Регулярно в сети появляется информация о том, что персональные данные пользователей от одной или другой компании утекли в сеть. В связи с чем становится острым вопрос — как не допустить утечки и что делать, если она все же произошла.
С 1 марта 2022 года были внесены изменения в ФЗ № 152 от 27.07.2006 года «О персональных данных». Теперь действуют новые правила, которые должны обеспечить дополнительную защиту персональных данных (ПД) частных лиц.
Что именно изменилось:
молчание пользователя или его бездействие нельзя расценивать, как согласие на обработку ПД;
если для части данных понадобится разрешение на распространение, это должно быть оформлено отдельно;
оператор обязан предоставить пользователю лично определить, какие данные можно хранить или распространять, для каждой категории данных отдельно;
в согласии на обработку ПД может быть установлен запрет на передачу информации неограниченному количеству лиц и оператор не может в этом отказывать.
Кроме того, теперь законом предписано прекратить передачу ПД в любой момент по требованию пользователя, который их предоставил. ПД могут обрабатываться только теми операторами, которым пользователь их направил.
В законе не уточняется, какие именно данные являются персональными. Но в соответствии с формулировкой к ним может относиться любая информация, которая относится к физлицу, например:
ФИО;
адрес и место рождения;
дата рождения;
адрес электронной почты;
номер мобильного или стационарного телефона;
фотографии;
ссылки на личный сайт человека;
ссылки на профили в соцсетях.
К персональным данным можно отнести любую информацию, которая может идентифицировать человека.
Оператором данных может стать физлицо, ИП или любое юрлицо. По факту любого владельца сайта или продавца на маркетплейсе можно считать оператором персональных данных — он размещает форму обратной связи, регистрации, предлагает оформить заказ, возврат или зарегистрировать личный кабинет на сайте.
Каждый оператор обязан соблюдать закон и следить за сохранностью вверенных ему персональных данных клиентов. В случае провала и утечки информации ему придется отвечать в суде, даже данные украли у физлица и мастера по ноготочкам по совместительству.
Читайте также:
Web3: каким станет маркетинг в новую эру интернета
Только в 2022 году утекли в сеть данные из DNS, Start, СДЭК, «Почты России» и у других компаний. Это происходит регулярно по разным причинам, основные среди которых — хакерская деятельность и действия сотрудников компании (халатность, ошибка, намеренное вредительство).
Например, у СДЭК в 2022 году «утекли» в сеть в результате взлома имена, фамилии, телефоны, даты рождения, адреса электронных почт и хешированные пароли более 100 тысяч пользователей. Компания ведет внутреннее расследование, а пользователям стоит хотя бы поменять пароли от почты.
Команда антивируса McAfee определила несколько типов данных, которые часто оказываются в сети:
адрес электронной почты;
номер телефона;
связка «логин-пароль»;
место и адрес работы;
дата рождения;
данные о подключенных устройствах;
пол, рост, вес, возраст пользователя;
платежные данные;
история покупок;
архив сообщений.
Чем это грозит простым пользователям. Каждая отдельная утечка мало чем грозит простому пользователю. Например, если к злоумышленникам попадет ваш логин в сервисе без пароля или только дата рождения, сделать с этим они вряд ли что-то смогут.
Но чем больше таких утечек, тем больше данных о вас может быть у одной команды. Ведь они могут собирать одну большую базу из множества мелких. Много разной информации способно сформировать портрет конкретного пользователя, которого затем можно атаковать.
В свободном доступе появились данные пользователей онлайн-кинотеатра Start — почти 44 миллиона аккаунтов. В базе содержатся ФИО пользователей, телефоны, адреса электронной почты, хешированные пароли, IP-адреса, страна. Ведется внутреннее расследование.
Самая заметная опасность — вероятность слива банковских данных. Но такие утечки происходят крайне редко, благодаря серьезной защите и контроле со стороны банков. За 2021 год на такую информацию пришлось около 0,4% от всех утечек данных. Чаще всего в мошенничестве с платежными данными виноваты сами пользователи — авторизуются и используют данные своих карт на сомнительных и откровенно фишинговых сайтах.
