Каким может быть наказание для организации за распространение утечку персональных данных работников

Каким может быть наказание для организации за распространение утечку персональных данных работников
Автор На чтение 22 мин Просмотров 40 Обновлено
Содержание

Утечки персональных данных, после инцидента с «Яндекс Еда», стали остро обсуждаться на корпоративном уровне. По данным McAfee, чаще всего злоумышленники воруют следующую информацию, содержащую ПД:

  • Электронную почту;
  • Телефонные номера;
  • Адрес;
  • Пол, возраст, антропометрические данные;
  • Платежную информацию;
  • Сообщения;
  • Историю покупок.

Утечка персональных данных может проходить как для последующего мошенничества с физическими лицами, так и с целью компрометации бизнеса.

У Роскомнадзора, как основного регулятора по ПД, есть четкое понимание правильных процессов защиты и обработки ПД. Требования законодательства вполне понятные, и могут быть реализованы даже в рамках небольшой организации. При этом опрос HFLabs показал, что ½ руководителей не собираются инвестировать деньги в защиту данных.

В этой статье рассмотрим, какие существуют виды ответственности компаний за утечку персональных данных и как действовать, если она произошла.

Виды ответственности организаций за утечку персональных данных
Каким может быть наказание для организации за распространение утечку персональных данных работников

Любая компания, которая собирает персональные данные (а это почти все ИП и ООО), несет ответственность за их сохранность.

Если виновным в нарушении является сотрудник, то степень его ответственности будет зависеть от характера совершенного правонарушения. В отдельных случаях наказание может быть внутренним или ограничится увольнением сотрудника, например, если он получил доступ к информации, охраняемой законом.

Следует обратить внимание, что даже утечки без злого умысла все равно остаются нарушением №152-ФЗ. Например, если сотрудник случайно скопирует информацию на карту памяти и оставит ее на своем компьютере дома.

Разглашение и распространение персональных данных без согласия субъекта

Хранить, использовать, дополнять, копировать, блокировать и совершать другие операции с ПДн необходимо исключительно после того, как получено одобрение от субъекта. Причем человек должен дать официальное согласие в электронном либо письменном виде, предварительно ознакомившись с целями, методами, объемом и сроками обработки частных сведений. Если оператор действует самовольно и передает секретные данные иным лицам, то имеет место незаконное распространение персональных данных. Каким образом производится передача информации другим организациям, гражданам или общественности, не имеет значения, в любом случае за совершенные действия виновника накажут. Поводом для начала уголовного производства может служить как заявление субъекта в правоохранительные органы, так и инициатива надзорного органа, который обнаружил признаки несанкционированных операций в рамках плановой или внеплановой проверки.

Персональные данные. Кто и как ответит за их разглашение?

Нарушением признается разглашение персональных данных без согласия владельца не только в том случае, если он не подписывал соответствующий документ, но и при отзыве ранее предоставленного разрешения. То есть нельзя продолжать обработку, если получили по всем правилам оформленное заявление об отзыве от гражданина либо его законного представителя.

Какая может быть ответственность за разглашение персональных данных гражданина?

Основание для наложения каких-либо санкций в отношении операторов, передающих ПДн третьим лицам, закреплено конфиденциальным статусом личной информации, что прописано в Статье 7 ФЗ-152. Еще одним документом, предписывающим сохранять информацию в тайне является Трудовой Кодекс, где присутствует отдельная статья про дисциплинарные проступки. Нормативно-правовая база РФ предусматривает несение нарушителем трех видов ответственности за распространение персональных данных:

  • уголовной;
  • административной;
  • дисциплинарной.

При обвинении в рамках ТК максимум, что грозит человеку, — это увольнение, хотя часто руководство ограничивается замечанием или взысканием. Более серьезное наказание предусмотрено статьей 13 КоАП, которую недавно откорректировали, увеличив штрафы примерно в 10 раз. Примечательно, что за повторное нарушение полагается в раза больший штраф, чем за первичное невыполнение нормативов ФЗ-152. Значительные проблемы возникают у тех, чьи действия интерпретируют как нарушение положений Уголовного Кодекса.

