Персональные данные клиентов или сотрудников попали в сеть. Что предпринять компании?
Ежегодно в магазинах, банках и других юридических лицах происходят утечки персональных данных. За это компании штрафуют, а граждане получают нежелательные предложения о товарах и услугах. В суды всё чаще поступают иски от людей, желающих получить компенсацию за моральный вред.
Руководство компаний ищет способы не только предотвратить утечки персональных данных, но и избежать обвинений в нарушении законодательства. При этом необходимо восстановить репутацию и отношения с клиентами. Юристы считают, что компания, допустившая утечку данных, должна публично объявить о мерах, которые она предпринимает, чтобы предотвратить подобные инциденты в будущем и минимизировать ущерб пострадавшим.
Как обстоит ситуация с утечками данных в России?
Исследования показывают, что в 2022 году в интернете появилось 311 новых баз данных, которые стали общедоступными. Годом ранее в сеть попало около 60 таких баз.
Если говорить о количестве строк с информацией, то в 2022 году их было 1,4 миллиарда, а в 2021 всего 33 миллиона.
Различные данные стали доступны всем желающим или только мошенникам: от имени и даты рождения до паспортных данных и паролей к личным кабинетам на разных сайтах и сервисах.
Чем для компании может обернуться утечка персональных данных?
Компания может столкнуться не только с репутационными, но и с серьёзными финансовыми потерями.
За нарушение правил работы с персональными данными предусмотрена ответственность по статье 13.11 Кодекса об административных правонарушениях (КоАП) РФ. Штраф по этой статье может достигать 300 тысяч рублей, если утечка произошла повторно.
Также компания может быть привлечена к ответственности за разглашение конфиденциальной информации по статье 13.14 КоАП РФ. Штраф в этом случае может составить до 200 тысяч рублей.
Некоторые эксперты считают, что существующие штрафы не являются достаточным наказанием для тех, кто небрежно относится к персональным данным. В 2023 году на уровне Президента и Правительства заговорили о необходимости введения оборотных штрафов за утечки персональных данных.
В Минцифры уже занимаются разработкой минимальных и максимальных порогов для таких наказаний. Необходимые законопроекты уже поступили в Государственную Думу на рассмотрение.
Согласно первому законопроекту, если утечка произошла впервые, компании будет выписан фиксированный штраф. Затем штраф будет уже оборотным. Минимальная сумма составит 5 миллионов рублей, максимальная — 500 миллионов рублей.
Второй законопроект предполагает ужесточение наказаний, предусмотренных статьями 272, 273 и 274 Уголовного кодекса (УК) РФ. Эти статьи наказывают лиц, неправомерно завладевших данными, хранящимися на персональных компьютерах (ПК). Наказание предусмотрено и для распространителей вредоносного программного обеспечения, всех тех, кто эксплуатирует с нарушениями хранилища данных и так далее.
На текущий момент времени ни в КоАП РФ, ни в УК РФ нет статей, предусматривающих наказание именно за утечки персональных данных. Однако на практике сотрудника, допустившего утечку, могут наказать и по другим статьям:
* статья 137 УК РФ предусматривает санкции для тех, кто не соблюдает требования о неприкосновенности частной жизни;
* статья 138 УК РФ позволяет наказывать тех, кто читает чужие переписки, разглашает данные из них;
* статья 272 УК РФ содержит перечень санкций за неправомерный доступ к данным в памяти ПК, серверов, ЦОДов и так далее.
По любой из перечисленных статей нарушителя могут отправить за решётку на срок до двух лет.
Компания может избежать наказания, если утечка стала следствием атаки хакеров. В подобных ситуациях наказывают того, кто взломал сайт или сервер юридического лица.
Данные попали в сеть. Чем это может обернуться для компании?
Мошенники в основном интересуются базами данных крупных компаний. Размеры существующих штрафов для них кажутся незначительными.
В 2022 году один российский сервис по доставке еды сообщил об утечке данных. Руководство компании заявило, что ущерб для клиентов минимален. Однако позже стало известно, что в интернете появились не только ФИО клиентов, но и их адреса проживания, электронные почты и другие сведения. Сайт, на котором разместилась эта информация, заблокировали, а сервис по доставке еды оштрафовали в соответствии с частью 1 статьи 13.11 Кодекса об административных правонарушениях Российской Федерации. В итоге дело рассматривали в мировом суде. Компанию оштрафовали на 60 тысяч рублей, хотя максимальная сумма штрафа по этой статье — 100 тысяч рублей.
Клиенты сервиса доставки еды посчитали, что штраф — недостаточное наказание, и подали несколько коллективных исков в суды Москвы. В исках они требовали различные суммы в качестве компенсации морального вреда. Например, в одном из заявлений пострадавшие хотели получить по 300 тысяч рублей, так как после утечки объём спамных сообщений значительно увеличился. Однако это заявление вернули пострадавшим с формулировкой, что данный суд не может рассматривать подобные иски.
