Юридические статьи

Утекли персональные данные клиентов - что делать бизнесу

Персональные данные клиентов или сотрудников попали в сеть. Что предпринять компании?

Магазины, банки, иные юридические лица ежегодно регулярно сталкиваются с утечками персональных данных. Их штрафуют, а граждане помимо своей воли получают сотни и тысячи предложений о товарах и услугах, которые им не нужны. В суды все чаще поступают иски от лиц, желающих компенсировать причиненный им моральный вред.

А руководство компаний ищет способы не только снизить вероятность утечек персональных данных, но и снять с себя обвинения в несоблюдении законодательства. Одновременно приходится думать, как восстановить собственную репутацию, как заново выстроить отношения с клиентами. Например, юристы считают, что компания, допустившая утечку данных, должна публично рассказать, какие меры предприняты, чтобы не допустить подобного в дальнейшем и минимизировать ущерб пострадавшим.

Как обстоит ситуация с утечками данных в России?

Исследования показывают, что в 2022 году в интернете разместили 311 баз данных. Здесь учтены БД, впервые оказавшиеся в публичном доступе. Годом ранее в сеть попали данные приблизительно из 60 баз. Если говорить о строках с информацией, то в 2022 году их было 1,4 млрд. А в 2021 году именно строк было «всего» 33 млн.

Всем желающим или только мошенникам стали доступны самые разные данные: от ФИО и дат рождения до паспортных данных и паролей для доступа к личным кабинетам на самых разных сайтах и сервисах.

Чем для компании может обернуться утечка персональных данных?

Помимо репутационных компания может столкнуться с серьезными финансовыми потерями:

  • в соответствии со ст. 13.11 КоАП РФ наказывают тех, кто не соблюдает правила, касающиеся работы с персональными данными. Статью применяют при наличии повторных утечек. Максимальное наказание — штраф в размере 300 тыс. рублей;
  • на основании ст. 13.14 КоАП РФ компанию могут привлечь к ответственности за разглашение сведений, доступ к которым ограничен. Итог — штраф в размере до 200 тыс. рублей.

Некоторые эксперты полагают, что такие штрафы не являются достаточным наказанием для тех, кто небрежно относится к сохранности персональных данных. В 2023 году на уровне Президента и Правительства заговорили о необходимости вводить оборотные штрафы за утечки персональных данных. И в Минцифры уже решают, какими будут минимальный и максимальный пороги для подобных наказаний. Необходимые законопроекты уже поступили в Госдуму на рассмотрение. Предварительные данные таковы:

  • в соответствии с первым законопроектом, если утечка произошла впервые, компании выпишут фиксированный штраф. Потом штраф будет уже оборотным. Минимальная сумма — 5 млн. рублей, максимальная — 500 млн. рублей;
  • в соответствии со вторым законопроектом предполагается ужесточение наказаний, предусмотренных ст. 272, 273 и 274 УК РФ. На основании этих статей наказывают лиц, неправомерно завладевших данными, хранящимися на ПК. Наказание предусмотрено и для распространителей вредоносного ПО, всех тех, кто эксплуатирует с нарушениями хранилища данных, и т. д.

На текущий момент времени ни в КоАП РФ, ни в УК РФ нет статей, предусматривающих наказание именно за утечки персональных данных. На практике же сотрудника, допустившего утечку, могут наказать и по другим статьям:

  • ст. 137 УК РФ предусматривает санкции для тех, кто не соблюдает требования о неприкосновенности частной жизни. Именно эту статью чаще всего применяют к тем, кто продает БД с данными клиентов операторов сотовой связи;
  • ст. 138 УК РФ позволяет наказывать тех, кто читает чужие переписки, разглашает данные из них;
  • ст. 272 УК РФ содержит перечень санкций за неправомерный доступ к данным в памяти ПК, серверов, ЦОДов и т. д.

По любой из перечисленных статей нарушителя могут отправить за решетку на срок до 2-х лет.

Компания может избежать наказания, если утечка стала следствием атаки хакеров. В подобных ситуациях наказывают того, кто взломал сайт или сервер юридического лица.

Данные попали в сеть. Чем это может обернуться для компании?

Сначала нужно отметить, что мошенников в основном интересуют базы данных крупных компаний. А для них размеры существующих штрафов можно считать мизерными.

В 2022 году один из российских сервисов по доставке еды сообщил об утечке данных. Поначалу руководство компании заявляло, что ущерб для клиентов минимален. Сотрудник сервиса передал мошенникам только данные о заказах и номерах телефонов, используемых для оформления заказа.

Позднее стало известно, что в интернет попали не только ФИО клиентов, но и адреса проживания, e-mail и иные сведения. Сайт, на котором была размещена эта информация, заблокировали, а сервис доставки еды по требованию Роскомнадзора оштрафовали в соответствии с ч. 1 ст. 13.11 КоАП РФ. В итоге дело № 05-0413/101/2022 рассматривали в мировом суде. Компанию оштрафовали на 60 тыс. рублей, Максимально данная статья предусматривает наказание в пределах 100 тыс. рублей.

Клиенты сервиса по доставке еды сочли, что штраф — недостаточное наказание. В суды Москвы было подано сразу несколько коллективных исков. В них запрашивали самые разные суммы в счет компенсации морального вреда.

Так, в соответствии с заявлением, поступившим в Замоскворецкий районный суд столицы, пострадавшие хотели получить по 300 тыс. рублей. Они сообщали, что после утечки объем спамных сообщений существенно увеличился. Но заявление по делу № М-262/2022 вернули пострадавшим с формулировкой, что данный суд не может рассматривать подобные иски.

