Защита персональных данных: ответственность компаний и штрафы

24.05.2024

Защита персональных данных: ответственность компаний и штрафы

Утечки личных данных, подобные инциденту с "Яндекс Едой", стали предметом ожесточенных обсуждений в деловых кругах. По данным McAfee, злоумышленники чаще всего пытаются похитить следующие виды личной информации:

Электронные адреса;
Номера телефонов;
Адреса проживания;
Пол, возраст и другие антропометрические данные;
Данные платежных средств;
Личные сообщения;
Историю покупок.

Утечка такой информации может быть использована для мошенничества в отношении физических лиц или нанесения ущерба бизнесу.

Защита персональных данных ответственность компаний и штрафы.jpg

Роскомнадзор, основной регулятор в области защиты персональных данных, строго регулирует процедуры и требования по обработке данных. Даже небольшие организации могут соблюдать законодательные требования, хотя опрос HFLabs показал, что половина руководителей не собираются вкладывать средства в защиту данных.

В данной статье рассмотрим различные виды ответственности компаний за утечку личных данных и возможные шаги по реагированию на такие инциденты.

Виды ответственности компаний за утечку личных данных

Любая компания, собирающая персональные данные (что относится почти ко всем ИП и ООО), несет ответственность за их безопасность.

Если утечка данных произошла из-за действий сотрудника, его ответственность зависит от характера нарушения. В некоторых случаях это может привести к внутренним дисциплинарным мерам или даже к увольнению, особенно если данные были защищены законом.

Важно отметить, что даже случайные утечки данных являются нарушением №152-ФЗ. Например, если сотрудник случайно скопировал данные на внешний носитель и оставил его за пределами офиса.

Штрафные санкции

В июле 2023 года был принят законопроект о штрафах за утечки персональных данных, вносящий изменения в Кодекс об административных правонарушениях. Согласно нововведениям:

За утечку данных от 1 тыс. до 10 тыс. граждан предусмотрены штрафы от 3 млн до 5 млн рублей для юридических лиц.
За утечку данных от 10 тыс. до 100 тыс. граждан — от 5 млн до 10 млн рублей.
За утечку данных более 100 тыс. граждан — от 10 млн до 15 млн рублей.

При повторных случаях утечки информации от 1 тыс. граждан предусмотрен штраф от 0,1 до 3% годовой выручки предыдущего или текущего года, но не менее 15 млн рублей и не более 500 млн рублей.

За утечку биометрических данных юридические лица могут быть оштрафованы на сумму от 15 млн до 20 млн рублей. Закон также предусматривает наказание за утечку данных гражданам и должностным лицам.

Для крупных операторов, обрабатывающих более 1 млн записей, установлены дополнительные обязательства, включая наличие специалистов по защите информации и обеспечение финансовой ответственности за убытки от утечек данных.

Штрафные санкции могут быть снижены при наличии смягчающих обстоятельств или отсутствии отягчающих. Отягчающими обстоятельствами являются, например, утечка специальных или биометрических данных, а также препятствие расследованию.

Другие угрозы для бизнеса

Помимо рисков, связанных с возможными штрафами или уголовной ответственностью после введения новых законов, существует также риск нанесения ущерба репутации компании. Почти все случаи утечек информации широко освещаются в СМИ, что негативно сказывается на имидже компании и подрывает доверие ее клиентов.

Что делать в случае утечки

Прежде всего, необходимо определить, какая именно информация была утрачена и в каком объеме. Возможно, это была анонимизированная статистика, которая не представляет угрозы для личной жизни граждан. Иногда масштабы утечек невелики, и персональные данные не находятся под угрозой. Для решения этого вопроса требуется провести внутреннее расследование.

Если стало ясно, что произошла утечка персональных данных, необходимо немедленно уведомить ФСБ и Роскомнадзор. С сентября 2022 года организации обязаны уведомить Роскомнадзор в течение суток после обнаружения инцидента и предоставить результаты внутреннего расследования в течение трех суток. Такие же правила действуют и в отношении ФСБ для субъектов КИИ, подключенных к ГосСОПКА. Порядок взаимодействия операторов ПДн с ГосСОПКА представлен в специальном чек-листе.

Что делать в случае утечки.jpg

Технически сложно определить взломщика, однако такие действия продемонстрируют, что безопасность пользователей для компании приоритетна. Если хакер находится за пределами Российской Федерации, шансы его поймать и привлечь к ответственности снижаются.

Ситуация совершенно иная, если утечку организовал сотрудник. В этом случае компенсация ущерба практически невозможна, однако можно подать в суд. Компания, выступающая в качестве потерпевшей стороны, может ослабить санкции со стороны государства.

В последнее время случаи утечек баз данных стали происходить гораздо чаще. За первое полугодие 2023 года Роскомнадзор зафиксировал 76 инцидентов, в ходе которых было утрачено около 177 млн записей о гражданах. В сравнении с первым полугодием 2022 года, когда было зафиксировано 19 случаев утечек с около 45 млн записей, это говорит о том, что несмотря на общее улучшение ситуации, расслабляться не следует.