Оксана Сидоренков, главный юрисконсульт «ПРАВОКАРД» рассказывает, как поступить физическому лицу, как можно наказать компанию, у которой произошла утечка его персональных данных:
«Гражданин, который обнаружил незаконное использование своих персональных данных, может потребовать с компании возмещение убытков и (или) компенсацию морального вреда.
Для привлечения компании к ответственности нужно обратиться с жалобой в Роскомнадзор. При установлении факта нарушения Роскомнадзор может привлечь компанию к ответственности в соответствии со ст. 13.11 КоАП РФ. Во время проверки устанавливаются обстоятельства утечки и виновные лица, а также причастность и возможная вина компании.
Даже если утечка произошла в результате взлома технических устройств компании, это не исключает ее вины и ответственности. Так как вмешательство третьих лиц возможно и в связи с недостаточной надежностью защиты или ее отсутствием.
Размер компенсации определяется индивидуально исходя из тех убытков, которые были понесены человеком. Размер морального вреда законодательством не регламентирован, и может зависеть от характера причиненных нравственных страданий, а также от степени вины причинителя вреда.
Размер морального вреда будет зависеть от того, насколько доказаны физические и нравственные страдания, итоговая же сумма определяется судом».
Читайте также:
Точка безубыточности: что это такое и как посчитать
Закон требует, чтобы компании следили за данными клиентов и не допускали утечки. За разглашение или неверное хранение можно получить штраф до 1 млн, а в некоторых случаях до 18 млн рублей. Разберем последствия утечки подробнее.
Проверки. В случае утечки ПД или для исключения вероятности факта утечки ПД компанию может проверить Роскомнадзор. Вполне возможно, что во время проверки найдутся и другие нарушения, даже если факт утечки информации не будет подтвержден.
Требования компенсации. Пострадавшие пользователи могут обратиться с требованием компенсации, как в частном порядке, так и с помощью коллективных заявлений. Компания может отказаться от урегулирования вопроса в таком порядке, но и пользователи могут обратиться за помощью в суд.
Суды. Если компания не сможет договориться с пострадавшими, они пойдут в суд. Это увеличивает репутационные и финансовые потери, а также занимает много времени и придает делу огромную огласку.
Штрафы. В соответствии с российским законодательством компании отвечают за ПД, которые им были предоставлены.
В случае утечки можно получить штрафы:
От 60 000 до 100 000 рублей. За обработку информации в случаях, которые не предусматривались соглашением с пользователем либо обработка, несовместимая с целями сбора ПД.
От 15 000 до 75 000 рублей. За обработку без письменного согласия субъекта.
От 15 000 до 30 000 рублей. За отсутствие доступа пользователя к политике обработки ПД.
От 700 до 50 000 рублей. За передачу информации третьим лицам.
До 300 000 рублей. За утечку данных работников силовых структур.
До 500 000 рублей. За утечку информации о гражданах под государственной защитой.
В качестве примера можно привести серьезную утечку ПД у «Яндекс.Еды», когда в сеть попали данные 58 тысяч пользователей — адреса, телефоны, коды домофонов, суммы трат клиентов в приложении за полгода и другая информация. В результате компанию оштрафовали на 60 000 рублей. Пострадавшие подали коллективный иск в суд с требованием выплатить каждому по 100 000 рублей.
Юристы сообщают, что им предстоит обосновать размер убытков, а это не так просто. Скорее всего, каждому выплатят всего по несколько тысяч рублей. Кроме того, до этого случая коллективных исков по защите ПД в России не было.
В законе о персональных данных (статья 24) значится, что компания должна компенсировать причинение гражданину морального вреда или нравственных страданий из-за нарушения обработки ПД. И такая компенсация выплачивается вне зависимости от возмещения имущественного вреда и убытков субъекта. Но моральный вред сложно доказать.
