Добавить в корзинуПозвонить
Найти в Дзене
БИТ.CLOUD
456 подписчиков

История одной базы: почему хранение клиентов в Excel — это риск уголовного дела

119
3 мин
Эта история основана на реальном кейсе, детали изменены для защиты конфиденциальности. Она показывает, как привычная рабочая таблица может превратиться в главное доказательство нарушения закона о персональных данных. Небольшая московская компания по продаже бытовой техники работала на рынке около семи лет. Клиентскую базу вели в одном файле Excel, который хранился на ноутбуке бухгалтера. Имена, телефоны, адреса доставки, суммы покупок — всё в одной таблице. Общий доступ к эксель-файлу имели четыре сотрудника: бухгалтер, менеджер по продажам, курьер и директор. Однажды бывший менеджер, уволившийся со скандалом, скопировал файл на флешку и начал обзванивать клиентов от имени конкурента. Несколько человек пожаловались в Роскомнадзор. Никто не задумывался о том, что файл содержит персональные данные тысячи с лишним человек. Пароль на эксель никто не ставил. Резервной копии не существовало. Согласие на обработку персональных данных у клиентов не запрашивали. Проверка длилась три недели. Инс
Оглавление

Эта история основана на реальном кейсе, детали изменены для защиты конфиденциальности. Она показывает, как привычная рабочая таблица может превратиться в главное доказательство нарушения закона о персональных данных.

Как всё начиналось

Небольшая московская компания по продаже бытовой техники работала на рынке около семи лет. Клиентскую базу вели в одном файле Excel, который хранился на ноутбуке бухгалтера. Имена, телефоны, адреса доставки, суммы покупок — всё в одной таблице. Общий доступ к эксель-файлу имели четыре сотрудника: бухгалтер, менеджер по продажам, курьер и директор.

Однажды бывший менеджер, уволившийся со скандалом, скопировал файл на флешку и начал обзванивать клиентов от имени конкурента. Несколько человек пожаловались в Роскомнадзор.

Никто не задумывался о том, что файл содержит персональные данные тысячи с лишним человек. Пароль на эксель никто не ставил. Резервной копии не существовало. Согласие на обработку персональных данных у клиентов не запрашивали.

Что нашёл Роскомнадзор

Проверка длилась три недели. Инспекторы запросили документацию, провели анализ информационных систем и составили акт с перечнем нарушений. Основные из них:

  1. Компания не подала уведомление о статусе оператора персональных данных.
  2. Согласие субъектов на обработку данных не оформлялось.
  3. Политика конфиденциальности отсутствовала.
  4. Технические меры защиты не применялись: данные хранились в незащищённом файле без шифрования.
  5. Утечка персональных данных произошла по вине сотрудника, а журнал доступа не вёлся.

Совокупность нарушений вышла за рамки административной ответственности. Инспекторы передали материалы в прокуратуру для оценки на предмет уголовного состава.

Какую ответственность предусматривает закон

За нарушение требований к персональным данным в российском законодательстве предусмотрено несколько видов ответственности. Разберём их подробнее.

  • Административная: КоАП РФ предусматривает штрафы за каждый эпизод. Штраф за разглашение персональных данных для юридического лица может достигать 300 000 рублей за один случай.
  • Уголовная: ст. 137 УК РФ предусматривает ответственность за незаконное собирание и распространение сведений о частной жизни лица. Наказание — штраф до 200 000 рублей или лишение свободы до двух лет.
  • Гражданско-правовая: каждый гражданин, чьи данные были скомпрометированы, вправе потребовать компенсацию морального вреда через суд.

В описанном случае компания получила предписание с совокупными штрафами на сумму, сопоставимую с полугодовой арендой офиса. Плюс расходы на юристов, потеря клиентов и репутационный ущерб, который сложно выразить в деньгах. Ответственность за персональные данные ложится на организацию целиком.

Почему Excel — не место для клиентской базы

Excel создавался для расчётов и аналитики, а не для хранения конфиденциальных данных. Вот основные риски, которые несёт в себе хранение персональных данных в таблице:

  • отсутствие разграничения прав доступа;
  • невозможность вести журнал изменений и просмотров;
  • лёгкость копирования на внешние носители;
  • нет средств шифрования «из коробки»;
  • невозможность выполнить требования по локализации и защите данных.

Даже если установить пароль на файл эксель или настроить защиту от редактирования, это не решает проблему. Пароли на файлах Excel вскрываются за секунды специализированными утилитами. Защитить файл эксель от копирования средствами самой программы невозможно.

Как защитить бизнес

Описанная ситуация была полностью предотвратима. Достаточно было заблаговременно пройти аудит соответствия 152-ФЗ. Специалисты БИТ.CLOUD проводят такой аудит для компаний любого масштаба. Вот что он включает:

  1. Инвентаризация данных. Определение всех точек сбора и хранения персональных данных в компании.
  2. Анализ документации. Проверка наличия и корректности согласий, политик, приказов.
  3. Оценка технических мер. Проверка средств защиты, журналов доступа, резервного копирования.
  4. Дорожная карта. Конкретный план устранения нарушений с указанием сроков и приоритетов.

Стоимость аудита сопоставима с месячной арендой одного рабочего места. А штрафы за утечку персональных данных, которые он предотвращает, исчисляются сотнями тысяч. Вдобавок компания получает документацию, которая подтверждает добросовестность при проверке.

Если ваша клиентская база до сих пор хранится в таблице на чьём-то ноутбуке, самое время перенести её в защищённую систему и привести процессы в соответствие с законом. Начните с консультации — наши специалисты подскажут, с чего начать.

Обучение программированию
31,7 тыс интересуются