Удобная таблица со всеми административными штрафами за нарушения в области обработки и защиты персональных данных

Хранение личных карточек и личных дел

Некоторые работодатели помимо обязательного документа – личной карточки работника – ведут также и личные дела. В целом они хранятся по одним и тем же правилам, но нюансы и различия тем не менее имеются. Рассмотрим как общие, так и отличительные моменты, затрагивающие номенклатуру дел, их систематизацию, а также передачу в архив.

Евгения Кожанова
специалист по ДОУ и кадровому делопроизводству

Уведомление в Роскомнадзор

В КоАП РФ планируют ввести новый состав нарушения – неуведомление Роскомнадзора о намерении обрабатывать персональные данные.

Такое уведомление должны направлять все организации (ст. 22 Закона № 152-ФЗ).

Существуют исключения, но на практике они встречаются редко. Уведомление не нужно направлять, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности или если оператор обрабатывает данные исключительно без средств автоматизации.

Сейчас за неподачу уведомления могут оштрафовать по ст. 19.7 КоАП РФ. Суммы относительно небольшие. Для должностных лиц штраф от 300 до 500 рублей, для организаций – от 3 000 до 5 000 рублей.

Планируют же выделить нарушение в отдельный состав. По проекту федерального закона за неподачу уведомления штрафы могут составить:

  • для должностных лиц – от 30 000 до 50 000 руб.;
  • для организаций – от 100 000 до 300 000 руб.

Если этот факт обнаружат в случае установления факта неправомерной передачи, предоставления, распространения или доступа к персональным данных, которые повлекли нарушение прав субъектов, то сумма штрафа увеличится:

  • для должностных лиц – от 400 000 до 800 000 руб.;
  • для организаций – от 1 000 000 до 3 000 000 руб.

Если вы еще не направляли уведомление, рекомендуем сделать это как можно скорее, пока закон не приняли. Требование относительно подачи уведомления действует уже не первый год. Соответственно, если уведомление не подано, то организацию могут оштрафовать сразу после вступления закона в силу.

Кроме того, стоит проверить актуальность информации в уведомлении, если ранее вы его уже подавали. Это связанно с тем, что по закону, если что-то в уведомлении поменялось, то необходимо уведомить об этом госорган.

Утечка персональных данных

Законодатели планируют ввести внушительную ответственность за утечку персональных данных.

Таблица с планируемыми составами правонарушений

Состав

Граждане

Должностные лица государственного или муниципального органа

Организации, не являющиеся государственными или муниципальными структурами

Действия или бездействие оператора, повлекшие утечку персональных данных от 1 000 до 10 000 субъектов персональных данных или от 10 000 до 100 000 идентификаторов, по которым можно определить субъектов

100 000– 200 000 руб.

800 000–1 000 000 руб.

3 000 000–5 000 000 руб.

Действия или бездействие оператора, повлекшие утечку персональных данных от 10 000 до 100 000 субъектов персональных данных или от 100 000 до 1 000 000 идентификаторов, по которым можно определить субъектов

200 000–300 000 руб.

1 000 000–1 500 000 руб.

5 000 000–10 000 000 руб.

Действия или бездействие оператора, повлекшие утечку персональных данных более 100 000 субъектов персональных данных или более 1 000 000 идентификаторов, по которым можно определить субъектов

300 000–400 000 руб.

1 500 000–2 000 000 руб.

10 000 000–15 000 000 руб

400 000–600 000 руб.

2 000 000–4 000 000 руб.

От 0,1 до 3 % выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 000 000 и не более 500 000 000 рублей

Сейчас таких составов в КоАП РФ нет. Планируются и другие поправки, но сейчас это пока только проект федерального закона.