В тот же Замоскворецкий суд поступил и еще один иск от другой группы пострадавших. Здесь клиенты сервиса планировали получить только по 10 тыс. рублей. И снова заявление по делу № М-2625/2022 было возвращено заявителям. В этот раз отказ в открытии дела объяснили тем, что под заявлением вообще нет подписей, либо его подписало лицо, не имеющее на то необходимых полномочий.

В тот же Замоскворецкий суд поступило и еще одно заявление от пострадавших. В данном случае требование взыскать по 100 тыс. рублей исходило от 20 человек. Только 13 из них смогли получить вообще какую-либо компенсацию (по 5 тыс. рублей). Остальным в удовлетворении требований суд отказал.

К концу 2022 года в деле об утечке данных с сайта сервиса по доставке еды появилась новая информация. Стало известно, что виновником в данной ситуации является не сотрудник компании, а хакер. И теперь уже компания проходит в качестве пострадавшей по уголовному делу.

С практически идентичной проблемой столкнулась и одна из наиболее популярных в стране служб доставки. И летом 2022 года в Центральный районный суд Новосибирска пострадавшие подали коллективное требование о взыскании компенсации за причиненный моральный вред. Изначально сумма иска составляла 2,2 млн. рублей. Впоследствии стало известно, что заявление подписали еще десятки граждан.

Представители непосредственно компании утверждали, что служба не виновата в произошедшем, что утечка стала следствием действий хакеров. Дело № 2-4445/2022 в итоге осталось без рассмотрения. В формулировке отказа было сказано, что каждый из пострадавших должен подать собственный иск и доказать, какой вред (моральный, репутационный, материальный и т. д.) причинили именно ему.

С учетом сложившейся практики юристы полагают, что для пострадавших из-за утечек вероятность получить хотя бы минимальную компенсацию ничтожна. Суды в большинстве случаев просто отклоняют поступившие иски.

Формально лица, данные которых оказались в сети, могут настаивать на том, что им причинен ущерб. Но доказать, что убытки являются следствием именно утечки данных, невероятно сложно. На текущий момент времени такие случаи практически отсутствуют.

Компаниям, же допустившим утечку персональных данных, зачастую грозит существенная потеря прибыли из-за сокращения количества клиентов.

Данные попали в сеть. Как поступать компании?

Для начала необходимо понять, какие данные попали к мошенникам либо оказались в свободном доступе. Например, может оказаться, что посторонние получили доступ только к составу заказов, но без привязки к конкретному клиенту и адресу доставки. В этом случае можно говорить о том, что ущерб именно персональным данным отсутствует. Но в любом случае компания не должна медлить с расследованием. Необходимо понять, как утечка стала возможной, чтобы минимизировать ее последствия.

Может оказаться, что мошенники получили доступ именно к персональным данным. И здесь нужно понять, как это стало возможным. Например, кто-то халатно отнесся к проведению штатных процедур, связанных с хранением сведений, либо намеренно передал данные третьим лицам. Далее необходимо решить, какие меры помогут избежать подобных ситуаций в дальнейшем.

Только внутреннего расследования недостаточно. Компании дается 24 часа на уведомление Роскомнадзора о произошедшем. И еще 72 часа у компании есть на информирование о предпринятых мерах. Подать уведомление можно непосредственно через сайт Роскомнадзора. Начиная с февраля 2023 года, информировать предстоит еще и ФСБ — через систему ГосСОПКА.

Юристы отмечают, что у компаний есть только 3 дня на проведение всех необходимых расследований. Значит, необходимо заранее разработать процедуру, в соответствии с которой предстоит действовать при утечках.

Дополнительно компания может обратиться с заявлением в прокуратуру. Но нужно понимать, что хотя бы вычислить хакера, если именно он причастен к утечке данных, не всегда возможно. Ведь злоумышленник может находиться далеко за пределами России.

Ситуация немного упрощается, если к ЧП причастны работники компании. В этом случае можно обращаться в суд с требованием о взыскании сумм материального и репутационного ущерба. Но при этом пострадавшие граждане теряют возможность компенсировать ущерб, причиненный именно им, за счет компании, допустившей утечку данных. И оператор персональных данных, и граждане оказываются в списках пострадавших. Максимальным наказанием для юрлица станет штраф в соответствии с КоАП РФ.

Минимизируем вероятность утечки персональных данных: первоочередные действия

Чтобы не сталкиваться с исками со стороны пострадавших, необходимо:

  • Проверить, какие данные действительно нужны компании для работы. От сбора всех избыточных необходимо отказаться.
  • Проработать политику в сфере обработки персданных. Документ размещают на сайте компании и доводят до сведения персонала.
  • Определить, кто из сотрудников имеет доступ к персональным данным, отвечает за их хранение и обработку. Соответствующие положения вносят в должностную инструкцию каждого работника. Сотрудников обязательно предупреждают о запрете на разглашение персданных и об ответственности за нарушение законодательства. Все выработанные положения вносят в единый регламент.
  • Обучить всех, кто имеет доступ к персональным данным, объяснить, какие операции можно совершать с информацией, полученной от клиентов, а какие нет. Не будет лишним и напоминание о наказаниях за отступления от установленных требований.
  • Правильно выбрать ЦОД для хранения персональных данных. В договоре должен быть пункт о гарантиях сохранности сведений и ответственности за возможные утечки.
  • Пресекать все несанкционированные попытки скачать или изменить персональные данные как внешние, так и внутренние. Для пересылки данные необходимо шифровать с использованием качественных протоколов.

все статьи
Комментарии

Пожалуйста, авторизуйтесь, чтобы оставлять комментарии.