Минцифры предлагает ввести не фиксированные, а оборотные штрафы за утечку ПД пользователей. Если закон примут, то штраф для компании может составить от 1 % до 15 % от оборота компании. Это могут быть миллионы рублей — серьезное наказание за подобные проступки.
Читайте также:
10 способов удержать клиентов и увеличить прибыль
Любая утечка информации может нанести серьезный репутационный и экономический ущерб фирме. Снизится уровень доверия, уменьшится количество покупателей, станут вероятными штрафы со стороны проверяющих органов, огласка и суды, а затем и компенсации пострадавшим клиентам.
Проще этого избежать, чем разбирать последствия. Ниже — способы, как минимизировать вероятность утечки информации, но помните, что использовать их нужно в комплексе.
Внутри компании должны быть специальные локальные акты, в которых подробно описывается порядок работы с ПД — что можно собирать и в каких случаях, как нужно хранить информацию и кому передавать. Подобными документами может быть политика обработки данных и модели угроз безопасности (как и куда могут утечь данные). С каждым таким документов нужно знакомить сотрудников под подпись.
Если персонал работает с ПД, это должно быть прописано в должностной инструкции и в трудовом договоре в разделе конфиденциальности информации с указанием ответственности за нарушение.
С помощью периодических обзоров всех процессов приватности становится проще выявить риски утечки информации. Например, руководитель должен регулярно проверять, как работает команда, из каких задач состоит их рабочий день, на какие нормативные документы они опираются при работе, не открывают ли подозрительные письма в почте.
Также не будет лишним проверять, на каких основаниях передаются данные контрагентам или поставщикам. В случае, если это делается без соответствующих разрешений, это прямое нарушение закона.
В 2022 году произошла утечка данных из «Ростелеком». В сеть попали данные из аккаунтов пользователей компании — ФИО, электронные адреса, телефоны и пароли и IP-адреса.
Компания запустила внутреннее расследование. Предполагается, что к утечке причастен уволенный в 2021 году сотрудник, который скопировал на свою флешку часть справочника для внутреннего пользования. Роскомнадзор составил протокол, ответственность по которому составляет от 100 000 до 300 000 рублей.
Читайте также:
11 типов UGC-контента: что это за контент и что он дает бизнесу
Например, если у вас много сотрудников и они постоянно работают с ПД клиентов, для них нужно регулярно проводить обучение. Важно донести до персонала идеи правильного обращения с документами и наказания за их нарушение.
Кроме того, важно формировать здоровый климат внутри компании. Если сотрудник будет комфортно чувствовать себя на работе и его все будет устраивать, попытки подкупить его с целью слива информации могут быть провалены.
Часть задач можно поручить другим компаниям и агентствам, составив нужные документы о передаче персональных данных. Например, комплексный маркетинг проще поручить агентству и не занимать этим время внутренних сотрудников. Сделать это очень просто — нужно создать задачу на площадке Workspace. Затем — подождать, когда на нее откликнуться диджитал-агентства. Останется только выбрать среди них исполнителей, которые на ваш взгляд, справятся с задачей лучше всех. Готово, дальше можно заниматься другими задачами бизнеса, а с этим направлением будут работать профессионалы.
Важно следить за всеми компьютерами, флешками, серверами, на которых хранятся персональные данные клиентов. Все неучтенные переносные носители данных (флешки, жесткие диски) не должны подключаться к системе компании. Для контроля нужно вести специальный журнал — бумажный или электронный.
Журнал может выглядеть так:
Рег. номер | Дата постановки | Назначение | Категория ПД | Место хранения | Должность пользователя | Реквизиты акта об уничтожении |
|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
С таким журналом вы точно будете знать, где находится вся техника, на которой размещены ПД. Например, не будет неучтенных флешек, которые можно вынести за территорию компании.
Кстати, серверы обязательно должны быть физически размещены на территории России, иначе они не будут соответствовать «требованию о локации». За несоблюдение оператор может получить штраф до 18 000 000 рублей.