Другие новости законодательства

Уже завтра, 1 февраля в экспертном стриме узнаете, как сейчас складывается судебная практика по трудовым спорам и как работодателю выстроить свою работу так, чтобы не довести дело до суда. Смотреть стрим

Реклама: ООО «‎ЧДК», ИНН 7714923575, erid: LjN8K6omy

  • #изменения в законодательстве
  • #персональные данные
  • #административные штрафы
  • #защита персональных данных

Административная ответственность

За нарушения Закона о персональных данных №152-ФЗ работодатель может быть привлечен к ответственности по двум статьям КоАП РФ. Одна из них общая — за непредоставление информации; вторая — специальная, именно за невыполнение требований к защите личной информации граждан. Рассмотрим типичные ошибки, за которые компанию могут привлечь к административной ответственности.

Статья 13.11. Нарушение законодательства РФ в области персональных данных

По статье 13.11 КоАП РФ работодателя привлекут к административной ответственности если он избыточно собирает персданные или обрабатывает их без согласия владельца или не в соответствии с целями, не опубликовал политику по персданным и т. д.

Подробнее про типичные ошибки в работе с ПД и штраф за персональные данные смотрите в таблице. Примеры в таблице подготовлены по типичных нарушениям, которые выявляет Роскомнадзор при проверках.

К частым нарушениям по статье 13.11 КоАП РФ у работодателя относятся также следующие:

  • не утвержден список лиц, которые имеют доступ к персональным данным;
  • не проводится внутренний аудит работы с ПД;
  • работники не ознакомлены под личную подпись с Законом №152-ФЗ, Политикой и локальными актами оператора в сфере персональных данных;
  • не утвержден перечень мест хранения ПД.

За эти несоответствия оператора привлекут к ответственности за неправомерную обработку персональных данных. При этом штрафы за повторные нарушения в сфере ПД будут гораздо выше.

Статья 19.7. Непредставление сведений

Ответственность за нарушение в сфере персональных данных по этой статье 19.7 КоАП предусмотрена в трех случаях:

1. Оператор не уведомил Роскомнадзор о начале обработки персональных данных. Эта обязанность распространяется на всех, кто работает с личной информацией граждан: ИП, самозанятых, юридических лиц.

2. Оператор не направил информационное письмо в Роскомнадзор при изменении сведений, содержащихся в Реестре операторов ПД. Например, при изменении целей обработки персональных данных.

3. Оператор не представил информацию в течение 10 рабочих дней по запросу Роскомнадзора. Штраф для юридического лица составит от 3 000 до 5 000 рублей.

Уголовная ответственность

Такой вид наказания применяется, когда нарушения в сфере обращения с личной информацией гражданина причинили или могли причинить ему значительный вред. Например, очень осторожно следует обращаться с биометрическими данными несовершеннолетних и не публиковать без согласия родителей на сайтах компании или школы видеоролики с их участием.

  • Сбор или распространение данных, которые составляют личную или семейную тайну человека, без его согласия.
  • Обнародование таких данных.

Стоит понимать, что у понятий «личная тайна» и «семейная тайна» нет конкретных определений.

Суды трактуют их довольно широко, а потому есть риск ответить перед законом за раскрытие практически любых личных сведений о другом человеке.

В целом, личной тайной считается все, что человек, хотел бы скрыть: болезнь, религиозные убеждения, уровень обеспеченности и т.д.

Например, одной компании пришлось отвечать перед судом за раскрытие перемещений автомобиля, а другой — за детализацию мобильных расходов клиента.

Понятие семейной тайны немного конкретнее: это информация об отношениях с родственниками, социально-бытовых условиях жизни и т.д.

  • штраф
  • обязательные, исправительные, принудительные работы
  • лишение права вести профессиональную или другую деятельность
  • арест, лишение свободы

С использованием служебного положения — 137 ст, ч 2

Незаконное обнародование информации о потерпевшем, которому нет 16 лет, если эта информация:

  • касается уголовного дела.
  • раскрывает его страдания, полученный вред и подобные последствия, связанные с преступлением.

