила доступа к персональным данным, обрабатываемых в ИСПДН;
- Регламент реагирования на запросы субъектов персональных данных.
Список выглядит несколько устрашающе, но на самом деле лучше разработать эти документы, чем потом лишиться клиентов из-за утечки и выпускать анонсы о том, что «сейчас нам очень стыдно».
Совет № 5: для каждой цели обработки устанавливайте свой объем собираемых данных и забудьте о словосочетании "иные персональные данные"
Очевидно, что в отношении работника вашей компании, клиента и посетителя сайта нужны разные персональные данные (вам все равно, какой ИНН у вашего клиента, а вот для работника могут пригодиться даже сведения о его образовании).
Чтобы избежать ситуации, когда случайный гость на вашем сайте полчаса заполняет анкету, которая включает в себя вопрос "как звали вашего первого питомца", указывайте в положении об обработке персональных данных разные объемы таких данных для разных групп субъектов.
Например, если для выдачи пропуска в ваш офис нужны только имя и паспортные данные клиента, то не надо собирать ничего больше – когда доведете его до заключения договора, тогда и узнаете адрес его проживания, ИНН и СНИЛС.
Если вы не последуете этому совету, то придется объяснять Роскомнадзору, зачем вам данные о регистрации брака сантехника, который пришел чинить ваш стояк.
В любом случае я советую вам не собирать "иные виды персональных данных в соответствии с Законом о персональных данных", потому что потом вы замучаетесь объяснять, что это за данные и зачем вам их собирать.
Совет № 6: не пишите про обработку биометрических персональных данных, если вы ею не занимаетесь
"Биометрия – модно и ново, каждый уважающий себя предприниматель должен уметь с нею работать" – бегите от человека, который вам это скажет, ведь даже у государства не всегда получается выдавать паспорта с биометрией.
Если вы не занимаетесь обработкой биометрических персональных данных, не пишите обратного в своих документах "на всякий случай" – пишите про обработку только тех данных, которые вы правда собираете.
Совет № 7: локализуйте данные в России
Сбор данных клиентов на голландских серверах может показаться хорошей идеей, но на самом деле это одна из грубейших ошибок, которую может допустить IT-предприниматель, ведь в этом случае ваш сервис могут заблокировать, как это произошло с Linkedin (кстати, подписывайтесь, буду рад).
Несмотря на то, что эти блокировки легко обходятся, и пользователи из России продолжают пользоваться вражеским Instagram, едва ли предварительное включение VPN может сделать ваш сервис более дружелюбным для пользователя.
Кроме того, в отличие от штрафов за утечку штраф за нарушение требований о локализации составляет до 6 млн рублей за первое нарушение и до 18 млн рублей за повторное нарушение.
Таким образом, если вы ведете бизнес в России, локализуйте данные тут же, не выводите их за границу, это создает гигантские риски для IT-бизнесов.
Совет № 8: будьте осторожны с передачей персональных данных за границу
Если вы хотите передать персональные данные клиентов за границу (это называется еще трансграничной передачей персональных данных), то надо заполнить и направить в Роскомнадзор уведомление об этом.
При этом если вы собираетесь передать данные в "страны, обеспечивающие адекватный уровень защиты персональных данных", то вы можете передавать эти данные, пока уведомление рассматривается, а если вы передаете их в "страны, не обеспечивающий адекватный уровень защиты персональных данных", то данные передавать нельзя, пока Роскомнадзор не рассмотрит уведомление.
К "адекватным" странам относятся, например, Германия, Франция, Великобритания (полный список можете найти по ссылке), но их адекватность не освобождает вас от обязанности уведомлять Роскомнадзор о трансграничной передаче персональных данных.
Заключение
Защита персональных данных только кажется сложной, если следовать моим советам, то ваши клиенты всегда будут вам благодарны, а Роскомнадзор не обратит на вас свое внимание.