Все типы юридических лиц постоянно находятся в сфере риска, связанного с утечкой персональных данных. Они могут быть оштрафованы, а граждане получают массу ненужных или опасных предложений. Многие из них считают свои права нарушенными и обращаются к судам в целях добиться компенсации причиненного им вреда.
Только в 2022 году в интернете было выложено 311 баз данных, а в 2021 в сеть попали данные приблизительно из 60 баз российских операторов обработки персональных данных. Это актуальная проблема. Руководству компаний надлежит знать о последствиях утечки и тех мерах, которые необходимо предпринять для противодействия.
Во что может вылиться утечка персональных данных
Кроме репутационных издержек, компания, ответственная за обработку и хранение персональных данных, может встретиться с ощутимыми финансовыми потерями. Чаще всего накладываются санкции на основании:
- ст. 13.11 КоАП РФ — при возникновении повторных утечек оператор может быть оштрафован на сумму до 300 тыс. рублей;
- ст. 13.14 КоАП РФ — организацию могут привлечь к ответственности за разглашение сведений, доступ к которым ограничен, что грозит штрафом в пределах 200 тыс. рублей.
В настоящее время готовятся новые нормативные акты. Пока ни в КоАП РФ, ни в УК РФ нет статей, которые предусматривали бы состав именно утечки персональных данных. Должностных лиц, ответственных за утечку, могут наказать по другим нормам:
- ст. 137 УК РФ — применяется к составу, связанному с продажей БД с данными клиентов;
- ст. 138 УК РФ — допустимо применение в случае разглашения данных из чужой переписки;
- ст. 272 УК РФ — содержит перечень мер, применяемых в силу неправомерного доступа к данным в памяти ПК, серверов, ЦОДов и различных цифровых хранилищ.
Все эти статьи предусматривают реальное заключение на срок до 2-х лет.
Организация может избежать санкций, если утечка произошла в силу действия хакеров. В таких ситуациях виновными считают тех, кто взломал защиту сайта или сервера.
Чем утечка может обернуться для оператора
Российские суды далеко не всегда и совсем не в том объёме, как этого хотели пострадавшие граждане, компенсируют разглашение персональных данных. Компанию, которая допустила утечку, штрафуют. Обычно на сумму в 50-60 тыс. рублей. Если же клиенты требуют компенсации для себя и подают иски, то с большим трудом суды назначают компенсацию примерно в 5 тыс. рублей.
Часто исковые не принимают, аргументируя это отсутствием подписи или находят, что иск подписало лицо, не имеющее на то необходимых полномочий. Коллективные иски могут не принять, сославшись на то, что каждый из граждан должен доказывать, какой именно вред он получил. Чаще всего суды просто отклоняют поступившие иски.
Как поступать организации
Сначала необходимо установить, как произошла утечка. Если это и не позволит минимизировать её последствия, то снизит вероятность повторного инцидента. Большая часть таких событий инициируется кем-то из персонала или менеджеров. Почти во всех случаях данные похищают не чудо-хакеры, а кто-то из своих сотрудников. Он может быть связан со злоумышленниками, ему могли сделать предложение, от которого он не смог отказаться.
Проверка действий сотрудников в последние дни до предположительной даты наступления нежелательного события должна происходить негласно. Нужно крайне внимательно изучать историю, проверять логи на локальных станциях своих сотрудников. Доверять в такой обстановке нельзя никому, поэтому будет неплохой идеей пригласить IT-специалистов со стороны.
А уже после установления реальной картины дел нужно принять решение о том, какие меры помогут избежать подобных ситуаций в будущем. Всем подозреваемым сотрудникам могут предложить уволиться, материалы расследования прикладываются к официальным уведомлениям, в политику информационной безопасности компании добавляются новые разделы, отражающие случившееся.
В течение 24 часов компания должна уведомить о происшествии Роскомнадзор. И еще 72 часа у компании имеется на информирование о принятых мерах. Подать уведомление можно через сайт Роскомнадзора. Придётся проинформировать ещё и ФСБ, используя для этого систему ГосСОПКА.
У компаний имеется лишь 3 дня на осуществление расследований. Поэтому нужно заранее разработать и утвердить процедуру, которая станет руководством к действию при утечках.
Кроме этого оператор вправе обратиться с заявлением в прокуратуру. Правда, многие атаки идут из-за рубежа, поэтому установить личность хакера чаще всего не получается.
Если же внутреннее расследование покажет, что к инциденту причастен кто-то из работников, то можно обращаться в суд с требованием о взыскании материального и репутационного ущерба. Тогда пострадавшие граждане теряют право компенсировать ущерб за счет компании, допустившей утечку данных, поскольку оператор персональных данных также оказывается в числе пострадавших.