Городская газета опубликовала статью о девочке-подростке, указав её ФИО и номер школы. При этом ни девочка, ни ее родители согласия на обнародование таких личных данных газете не давали. РКН вынес редактору письменное предупреждение, однако она на него не отреагировала, и в газете появилось еще несколько статей с личной информацией героев, не достигших 16 лет.

В результате суд постановил закрыть газету.

  • штраф
  • лишение права вести профессиональную или другую деятельность
  • принудительные работы
  • арест, лишение свободы

Чиновник неправомерно отказался предоставить человеку документы, затрагивающие его права и свободы, либо предоставил ему неполную или заведомо ложную информацию — при условии, что эти действия нанесли вред правам и законным интересам граждан.

Чиновник также будет наказан за:

  • уклонение от выдачи документов (например, он заявит, что нужных человеку данных нет, хотя они есть);
  • бездействие (например, проигнорирует письменный запрос).
  • штраф
  • лишение права вести профессиональную или другую деятельность

Неправомерный доступ к компьютерной информации, которая охраняется законом, если это вызвало ее уничтожение, блокирование, изменение или копирование.

Под неправомерным доступом здесь подразумевают любое взаимодействие с данными (включая просто ознакомление), на которое нет разрешения собственника или другого законного пользователя.

ущерб от 1 млн. руб — 272 статья, ч 2

Описанные в 1 и 2 частях статьи правонарушения, если они были совершены:

  • группой лиц по предварительному сговору;
  • организованной группой;
  • с использованием служебного положения.
  • штраф
  • ограничение свободы
  • принудительные работы
  • лишение свободы

Правонарушения, описанные в 1, 2 и 3 частях статьи, если они вызвали тяжкие последствия или угрозу их наступления (к таким случаям относят, например, смерть, существенный вред здоровью).

лишение свободы до 7 лет

За что предусмотрена ответственность

Чаще всего штрафуют за:

  • незаконную обработку данных;
  • разглашение данных;
  • нарушение правил обработки;
  • передачу данных без разрешения или с нарушениями;
  • недостаточную защиту информации;
  • невыполнение требований РКН;
  • другие нарушения, установленные Законом от 27.07.2006 г. № 152-ФЗ.

По некоторым нарушениям штрафуют и компанию, и должностных лиц.

Организация может избежать штрафа, если нарушение произошло из-за противоправных действий третьих лиц. При этом нужно доказать, что компания приняла меры по защите персональных данных.

Как избежать ответственности

Всё просто — соблюдайте правила! Убедитесь, чтоб бумажные и электронные данные надёжно защищены. В первом случае храните информацию в закрытом помещении, во втором привлекайте квалифицированных айтишников, которые обеспечат защиту от взломов.

И не забывайте получать все необходимые согласия:

  • На обработку — основной документ, актуальный в большинстве случаев. В офисе предлагайте бумажное согласие, на сайте — ставить галочку в чек-боксе.
  • На распространение данных, разрешённых к распространению, например, если планируете размещать информацию о сотрудниках на корпоративном сайте.
  • На обработку специальных категорий данных — тех, которые нельзя запрашивать в стандартных ситуациях. Например, философские или политические взгляды человека.
  • На трансграничную передачу — если планируете отправлять информацию за пределы РФ.
  • На обработку биометрических данных — информация о росте, весе, цвете глаз и прочих физиологических и биологических особенностях человека.

Штрафы за нарушения

Незаконная обработка данных. За первое нарушение — ч.1 ст. 13.11 КоАП РФ:

  • должностное лицо или ИП — 10 000 ₽ – 20 000 ₽;
  • компания — 60 000 ₽ – 100 000 ₽.

За повторное нарушение — ч. 1.1 ст. 13.11 КоАП РФ:

  • должностное лицо — 20 000 ₽ – 50 000 ₽;
  • ИП — 50 000 ₽ – 100 000 ₽;
  • компания — 100 000 ₽ – 300 000 ₽.