Один из эффективных способов защиты имеющейся информации. Даже если злоумышленники получат вашу базу, воспользоваться зашифрованными данными будет намного сложнее.
В каждой организации, которая хранит у себя персональные данные пользователей, должно стоять специальное ПО. Среди них антивирусы, файрволы и другие программы, которые помогут защитить данные от возможного воровства. Отдельно стоит отметить DLP-системы, которые специализируются на защите от утечек.
Читайте также:
Что такое трипваер и для чего он нужен
Для этого компания может заказать пентест, анализ защищенности систем или их безопасности. Такие исследования могут быть направлены на:
специальную имитацию атаки хакеров на системы компании с целью определить ее слабые места;
проверку работоспособности систем компании и выявление всех возможных уязвимостей;
проверку соответствия информационной системы и всех связанных процессов рекомендациям нормативных документов, ПО и производителей оборудования.
Вверенные компании персональные данные можно передавать другим структурам и компаниям только в строго определенных случаях:
Органам власти. Должно быть предоставлено правовое основание. Это может быть ордер, приказ или судебное решение. Нельзя передавать информацию о пользователе просто потому, что к вам за ней обратился майор полиции.
Контрагентам. Должно быть оформлено соглашение о защите. Только если контрагент письменно обязуется защищать переданные ему данные человека, а сам пользователь на это согласен (отдельным разрешением на передачу).
Партнерам. Потребуется поручение на обработку. Если вы передаете данные на обработку другой компании, вам нужно составить поручение на обработку. Без него партнер не имеет права трогать чужие ПД.
Разбираем несколько советов, что делать, если ваши данные в слитой базе.
Важно — иногда объявления об утечке данных используют мошенники. Они присылают сообщения, которые заставляют действовать на эмоциях. Поэтому сначала нужно успокоиться и трезво посмотреть на ситуацию.
Об утечке должна появиться информация — на официальном сайте компании (возможно, с запозданием) или в их рассылке. Также об утечках часто говорят крупные СМИ. Изучите новостную повестку, возможно, информация об утечке не относится к реальности.
В мае 2022 года в даркнете появились в продаже данные из слитой базы клиентов лаборатории «Гемотест». В базе содержится 31 миллион строк данных — ФИО, дата рождения, домашний адрес, телефон, серия и номер паспорта, адрес электронной почты и т.п.. Компания заявила, что данные были украдены из-за уязвимости в IT-системе лаборатории, но расследование ведет. Суд оштрафовал компанию на 60 000 рублей.
От этого зависит, нужно ли вообще действовать. Например, если в публичный доступ попала дата рождения без привязки к ФИО и номеру телефона, это ничего не значит. Не опасно, если в сети логин без пароля, адрес электронной почты и даже номер телефона. Плохо, если это платежные данные (крайне маловероятно) или адрес места жительства.
Проверьте активность в тех аккаунтах, которые утекли в сеть. Приходили ли письма на электронную почту или звонки на мобильный? Пытался ли кто-то авторизоваться под вашим логином или номеру телефона в банковских приложениях? Или была попытка перевода средств?
Большинство попыток взлома и использования информации влечет за собой следы и уведомления.
Читайте также:
Как добиться максимальной эффективности от линкбилдинга: советы эксперта
Если в руки попала база, не стоит вбивать в поиск свои данные в надежде проверить. Некоторые мошенники так пополняют свои базы и проверяют актуальность имеющейся информации.
Если в сеть попали номера телефонов или адрес почты, приготовьтесь к волне звонков и писем из якобы банков, правоохранительных органов и других организаций. Относитесь к любым звонкам скептически.
Не слушайте, если вам предлагают за определенную плату удалить вашу информацию из базы. Это не поможет защитить данные — даже если они удалят, их вполне могли скопировать другие мошенники.
Если в слитой информации оказались платежные данные и номер телефона — лучше заблокировать счета. Банк примет меры только в случае серьезной внутренней утечки информации, если рассекретили данные пары человек, нужно действовать самостоятельно.
