Подключите бератор по выгодной цене
при подписке вам будут доступны:
материалы бератора «Практическая энциклопедия бухгалтера»
материалы журналов «Нормативные акты для бухгалтера» и «Практическая бухгалтерия»
онлайн-сервисы бератора и полезные PDF-издания на важные темы
доступ на 6 месяцев
32 200 ₽ 16 800 ₽
Зарегистрируйтесь на сайте и читайте дальше
Вы бесплатно получите доступ на 3 дня ко всем разделам и возможностям бератора.
Если вы являетесь платным клиентом бератора, просто войдите в свой аккаунт.
Утекли персональные данные клиентов: что делать бизнесу
В 2022 году стало больше утечек данных компаний. Из-за этого бизнес терпит убытки, а еще страдает его репутация. Компанию могут оштрафовать, а клиенты, чьи данные утекли, вправе потребовать моральную компенсацию. Когда утечка уже случилась, следует подать заявление в полицию. Если компанию признают потерпевшей, с нее вряд ли взыщут компенсацию морального вреда, считают эксперты. Восстановить репутацию в дальнейшем поможет активная коммуникация с клиентами. Важно сообщить им, какие меры безопасности предприняла фирма, чтобы смягчить последствия произошедшего.
Как следует из данных Group-IB, в прошлом году в открытый доступ впервые выложили 311 баз данных российских компаний. В 2021 году слитых баз было в пять раз меньше. Сами хранилища информации состоят из строк с различными данными пользователей: имена, телефоны, адреса, даты рождения, пароли, паспортные данные, информация о заказах и другие сведения. В 2022 году в сеть утекли 1,4 миллиарда таких строк. Годом ранее — 33 миллиона.
Утечки данных клиентов влекут неблагоприятные финансовые последствия для бизнеса. Так, за нарушение законодательства о персональных данных есть административная ответственность. Компанию могут оштрафовать на сумму до 300 000 рублей по статье 13.11 КоАП РФ о нарушении правил о персональных данных, если история с утечкой повторится.
Обратите внимание
Есть еще и статья 13.14 КоАП РФ о разглашении информации с ограниченным доступом. К такой информации тоже относят персональные данные. По этой норме компанию могут оштрафовать на сумму до 200 000 рублей, если лицо, у которого был доступ к закрытым сведениям из-за исполнения служебных обязанностей, разгласило их.
При этом отдельного состава за утечку данных пока нет. Поэтому в начале года Владимир Путин поручил кабинету министров установить оборотные штрафы для компаний, которые допускают утечки данных.
Сейчас Минцифры прорабатывает нижний и верхний пороги такой санкции. Ведомство в середине марта передало в Госдуму два тематических законопроекта.
В первом идет речь об ответственности за утечки баз данных, фиксированном штрафе за впервые допущенное нарушение и оборотном штрафе, если инцидент повторяется, от 5 до 500 миллионов рублей.
Во втором документе говорится об изменениях к статьям 272, 273 и 274 УК РФ о неправомерном доступе к компьютерной информации, распространении вредоносных программ и нарушении правил эксплуатации средств хранения, обработки или передачи компьютерной информации.
Обратите внимание
Из-за утечек данных и сейчас есть уголовно-правовые риски. Грозят они сотруднику, который виноват в утечке. Как и в КоАП РФ, в УК РФ нет специального состава за утечку данных. Но есть смежные: нарушение неприкосновенности частной жизни (ст. 137 УК РФ), тайны переписки (ст. 138 УК РФ), незаконное получение и разглашение сведений, составляющих коммерческую тайну (ст. 183 УК РФ), и неправомерный доступ к компьютерной информации (ст. 272 УК РФ), отмечают юристы. По большинству из составов могут лишить свободы на два года. Например, по статье 137 УК РФ привлекают к ответственности в случае «мобильного пробива» — продажи данных абонентов сотовых операторов.
Если же утечка произошла из-за хакерской атаки и компания не виновата в произошедшем, уголовная ответственность будет грозить атаковавшему лицу. А саму компанию могут признать потерпевшей.