В Замоскворецкий районный суд поступило ещё одно заявление от другой группы пострадавших. Они планировали получить только по 10 тысяч рублей. И снова заявление было возвращено заявителям, так как под ним не было подписей или его подписало лицо, не имеющее на это полномочий.
В тот же суд поступило ещё одно заявление от пострадавших. В этот раз требование взыскать по 100 тысяч рублей исходило от 20 человек. Только 13 из них смогли получить какую-либо компенсацию — по 5 тысяч рублей. Остальным в удовлетворении требований суд отказал.
К концу 2022 года в деле об утечке данных с сайта сервиса по доставке еды появилась новая информация. Выяснилось, что виновником ситуации является не сотрудник компании, а хакер. И теперь уже компания проходит в качестве пострадавшей по уголовному делу.
С практически идентичной проблемой столкнулась одна из наиболее популярных в стране служб доставки. Летом 2022 года в Центральный районный суд Новосибирска пострадавшие подали коллективное требование о взыскании компенсации за причинённый моральный вред. Изначально сумма иска составляла 2,2 миллиона рублей. Впоследствии стало известно, что заявление подписали ещё десятки граждан.
Представители компании утверждали, что служба не виновата в произошедшем, и утечка стала следствием действий хакеров. Дело в итоге осталось без рассмотрения, так как суд сказал, что каждый из пострадавших должен подать отдельный иск и доказать, какой ущерб (моральный, репутационный, материальный и так далее) причинили именно ему.
С учётом сложившейся практики юристы полагают, что для пострадавших из-за утечек вероятность получить хотя бы минимальную компенсацию ничтожно мала. Суды в большинстве случаев просто отклоняют поступившие иски.
Формально лица, данные которых оказались в сети, могут настаивать на том, что им причинен ущерб. Однако доказать, что убытки являются следствием именно утечки данных, невероятно сложно. На текущий момент такие случаи практически отсутствуют.
Компаниям, допустившим утечку персональных данных, зачастую грозит существенная потеря прибыли из-за сокращения количества клиентов.
Данные попали в сеть. Как поступать компании?
Сначала нужно понять, какие данные получили мошенники или стали доступны им. Например, они могли получить только информацию о заказах, но без привязки к конкретному клиенту или адресу доставки. В таком случае можно сказать, что ущерб личным данным отсутствует. Но компания всё равно должна провести расследование.
Возможно, мошенники получили доступ именно к личным данным. В этом случае нужно выяснить, как это произошло. Например, кто-то мог небрежно отнестись к хранению информации или намеренно передать её третьим лицам. Затем нужно решить, какие меры помогут избежать подобных ситуаций в будущем.
Однако внутреннего расследования недостаточно. Компания должна уведомить Роскомнадзор о произошедшем в течение 24 часов. Также у неё есть 72 часа на информирование о предпринятых мерах. Сообщить об этом можно через сайт Роскомнадзора. С февраля 2023 года компании также должны информировать ФСБ через систему ГосСОПКА.
Юристы отмечают, что у компаний есть только три дня на проведение всех необходимых расследований. Поэтому важно заранее разработать процедуру действий при утечке данных.
Дополнительно компания может обратиться в прокуратуру. Однако не всегда возможно вычислить хакера, если утечка данных произошла по его вине. Злоумышленник может находиться за пределами России.
Ситуация становится проще, если к утечке причастны сотрудники компании. В этом случае можно обратиться в суд с требованием о взыскании материального и репутационного ущерба. Однако пострадавшие граждане теряют возможность получить компенсацию за счёт компании, допустившей утечку данных. И компания, и граждане оказываются пострадавшими. Максимальное наказание для юридического лица — штраф в соответствии с Кодексом об административных правонарушениях РФ.
Минимизируем вероятность утечки персональных данных: первоочередные действия
Чтобы избежать судебных исков от пострадавших, необходимо:
1. Определить, какие данные действительно необходимы компании для работы, и отказаться от сбора избыточной информации.
2. Разработать политику обработки персональных данных, разместить её на сайте компании и ознакомить с ней персонал.
3. Установить, кто из сотрудников имеет доступ к персональным данным, несёт ответственность за их хранение и обработку, и внести соответствующие положения в должностные инструкции каждого работника. Также необходимо предупредить всех сотрудников о запрете разглашения персональных данных и об ответственности за нарушение законодательства. Все разработанные положения следует объединить в единый регламент.
4. Обучить всех сотрудников, имеющих доступ к персональным данным, разъяснить им, какие операции можно совершать с информацией, полученной от клиентов, а какие нельзя. Также будет полезно напомнить им о наказаниях за отступления от установленных требований.
5. Тщательно выбрать центр обработки данных (ЦОД) для хранения персональных данных и включить в договор пункт о гарантиях сохранности информации и ответственности за возможные утечки.
6. Предотвращать все несанкционированные попытки загрузить или изменить персональные данные как извне, так и изнутри компании. Для пересылки данные следует шифровать с использованием надёжных протоколов.
Если у вас остались вопросы, пишите на https://myjus.ru и наши специалисты ответят на все ваши вопросы. Консультация бесплатная!