Магазины, банки, иные юридические лица ежегодно регулярно сталкиваются с утечками персональных данных. Их штрафуют, а граждане помимо своей воли получают сотни и тысячи предложений о товарах и услугах, которые им не нужны. В суды все чаще поступают иски от лиц, желающих компенсировать причиненный им моральный вред.
А руководство компаний ищет способы не только снизить вероятность утечек персональных данных, но и снять с себя обвинения в несоблюдении законодательства. Одновременно приходится думать, как восстановить собственную репутацию, как заново выстроить отношения с клиентами. Например, юристы считают, что компания, допустившая утечку данных, должна публично рассказать, какие меры предприняты, чтобы не допустить подобного в дальнейшем и минимизировать ущерб пострадавшим.
Исследования показывают, что в 2022 году в интернете разместили 311 баз данных. Здесь учтены БД, впервые оказавшиеся в публичном доступе. Годом ранее в сеть попали данные приблизительно из 60 баз. Если говорить о строках с информацией, то в 2022 году их было 1,4 млрд. А в 2021 году именно строк было «всего» 33 млн.
Всем желающим или только мошенникам стали доступны самые разные данные: от ФИО и дат рождения до паспортных данных и паролей для доступа к личным кабинетам на самых разных сайтах и сервисах.
Помимо репутационных компания может столкнуться с серьезными финансовыми потерями:
Некоторые эксперты полагают, что такие штрафы не являются достаточным наказанием для тех, кто небрежно относится к сохранности персональных данных. В 2023 году на уровне Президента и Правительства заговорили о необходимости вводить оборотные штрафы за утечки персональных данных. И в Минцифры уже решают, какими будут минимальный и максимальный пороги для подобных наказаний. Необходимые законопроекты уже поступили в Госдуму на рассмотрение. Предварительные данные таковы:
На текущий момент времени ни в КоАП РФ, ни в УК РФ нет статей, предусматривающих наказание именно за утечки персональных данных. На практике же сотрудника, допустившего утечку, могут наказать и по другим статьям:
По любой из перечисленных статей нарушителя могут отправить за решетку на срок до 2-х лет.
Компания может избежать наказания, если утечка стала следствием атаки хакеров. В подобных ситуациях наказывают того, кто взломал сайт или сервер юридического лица.
Сначала нужно отметить, что мошенников в основном интересуют базы данных крупных компаний. А для них размеры существующих штрафов можно считать мизерными.
В 2022 году один из российских сервисов по доставке еды сообщил об утечке данных. Поначалу руководство компании заявляло, что ущерб для клиентов минимален. Сотрудник сервиса передал мошенникам только данные о заказах и номерах телефонов, используемых для оформления заказа.
Позднее стало известно, что в интернет попали не только ФИО клиентов, но и адреса проживания, e-mail и иные сведения. Сайт, на котором была размещена эта информация, заблокировали, а сервис доставки еды по требованию Роскомнадзора оштрафовали в соответствии с ч. 1 ст. 13.11 КоАП РФ. В итоге дело № 05-0413/101/2022 рассматривали в мировом суде. Компанию оштрафовали на 60 тыс. рублей, Максимально данная статья предусматривает наказание в пределах 100 тыс. рублей.
Клиенты сервиса по доставке еды сочли, что штраф — недостаточное наказание. В суды Москвы было подано сразу несколько коллективных исков. В них запрашивали самые разные суммы в счет компенсации морального вреда.
Так, в соответствии с заявлением, поступившим в Замоскворецкий районный суд столицы, пострадавшие хотели получить по 300 тыс. рублей. Они сообщали, что после утечки объем спамных сообщений существенно увеличился. Но заявление по делу № М-262/2022 вернули пострадавшим с формулировкой, что данный суд не может рассматривать подобные иски.
В тот же Замоскворецкий суд поступил и еще один иск от другой группы пострадавших. Здесь клиенты сервиса планировали получить только по 10 тыс. рублей. И снова заявление по делу № М-2625/2022 было возвращено заявителям. В этот раз отказ в открытии дела объяснили тем, что под заявлением вообще нет подписей, либо его подписало лицо, не имеющее на то необходимых полномочий.