Чего бояться компаниям, если случилась утечка
Сейчас на практике размер наказаний за утечку данных для компаний невелик. Одна из громких утечек данных 2022 года произошла в «Яндекс Еде». Сразу после случившегося компания указала, что из-за недобросовестных действий их сотрудника в интернете опубликовали номера телефонов клиентов и сведения об их заказах. Банковские, платежные и регистрационные сведения не утекли.
Позднее появился сайт с базой данных пользователей «Яндекс Еды». Там якобы были имена и фамилии, адреса, телефоны и электронные почты клиентов. Страницу заблокировали, а «Яндексу» Роскомнадзор выписал административный протокол за нарушение правил о персональных данных по части 1 статьи 13.11 КоАП РФ («Нарушение законодательства в области персональных данных»). Власти обратились к мировому судье с этим протоколом (дело № 05-0413/101/2022).
Разбирательство прошло в апреле прошлого года, но из акта вымарана сумма, на которую в итоге оштрафовали компанию. ТАСС писал, что нарушителю пришлось заплатить 60 000 рублей при максимальной санкции 100 000 рублей.
Еще пострадавшие клиенты могут потребовать компенсировать им моральный вред. Пострадавшие от утечки пользователи «Яндекс Еды» подали несколько коллективных исков. В первом 33 клиента требовали компенсировать им 100 000 рублей морального вреда каждому.
Из-за утечки они стали получать много рекламных обращений и звонков от мошенников. По их мнению, таким образом нарушили неприкосновенность частной жизни.
В картотеке Замоскворецкого районного суда Москвы, куда и подавали заявление, зарегистрировали иск против компании (дело № М-2624/2022). Из карточки дела следует, что заявление вернули, так как дело неподсудно этому суду. Само определение о возвращении пока не публиковали. Известно лишь, что на него подавали частную жалобу, а сейчас дело в канцелярии.
Во втором иске насчитали 24 пользователя. Они хотели компенсацию 10 000 рублей каждому. В статье отмечали, что интересы истцов представляла межрегиональная общественная организация «Ответственность». Иск подавали в тот же суд. С ним была аналогичная история — заявление возвратили (дело № М-2625/2022).
Но основание было другим: иск не подписали вовсе или его подписало неуполномоченное лицо (сам акт суда пока не опубликовали). В Интернете все еще доступна форма, чтобы присоединиться к коллективному иску. По еще 20 делам, где пользователи также потребовали компенсацию 100 000 рублей каждому, 13 клиентам Замоскворецкий районный суд присудил 5000 рублей компенсации, а остальные отклонил.
В декабре 2022 года представители «Яндекса» рассказали, что данные пользователей утекли не по вине сотрудника, а из-за внешней атаки, пишут на «Хабр». Тогда же представители сервиса поделились, что по их заявлению возбудили уголовное дело (по каким статьям — сама компания не указала) и признали фирму потерпевшей. Компания сообщала, что расследование еще идет и, когда появится возможность, она поделится его результатами. Пока в открытых источниках об итогах дела не писали.
Похожая история в прошлом году случилась со службой доставки СДЭК. У компании тоже произошла утечка данных пользователей. В июне 2022 года пострадавшие клиенты подали коллективный иск на 2,2 миллиона рублей в Центральный районный суд Новосибирска. Сначала его подписали 22 клиента компании, а затем более 100 пользователей подали заявки на присоединение.
СДЭК объяснил случившееся хакерскими атаками. Компания отмечала, что в сеть не попали сведения, которые могли бы нести финансовую, репутационную и другую угрозу клиентам.
На сайте суда за июнь 2022 года в отношении СДЭК разместили информацию только о деле № 2-4445/2022 — как раз по коллективному иску о взыскании компенсации. Но его оставили без рассмотрения.
Суд пришел к выводу, что требования каждого пострадавшего стоит рассматривать отдельно, так как нужно выяснять, какой вред нанесли каждому из истцов.
