Если у вас есть вопрос по услуге или задача в рамках направления, напишите нам. Наши специалисты проведут консультацию, помогут найти оптимальное решение вашей проблемы.
1. Введение
2. Виды ответственности организации за утечку персональных данных
3. Штрафы
5. Что делать, если случилась утечка
Введение
Утечки персональных данных, после инцидента с «Яндекс Еда», стали остро обсуждаться на корпоративном уровне. По данным McAfee, чаще всего злоумышленники воруют следующую информацию, содержащую ПД:
- Электронную почту;
- Телефонные номера;
- Адрес;
- Пол, возраст, антропометрические данные;
- Платежную информацию;
- Сообщения;
- Историю покупок.
Утечка персональных данных может проходить как для последующего мошенничества с физическими лицами, так и с целью компрометации бизнеса.
У Роскомнадзора, как основного регулятора по ПД, есть четкое понимание правильных процессов защиты и обработки ПД. Требования законодательства вполне понятные, и могут быть реализованы даже в рамках небольшой организации. При этом опрос HFLabs показал, что ½ руководителей не собираются инвестировать деньги в защиту данных.
В этой статье рассмотрим, какие существуют виды ответственности компаний за утечку персональных данных и как действовать, если она произошла.
Виды ответственности организаций за утечку персональных данных
Любая компания, которая собирает персональные данные (а это почти все ИП и ООО), несет ответственность за их сохранность.
Если виновным в нарушении является сотрудник, то степень его ответственности будет зависеть от характера совершенного правонарушения. В отдельных случаях наказание может быть внутренним или ограничится увольнением сотрудника, например, если он получил доступ к информации, охраняемой законом.
Следует обратить внимание, что даже утечки без злого умысла все равно остаются нарушением №152-ФЗ. Например, если сотрудник случайно скопирует информацию на карту памяти и оставит ее на своем компьютере дома.
Штрафы
В конце июля 2023 года была закончена работа над законопроектом об оборотных штрафах за утечки персональных данных. Теперь предусмотрено наказание за подобные инциденты до 3% совокупной выручки компании.
Документ оформлен как поправки в Кодекс об административных нарушениях. Согласно ему:
- если утечка касается от 1 тыс. до 10 тыс. граждан, то штраф для юрлиц составит от 3 млн до 5 млн руб.;
- за утечку данных от 10 тыс. до 100 тыс. граждан — от 5 млн до 10 млн руб.;
- более 100 тыс. — от 10 млн до 15 млн руб.
- за утечку данных от 10 тыс. до 100 тыс. граждан — от 5 млн до 10 млн руб.;
- более 100 тыс. — от 10 млн до 15 млн руб.
При рецидиве утечки любого количества информации от 1 тысячи граждан предлагается штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб.
За утечку биометрических данных юрлица будут штрафовать на сумму от 15 млн до 20 млн руб. Законопроект также предлагает ввести штраф за утечку данных персональных лиц для граждан и должностных лиц.
Для "больших" операторов, которые обрабатывают свыше 1 млн записей, считают необходимым установить следующие обязанности:
- оператор должен быть российским юридическим лицом;
- иметь в штате не менее 5 работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора;
- иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем 100 млн рублей;
- использовать для обработки персональных данных базы данных только на территории РФ;
- подтвердить, что обработка персональных данных граждан осуществляется с учетом требований по обеспечению информационной безопасности.
- оператор должен быть российским юридическим лицом;
- иметь в штате не менее 5 работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора;
- иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем 100 млн рублей;
- использовать для обработки персональных данных базы данных только на территории РФ;
- подтвердить, что обработка персональных данных граждан осуществляется с учетом требований по обеспечению информационной безопасности.
Предполагалось, что как-либо снизить штраф возможно только, если нет отягчающих обстоятельств или есть смягчающие. К отягчающим относятся:
- Утечка специальных или биометрических данных;
- Препятствие расследованию РКН или попытка его саботировать.
Смягчающим обстоятельством до разработки финальной версии должно было стать возмещение ущерба компанией двум третям пострадавших или демонстрацией того, что компания инвестировала дополнительные средства в инфраструктуру для обеспечения безопасности. Но в последних доработках документа смягчающие обстоятельства не упоминаются.
Другие риски для бизнеса
Помимо рисков получить штраф или уголовную ответственность после принятия законов, уже сейчас бизнес рискует своей репутацией. Практически все утечки широко освещаются в СМИ. Это накладывает негативный отпечаток на деятельность компании и, в целом, подрывает доверие клиентов.Что делать, если случилась утечка
В первую очередь, необходимо понять, в каком количестве и какая информация была потеряна. Возможно, потеряна обезличенная статистика, которая никак не влияет на личную жизнь граждан. Часто масштабы утечек не настолько глобальны и ПД ничего не угрожает. Чтобы решить этот вопрос, необходимо провести внутреннее расследование.
Если стало ясно, что произошла утечка персональных данных, необходимо уведомить об этом ФСБ и Роскомнадзор. Начиная с сентября 2022 года у организации есть сутки на то, чтобы оповестить РКН, а также трое суток на предоставление результатов внутреннего расследования. Такие же правила действуют в отношении ФСБ, если организация является субъектом КИИ, подключенным к системе ГосСОПКА. Порядок взаимодействия операторов ПДн с ГосСОПКА собрали в отдельном чек-листе:
Минус в том, что технически определить хакера достаточно сложно, но это покажет, что компании не все равно на безопасность своих пользователей. Если взломщик находится за пределами Российской Федерации, то шансы его поймать и привлечь за преступления еще ниже.
Абсолютно другая ситуация, если «слив» организовал сотрудник. В этом случае возместить ущерб практически невозможно, но можно подать в суд. Компания из обвиняемого станет потерпевшим, и санкции от государства будут ослаблены.
В последнее время сообщения об утечках баз данных стали появляться значительно чаще. За первое полугодие 2023 года специалисты Роскомнадзора зафиксировали 76 инцидентов, в сеть попали около 177 млн записей о гражданах. Для сравнения: за первое полугодие 2022 года было зафиксировано 19 фактов утечек персональных данных, в ходе которых в открытый доступ попали около 45 млн записей. Это говорит о том, что несмотря на общее улучшение ситуации за последние годы, расслабляться не стоит.
Автор:
Татьяна Никонорова,
ведущий консультант по ИБ, компания Innostage