Если произошел слив персональных данных по любой причине, клиентам нужно разослать уведомление о том, что конфиденциальность их данных, возможно, была нарушена. Без такого уведомления можно получить штраф в размере от 40 000 до 80 000 рублей для компаний и от 20 000 до 40 000 рублей для ИП.
Дальнейшие действия зависят от того, кто стал причиной утечки информации. Если это неизвестные хакеры и выяснить личность вора невозможно, компания вряд ли сможет подать на него в суд. Но штрафов можно избежать.
Вот что говорит Петр Гусятников, старший управляющий партнер юридической компании PGPartners:
«Если же базу взломали хакеры, то здесь встанет вопрос о наличии вины компании. Причем отсутствие вины в утечке персональных данных обязана будет доказывать компания. Если им удастся доказать, что они приняли все меры для надлежащего исполнения обязательства, то суд признает их невиновными».
Если причиной слива оказался сотрудник компании, руководство организации может обратиться в полицию или прокуратуру, где сотрудника привлекут к административной или уголовной ответственности.
Что нужно сделать:
Потребовать письменное объяснение от работника. В нем должны быть причины, получатели информации и пояснение его действий. При отказе через 2 рабочих дня руководитель может самостоятельно составить акт.
Провести служебное расследование. Нужно создать комиссию и изучить все обстоятельства дела. По результатам работы комиссии составляется акт о нарушении должностных обязанностей. С таким актом можно накладывать административное взыскание.
Провести приказ о наложении дисциплинарного взыскания. Это может быть замечание, выговор или увольнение в зависимости от тяжести совершенного проступка.
Кратко — что делать еще до суда, если в утечке виноват сотрудник
Компенсировать снижение дохода из-за оттока покупателей или взыскать упущенную выгоду с сотрудника не получится. Нет такой статьи в трудовом законодательстве. Но описанный выше подход помогает компании избежать проверки от разных органов и штрафов.
Вот что говорит Петр Гусятников, старший управляющий партнер юридической компании PGPartners:
«Если утечка информации произошла по вине конкретного работника компании, то ответственность все равно будет лежать на работодателе, так как согласно ст. 1068 ГК РФ юридическое лицо либо гражданин возмещает вред, причиненный его работником при исполнении трудовых (служебных, должностных) обязанностей.
Также согласно ст. 238 ТК РФ работник обязан возместить работодателю причиненный последнему прямой действительный ущерб.
Сотрудник должен будет возместить компании ущерб в связи с тем, что нарушил трудовое и гражданское законодательство. А привлечение к уголовной и административной ответственности не исключает применения гражданско-правовой ответственности к правонарушителю».
За нарушение неприкосновенности частной жизни есть уголовная ответственность по ст. 137 (ч.2) УК РФ. Например, сюда можно отнести любые ПД клиентов компании. За это сотрудник может получить штраф от 100 000 до 300 000 рублей, в размере зарплаты за период до 2 лет. За особо тяжкие и крупные нарушения — лишение свободы на срок до 4 лет.
За незаконное получение и разглашение сведений, которые относятся к коммерческой, налоговой или банковской тайне предусмотрена уголовная ответственность ст. 183 (ч.2) УК РФ. Сюда можно отнести, например, платежные данные клиентов. За нарушение статьи сотрудник может получить штраф в размере до 1 000 000 рублей, в размере зарплаты за период до 2 лет. За крупные и тяжкие правонарушения — до 4 лет лишения свободы.
Все эти наказания для сотрудников работают при соблюдении 3 условий:
При приеме на работу сотрудник подписывал документы о порядке обработки и неразглашении третьим лицам ПД клиентов.
Сотрудник работал с ПД и имел (либо мог получить) доступ к ПД.
При выявлении нарушения было получено объяснение либо акт, проведено расследование и наложено дисциплинарное взыскание.