Обработка данных без согласия. За первое нарушение — ч. 2 ст. 13.11 КоАП РФ:

  • должностное лицо или ИП — 20 000 ₽ – 40 000 ₽;
  • компания — 30 000 ₽ – 150 000 ₽.

За повторное нарушение — ч. 2.1 КоАП РФ:

  • должностное лицо — 40 000 ₽ – 100 000 ₽;
  • ИП — 100 000 ₽ – 300 000 ₽;
  • компания — 300 000 ₽ – 500 000 ₽.

Отсутствие опубликованной политики обработки данных — ч. 3 ст. 13.11 КоАП РФ:

  • должностное лицо — 6000 ₽ – 12 000 ₽;
  • ИП — 10 000 ₽ – 20 000 ₽;
  • компания — 30 000 ₽ – 60 000₽.

Отказ предоставить информацию владельцу данных — ч. 4 ст. 13.11 КоАП РФ:

  • должностное лицо — 8000₽ – 12 000 ₽;
  • ИП — 20 000 ₽ – 30 000 ₽;
  • компания — 40 000 ₽ – 80 000 ₽.

Отказ от уточнения, блокирования или уничтожения данных. За первое нарушение — ч. 5 ст. 13.11 КоАП РФ:

  • должностное лицо — 8 000 ₽ – 20 000 ₽;
  • ИП — 20 000 ₽ – 40 000 ₽;
  • компания — 50 000 ₽ – 90 000 ₽.

За повторное нарушение — ч 5.1 ст. 13.11 КоАП РФ:

  • должностное лицо — 30 000 ₽ – 50 000 ₽;
  • ИП — 50 000 ₽ – 100 000 ₽;
  • компания — 300 000 ₽ – 500 000 ₽.

Необеспечение сохранности данных на материальных носителях — ч.6 ст. 13.11 КоАП РФ:

  • должностное лицо — 8000 ₽ – 20 000 ₽;
  • ИП — 20 000 ₽ – 40 000 ₽;
  • компания — 50 000 ₽ – 100 000 ₽.

Нарушение правил обращения с собранными данными. За первое нарушение — ч. 8 ст. 13.11 КоАП РФ:

  • должностное лицо — 100 000 ₽ – 200 000 ₽.;
  • компания или ИП — 1 – 6 млн ₽.

За повторное нарушение — ч. 9 ст. 13.11 КоАП РФ:

  • должностное лицо — 500 000 ₽ – 800 000 ₽;
  • компания или ИП — 6 – 18 млн ₽.

Отказ предоставить информацию по запросу РКН — ст. 19.7 КоАП РФ:

  • должностное лицо или ИП — 300 ₽ – 500 ₽;
  • компания — 3000 ₽ – 5 000 ₽.

Уклонение и препятствование проверке Роскомнадзора — ч. 1 ст. 19.4.1 КоАП РФ:

  • должностное лицо или ИП — 2000 ₽ – 4000 ₽;
  • компания — 5000 ₽ – 10 000 ₽.

Препятствование завершению проверки РКН. За первое нарушение — ч. 2 ст. 19.4.1 КоАП РФ:

  • должностное лицо или ИП — 5000₽ – 10 000 ₽;
  • компания — 20 000 ₽ – 50 000 ₽.

За повторное нарушение — п. 3 ст. 19.4.1 КоАП РФ:

  • должностное лицо или ИП — 10 000₽ – 20 000 ₽ или дисквалификация на срок от шести месяцев до одного года;
  • компания — 50 000 ₽ – 100 000 ₽.

Отказ исполнять предписание РКН — ч. 1 ст. 19.5 КоАП РФ:

  • должностное лицо или ИП — 1000 ₽ – 2000 ₽ или дисквалификация на срок до трех лет;
  • компания — 10 000 ₽ – 20 000 ₽.