Обратите внимание
Учитывая судьбу перечисленных дел, для пострадавших от утечек подача исков не очень эффективна. Этот инструмент трудно применять на практике, считают юристы. Как видно из дел «Яндекс Еды» и СДЭК, суммы компенсации невелики. А значительную часть исковых заявлений либо отклоняют, либо не признают коллективными. Еще пострадавшие пользователи могут требовать возместить убытки. Но в таких ситуациях сложно связать распространение персональных данных с реальным ущербом, который понес человек. Подобных кейсов в практике почти нет.
Из-за утечки данных компания не только несет финансовые потери, но и может утратить доверие клиентов. И восстановить доброе имя в глазах потребителей крайне сложно.
Что делать, если случилась утечка
Важно определить, действительно ли утекли персональные данные, по которым можно идентифицировать пользователей.
Возможно, потеряно незначительное количество информации и по ней не определить клиентов. Тогда персональным данным пользователей ничего не угрожает. Как показывает опыт работы по таким делам, зачастую масштабы утечек не столь глобальны, а сведения не всегда именно персональные данные.
Обратите внимание
Оперативность расследования, выявление масштаба утечек и скорость реакции PR-служб компании позволяют снизить негативное влияние на репутацию.
Если же все-таки произошла утечка персональных данных, необходимо провести внутреннее расследование, выявить нарушителей и усилить меры безопасности.
Сейчас компания обязана уведомлять об утечках ФСБ и Роскомнадзор. С сентября 2022 года в течение 24 часов необходимо сообщить РКН о самой утечке, а в течение 72 часов — поделиться результатами внутреннего расследования. На сайте Роскомнадзора есть форма, через которую можно направить уведомления. В отношении ФСБ приняли аналогичные правила в феврале 2023 года. Направлять уведомления в это ведомство будут через государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Обратите внимание
Поскольку сроки реагирования на утечку персональных данных очень сжатые, необходима хорошо продуманная внутренняя процедура действий работников в случае утечки, включая уведомление уполномоченных государственных органов.
Чтобы спасти репутацию при утечке данных, можно подать заявление в полицию. В России достаточно часто это делают против хакеров. Но из-за ограниченных технических возможностей тяжело установить конкретное лицо, которое извне организовало диверсию. Хакер может быть за пределами РФ. Маловероятно, что его привлекут к уголовной ответственности и взыщут с него ущерб, считает эксперт.
Если утечку организовал сотрудник компании изнутри, то вряд ли за счет имущества удастся возместить ущерб, который причинен работодателю и его клиентам. Тем не менее компания может обратиться в суд с требованием о возмещении вреда, причиненного преступлением или нанесенного деловой репутации.
Компанию признают потерпевшей, что делает бесперспективным разбирательство о взыскании с нее морального вреда в пользу пострадавших лиц. То есть бизнес таким образом перекладывает ответственность за утечку на тех, кому никак не мог помешать. Фирма становится на одну «белую» сторону с пользователями, получая лишь небольшой штраф.
Как снизить риски утечек персональных данных
Изучить, какие данные собирает компания и для каких целей. Минимизировать их количество.
Составить и разместить на сайте политику обработки персональных сведений и внести в обязанности работников соответствующие положения.
Ограничить круг лиц, у которых есть доступ к базам данных с персональными данными. Назначить людей, которые будут отвечать за обработку персональных данных и их защиту.
Сформировать регламент компании по работе с персональными данными. Утвердить должностные инструкции и предусмотреть в них неразглашение персональных данных и предупреждение об ответственности. Заняться развитием культуры работы с персональными данными.
Провести обучение работников и разъяснить персоналу правила обращения с персональными данными и негативные последствия в случае их нарушения.
Включить в договоры с центрами обработки данных, где хранят персональные данные компании, условия о возмещении потерь.
Внедрить системы защиты при попытке изъятия данных или внешнего подключения, системы шифрования данных, идентификации работника при работе с персональными данными.