Оксана Сидоренков, главный юрисконсульт «ПРАВОКАРД», сообщает, что возмещение сотрудником возможно только в случае, если будут установлены умышленные действия работника (в силу ст. 243 ТК РФ при умышленном причинении ущерба работник несет материальную ответственность в полном размере причиненного ущерба), и если вина работника будет доказана в рамках административного или уголовного дела.
Для упрощения действий мы приведем алгоритм, который нам помогли составить юристы.
Краткое пояснение, как действовать в случае обнаружения ваших ПД в сети
Оксана Сидоренков главный юрисконсульт «ПРАВОКАРД» предлагает сначала обращаться в Роскомнадзор с жалобой на незаконное использование персональных данных. После получения ответа от Роскомнадзора — обратиться с письменной претензией к компании, которая виновата в незаконной обработке данных.
Если придется обращаться в суд, то в районный суд, по месту нахождения организации.
Как предлагает действовать Петр Гусятников, старший управляющий партнер юридической компании PGPartners:
«Если невозможно установить источник утечки персональных данных, то, действительно, ничего не получится предпринять. Но, если гражданин уверен, из-за какой компании произошла утечка данных или какой именно сайт разместил их у себя без согласия, то необходимо обратиться с письменной претензией к виновникам утечки данных.
Если требования, изложенные в претензии, не будут удовлетворены в добровольном порядке в течение 30 дней, то гражданин вправе обратиться в суд за защитой своих прав с использованием способов защиты, указанных в ст. 12 ГК РФ, в частности с помощью компенсации морального вреда.
Обращаться нужно с исковым заявлением в суды общей юрисдикции, а именно в районные суды по месту жительства гражданина (ст. 29 ГПК РФ).
Но, надо заметить, что в России добиться значительной компенсации морального вреда в судебном порядке практически невозможно. В основном суммы, которые реально присуждают суды, независимо от первоначальных требований, ограничиваются
10-20 тыс. рублей.Также помимо вышеперечисленных способов защиты, необходимо обратиться в Роскомнадзор, который осуществляет контроль над исполнением требования законодательства о персональных данных. В обращении нужно указать:
перечень персональных данных, незаконно обращаемых в сети «Интернет»;
для подтверждения того, что указанные данные принадлежат именно этому гражданину, необходимо сообщить сведения о документе, удостоверяющего личность гражданина;
скрины с сайтов, на которых размещены персональные данные, содержащие в себе полный адрес страницы сайта (URL) и даты публикации постов/сообщений, содержащих незаконно обрабатываемые (размещённые) персональные данные на текущий момент времени (дата) и другие сведения, подтверждающие нарушения требований законодательства в области персональных данных (видеозапись экрана с действиями, позволяющими зафиксировать нарушения и т.п.);
сведения о направлении гражданином в адрес компании претензии с требованием уничтожить персональные данные с указанием на их незаконное получение, а также ответ оператора на претензию гражданина«.
Кроме подачи претензии или иска стоит обратиться в «Роспотребнадзор»
Адвокат или иной представитель по данной категории споров не обязателен. Однако лицо, имеющее высшее юридическое образование, значительно увеличит вероятность удовлетворения исковых требований в суде, так как нравственные страдания гражданина, причиненные утечкой его персональных данных, необходимо будет доказать.
При предоставлении доказательств, обосновывающих требования истца, взыскать деньги вполне реально, однако размер денежной суммы будет определяться судом. Но насколько это рентабельно, учитывая реальные компенсации, стоит подумать.
Мы разобрались в вопросе правил сбора персональных данных. Изучили, что изменилось в законе, как это отразится на работе компаний. Рассмотрели, как минимизировать вероятность утечки и что делать, если утечка произошла. Также разобрались в не менее важном вопросе, можно ли подать в суд на компанию, которая допустила утечки ваших данных в сеть.
Подпишитесь на ежемесячную рассылку Workspace
Отлично! Мы отправили письмо на указанный вами электронный ящик с инструкцией по подтверждению.
Если письмо с подтвержением вашего e-mail не будет получено в течение 10 минут, пожалуйста, проверьте папку СПАМ в соответствующем почтовом ящике.