Рассказываем о сложных вещах незанудно, понятно и с юмором на ютуб-канале

Чего бояться компаниям, если случилась утечка

Сейчас на практике размер наказаний за утечку данных для компаний невелик. Одна из громких утечек данных 2022 года произошла в «Яндекс Еде». Сразу после случившегося компания указала, что из-за недобросовестных действий их сотрудника в интернете опубликовали номера телефонов клиентов и сведения об их заказах. Банковские, платежные и регистрационные сведения не утекли.

«Ведомости» писали, что позднее появился сайт с базой данных пользователей «Яндекс Еды». Там якобы были имена и фамилии, адреса, телефоны и электронные почты клиентов. Страницу заблокировали, а «Яндексу» Роскомнадзор выписал административный протокол за нарушение правил о персональных данных по ч. 1 ст. 13.11 КоАП («Нарушение законодательства в области персональных данных»).

Власти обратились к мировому судье с этим протоколом (дело № 05-0413/101/2022). Разбирательство прошло в апреле прошлого года, но из акта вымарана сумма, на которую в итоге оштрафовали компанию. ТАСС писал, что нарушителю пришлось заплатить 60 000 руб. при максимальной санкции 100 000 руб.

Еще пострадавшие клиенты могут потребовать компенсировать им моральный вред. «Ведомости» сообщали, что пострадавшие от утечки пользователи «Яндекс Еды» подали несколько коллективных исков. В первом 33 клиента требовали компенсировать им 100 000 руб. морального вреда каждому. Из-за утечки они стали получать много рекламных обращений и звонков от мошенников.

По их мнению, таким образом нарушили неприкосновенность частной жизни. Как следует из материала издания, интересы истцов представлял Борис Фельдман, директор по правовым вопросам юридического сервиса Destra Legal. В картотеке Замоскворецкого районного суда Москвы, куда и подавали заявление, зарегистрировали иск против компании от его имени (дело № М-2624/2022).

Из карточки дела следует, что заявление вернули, так как дело неподсудно этому суду. Само определение о возвращении пока не публиковали. Известно лишь, что на него подавали частную жалобу, а сейчас дело в канцелярии.

Во втором иске насчитали 24 пользователя. Они хотели компенсацию 10 000 руб. каждому. В статье отмечали, что интересы истцов представляла межрегиональная общественная организация «Ответственность». Иск подавали в тот же суд. С ним была аналогичная история — заявление возвратили (дело № М-2625/2022).

Но основание было другим: иск не подписали вовсе или его подписало неуполномоченное лицо (сам акт суда пока не опубликовали). В интернете все еще доступна форма, чтобы присоединиться к коллективному иску. По еще 20 делам, где пользователи также потребовали компенсацию 100 000 руб. каждому, 13 клиентам Замоскворецкий районный суд присудил 5000 руб. компенсации, а остальные отклонил, писала «Роскомсвобода»*.

В декабре 2022-го представители «Яндекса» рассказали, что данные пользователей утекли не по вине сотрудника, а из-за внешней атаки, пишут на «Хабр». Тогда же представители сервиса поделились, что по их заявлению возбудили уголовное дело (по каким статьям — сама компания не указала) и признали фирму потерпевшей, сообщает «Интерфакс». Компания сообщала, что расследование еще идет и, когда появится возможность, она поделится его результатами. Пока в открытых источниках об итогах дела не писали.

Похожая история в прошлом году случилась со службой доставки СДЭК. У компании тоже произошла утечка данных пользователей. В июне 2022-го пострадавшие клиенты подали коллективный иск на 2,2 млн руб. в Центральный районный суд Новосибирска. Сначала его подписали 22 клиента компании, а затем более 100 пользователей подали заявки на присоединение, пишет «Коммерсант».

