Утечки личных данных, подобные инциденту с "Яндекс Едой", стали предметом ожесточенных обсуждений в деловых кругах. По данным McAfee, злоумышленники чаще всего пытаются похитить следующие виды личной информации:
Утечка такой информации может быть использована для мошенничества в отношении физических лиц или нанесения ущерба бизнесу.
Роскомнадзор, основной регулятор в области защиты персональных данных, строго регулирует процедуры и требования по обработке данных. Даже небольшие организации могут соблюдать законодательные требования, хотя опрос HFLabs показал, что половина руководителей не собираются вкладывать средства в защиту данных.
В данной статье рассмотрим различные виды ответственности компаний за утечку личных данных и возможные шаги по реагированию на такие инциденты.
Виды ответственности компаний за утечку личных данных
Любая компания, собирающая персональные данные (что относится почти ко всем ИП и ООО), несет ответственность за их безопасность.
Если утечка данных произошла из-за действий сотрудника, его ответственность зависит от характера нарушения. В некоторых случаях это может привести к внутренним дисциплинарным мерам или даже к увольнению, особенно если данные были защищены законом.
Важно отметить, что даже случайные утечки данных являются нарушением №152-ФЗ. Например, если сотрудник случайно скопировал данные на внешний носитель и оставил его за пределами офиса.
Штрафные санкции
В июле 2023 года был принят законопроект о штрафах за утечки персональных данных, вносящий изменения в Кодекс об административных правонарушениях. Согласно нововведениям:
При повторных случаях утечки информации от 1 тыс. граждан предусмотрен штраф от 0,1 до 3% годовой выручки предыдущего или текущего года, но не менее 15 млн рублей и не более 500 млн рублей.
За утечку биометрических данных юридические лица могут быть оштрафованы на сумму от 15 млн до 20 млн рублей. Закон также предусматривает наказание за утечку данных гражданам и должностным лицам.
Для крупных операторов, обрабатывающих более 1 млн записей, установлены дополнительные обязательства, включая наличие специалистов по защите информации и обеспечение финансовой ответственности за убытки от утечек данных.
Штрафные санкции могут быть снижены при наличии смягчающих обстоятельств или отсутствии отягчающих. Отягчающими обстоятельствами являются, например, утечка специальных или биометрических данных, а также препятствие расследованию.
Другие угрозы для бизнеса
Помимо рисков, связанных с возможными штрафами или уголовной ответственностью после введения новых законов, существует также риск нанесения ущерба репутации компании. Почти все случаи утечек информации широко освещаются в СМИ, что негативно сказывается на имидже компании и подрывает доверие ее клиентов.
Что делать в случае утечки
Прежде всего, необходимо определить, какая именно информация была утрачена и в каком объеме. Возможно, это была анонимизированная статистика, которая не представляет угрозы для личной жизни граждан. Иногда масштабы утечек невелики, и персональные данные не находятся под угрозой. Для решения этого вопроса требуется провести внутреннее расследование.
Если стало ясно, что произошла утечка персональных данных, необходимо немедленно уведомить ФСБ и Роскомнадзор. С сентября 2022 года организации обязаны уведомить Роскомнадзор в течение суток после обнаружения инцидента и предоставить результаты внутреннего расследования в течение трех суток. Такие же правила действуют и в отношении ФСБ для субъектов КИИ, подключенных к ГосСОПКА. Порядок взаимодействия операторов ПДн с ГосСОПКА представлен в специальном чек-листе.
Технически сложно определить взломщика, однако такие действия продемонстрируют, что безопасность пользователей для компании приоритетна. Если хакер находится за пределами Российской Федерации, шансы его поймать и привлечь к ответственности снижаются.
Ситуация совершенно иная, если утечку организовал сотрудник. В этом случае компенсация ущерба практически невозможна, однако можно подать в суд. Компания, выступающая в качестве потерпевшей стороны, может ослабить санкции со стороны государства.
В последнее время случаи утечек баз данных стали происходить гораздо чаще. За первое полугодие 2023 года Роскомнадзор зафиксировал 76 инцидентов, в ходе которых было утрачено около 177 млн записей о гражданах. В сравнении с первым полугодием 2022 года, когда было зафиксировано 19 случаев утечек с около 45 млн записей, это говорит о том, что несмотря на общее улучшение ситуации, расслабляться не следует.