В тот же Замоскворецкий суд поступило и еще одно заявление от пострадавших. В данном случае требование взыскать по 100 тыс. рублей исходило от 20 человек. Только 13 из них смогли получить вообще какую-либо компенсацию (по 5 тыс. рублей). Остальным в удовлетворении требований суд отказал.
К концу 2022 года в деле об утечке данных с сайта сервиса по доставке еды появилась новая информация. Стало известно, что виновником в данной ситуации является не сотрудник компании, а хакер. И теперь уже компания проходит в качестве пострадавшей по уголовному делу.
С практически идентичной проблемой столкнулась и одна из наиболее популярных в стране служб доставки. И летом 2022 года в Центральный районный суд Новосибирска пострадавшие подали коллективное требование о взыскании компенсации за причиненный моральный вред. Изначально сумма иска составляла 2,2 млн. рублей. Впоследствии стало известно, что заявление подписали еще десятки граждан.
Представители непосредственно компании утверждали, что служба не виновата в произошедшем, что утечка стала следствием действий хакеров. Дело № 2-4445/2022 в итоге осталось без рассмотрения. В формулировке отказа было сказано, что каждый из пострадавших должен подать собственный иск и доказать, какой вред (моральный, репутационный, материальный и т. д.) причинили именно ему.
С учетом сложившейся практики юристы полагают, что для пострадавших из-за утечек вероятность получить хотя бы минимальную компенсацию ничтожна. Суды в большинстве случаев просто отклоняют поступившие иски.
Формально лица, данные которых оказались в сети, могут настаивать на том, что им причинен ущерб. Но доказать, что убытки являются следствием именно утечки данных, невероятно сложно. На текущий момент времени такие случаи практически отсутствуют.
Компаниям, же допустившим утечку персональных данных, зачастую грозит существенная потеря прибыли из-за сокращения количества клиентов.
Для начала необходимо понять, какие данные попали к мошенникам либо оказались в свободном доступе. Например, может оказаться, что посторонние получили доступ только к составу заказов, но без привязки к конкретному клиенту и адресу доставки. В этом случае можно говорить о том, что ущерб именно персональным данным отсутствует. Но в любом случае компания не должна медлить с расследованием. Необходимо понять, как утечка стала возможной, чтобы минимизировать ее последствия.
Может оказаться, что мошенники получили доступ именно к персональным данным. И здесь нужно понять, как это стало возможным. Например, кто-то халатно отнесся к проведению штатных процедур, связанных с хранением сведений, либо намеренно передал данные третьим лицам. Далее необходимо решить, какие меры помогут избежать подобных ситуаций в дальнейшем.
Только внутреннего расследования недостаточно. Компании дается 24 часа на уведомление Роскомнадзора о произошедшем. И еще 72 часа у компании есть на информирование о предпринятых мерах. Подать уведомление можно непосредственно через сайт Роскомнадзора. Начиная с февраля 2023 года, информировать предстоит еще и ФСБ — через систему ГосСОПКА.
Юристы отмечают, что у компаний есть только 3 дня на проведение всех необходимых расследований. Значит, необходимо заранее разработать процедуру, в соответствии с которой предстоит действовать при утечках.
Дополнительно компания может обратиться с заявлением в прокуратуру. Но нужно понимать, что хотя бы вычислить хакера, если именно он причастен к утечке данных, не всегда возможно. Ведь злоумышленник может находиться далеко за пределами России.
Ситуация немного упрощается, если к ЧП причастны работники компании. В этом случае можно обращаться в суд с требованием о взыскании сумм материального и репутационного ущерба. Но при этом пострадавшие граждане теряют возможность компенсировать ущерб, причиненный именно им, за счет компании, допустившей утечку данных. И оператор персональных данных, и граждане оказываются в списках пострадавших. Максимальным наказанием для юрлица станет штраф в соответствии с КоАП РФ.
Чтобы не сталкиваться с исками со стороны пострадавших, необходимо:
Пожалуйста, авторизуйтесь, чтобы оставлять комментарии.