СДЭК объяснил случившееся хакерскими атаками. Компания отмечала, что в сеть не попали сведения, которые могли бы нести финансовую, репутационную и другую угрозу клиентам, цитирует заявления ТАСС. На сайте суда за июнь 2022-го в отношении СДЭК разместили информацию только о деле № 2-4445/2022 — как раз по коллективному иску о взыскании компенсации. Но его оставили без рассмотрения. Суд пришел к выводу, что требования каждого пострадавшего стоит рассматривать отдельно, так как нужно выяснять, какой вред нанесли каждому из истцов.

Учитывая судьбу перечисленных дел, для пострадавших от утечек подача исков не очень эффективна. Этот инструмент трудно применять на практике, считает Ксения Смирнова, старший юрист практики ИС, ИТ и телекоммуникаций Nextons Nextons Федеральный рейтинг. группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (консультирование) группа Комплаенс группа Корпоративное право/Слияния и поглощения (high market) группа Налоговое консультирование и споры (консультирование) группа Налоговое консультирование и споры (споры) группа Недвижимость, земля, строительство (консультирование) группа ТМТ (телекоммуникации, медиа и технологии) группа Транспортное право группа Трудовое и миграционное право группа Фармацевтика и здравоохранение (фармацевтика) группа Цифровая экономика группа Антимонопольное право группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Банкротство (реструктуризация и консультирование) группа Банкротство (споры high market) группа ВЭД/Таможенное право и валютное регулирование (валютное регулирование) группа ВЭД/Таможенное право и валютное регулирование (таможенное право) группа ГЧП/Инфраструктурные проекты группа Международные судебные разбирательства группа Международный арбитраж группа Природные ресурсы/Энергетика группа Разрешение споров в судах общей юрисдикции группа Ритейл, FMCG, общественное питание группа Рынки капиталов группа Санкционное право группа Финансовое/Банковское право группа Защита персональных данных группа Интеллектуальная собственность (регистрация) Профайл компании × Как видно из дел «Яндекс Еды» и СДЭК, суммы компенсации невелики.

А значительную часть исковых заявлений либо отклоняют, либо не признают коллективными, объясняет эксперт. Еще пострадавшие пользователи могут требовать возместить убытки. Но в таких ситуациях сложно связать распространение персональных данных с реальным ущербом, который понес человек, объясняет Ткаченко. Подобных кейсов в практике почти нет.

Из-за утечки данных компания несет не только финансовые потери, но и может утратить доверие клиентов. И восстановить доброе имя в глазах потребителей крайне сложно.

Что делать, если случилась утечка

Важно определить, действительно ли утекли персональные данные, по которым можно идентифицировать пользователей, отмечает Анастасия Сивицкая, адвокат, советник Orchards Orchards Федеральный рейтинг. группа Арбитражное судопроизводство (корпоративные споры) группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Банкротство (споры mid market) группа Недвижимость, земля, строительство (споры) группа Разрешение споров в судах общей юрисдикции группа ТМТ (телекоммуникации, медиа и технологии) группа Экологическое право группа Антимонопольное право группа Интеллектуальная собственность (консультирование) группа Корпоративное право/Слияния и поглощения (mid market) группа Ритейл, FMCG, общественное питание группа Фармацевтика и здравоохранение (фармацевтика) группа Частный капитал × Возможно, потеряно незначительное количество информации, и по ней не определить клиентов. Тогда персональным данным пользователей ничего не угрожает. «Как показывает наш опыт работы по таким делам, зачастую масштабы утечек не столь глобальны, а сведения не всегда именно персональные данные», — делится адвокат.

Оперативность расследования, выявление масштаба утечек и скорость реакции PR-служб компании позволяет снизить негативное влияние на репутацию.

Если же все-таки произошла утечка персональных данных, необходимо провести внутреннее расследование, выявить нарушителей и усилить меры безопасности, говорит Сивицкая. Сейчас компания обязана уведомлять об утечках ФСБ и Роскомнадзор, отмечает Эдуард Бекещенко, партнер ART DE LEX ART DE LEX Федеральный рейтинг. группа Антимонопольное право группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Международные судебные разбирательства группа Недвижимость, земля, строительство (консультирование) группа Природные ресурсы/Энергетика группа Разрешение споров в судах общей юрисдикции группа Санкционное право группа ТМТ (телекоммуникации, медиа и технологии) группа Транспортное право группа Банкротство (споры high market) группа Корпоративное право/Слияния и поглощения (high market) группа Международный арбитраж группа Налоговое консультирование и споры (споры) группа Финансовое/Банковское право × С сентября 2022-го в течение 24 часов необходимо сообщить РКН о самой утечке, а в течение 72 часов — поделиться результатами внутреннего расследования. На сайте Роскомнадзора есть форма, через которую можно направить уведомления. В отношении ФСБ приняли аналогичные правила в феврале 2023-го. Направлять уведомления в это ведомство будут через государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Поскольку сроки реагирования на утечку персональных данных очень сжатые, необходима хорошо продуманная внутренняя процедура действий работников в случае утечки, включая уведомление уполномоченных государственных органов.

Чтобы спасти репутацию при утечке данных, можно подать заявление в полицию. В России достаточно часто это делают против хакеров. Но из-за ограниченных технических возможностей тяжело установить конкретное лицо, которое извне организовало диверсию, говорит Никита Айрапетов, юрист Lidings Lidings Федеральный рейтинг. группа Фармацевтика и здравоохранение (фармацевтика) группа Арбитражное судопроизводство (средние и малые коммерческие споры: mid market) группа Защита персональных данных группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (регистрация) группа Природные ресурсы/Энергетика группа Транспортное право группа Трудовое и миграционное право группа Антимонопольное право группа Банкротство (споры mid market) группа Интеллектуальная собственность (консультирование) группа Корпоративное право/Слияния и поглощения (high market) группа ТМТ (телекоммуникации, медиа и технологии) группа Налоговое консультирование и споры (консультирование) группа Санкционное право 6 место По выручке на юриста 16 место По выручке 23 место По количеству юристов × Хакер может быть за пределами РФ. Маловероятно, что его привлекут к уголовной ответственности и взыщут с него ущерб, считает эксперт.

Если утечку организовал сотрудник компании изнутри, то вряд ли за счет имущества удастся возместить ущерб, который причинен работодателю и его клиентам, полагает Айрапетов. Тем не менее компания может обратиться в суд с требованием о возмещении вреда, причиненного преступлением или нанесенного деловой репутации, отмечает Сивицкая. Компанию признают потерпевшей, что делает бесперспективным разбирательство о взыскании с нее морального вреда в пользу пострадавших лиц, замечает Ткаченко. То есть бизнес таким образом перекладывает ответственность за утечку на тех, кому никак не мог помешать. Фирма становится на одну «белую» сторону с пользователями, получая лишь небольшой штраф.

Как снизить риски утечек персональных данных

✅ Изучить, какие данные собирает компания и для каких целей. Минимизировать их количество.

✅ Составить и разместить на сайте политики обработки персональных сведений и внести в обязанности работников соответствующие положения.

✅ Ограничить круг лиц, у кого есть доступ к базам данных с персональными данными. Назначить людей, которые будут отвечать за обработку персональных данных и их защиту.

✅ Сформировать регламент компании по работе с персональными данными. Утвердить должностные инструкции и предусмотреть в них неразглашение персональных данных и предупреждение об ответственности. Заняться развитием культуры работы с персональными данными.

✅ Провести обучение работников и разъяснить персоналу правила обращения с персональными данными и негативными последствиями в случае их нарушения.

✅ Включить в договоры с центрами обработки данных, где хранят персональные данные компании, условия о возмещении потерь.

✅ Внедрить системы защиты при попытке изъятия данных или внешнего подключения, системы шифрования данных, идентификации работника при работе с персональными данными.

На основе рекомендаций юристов.

* Признана иноагентом в России.

Оцените статью
KDPkonsalting.ru
Добавить комментарий

© 2026 KDPkonsalting.ru