Утечка персональных данных

На это есть несколько причин. Потеря сведений невыгодна не той компании, у которой произошла утрата, и не самим обладателям ПД. Выигрывают в такой ситуации лишь конкуренты по бизнесу, которые получили информацию о клиентах, или мошенники.

Подобные сведения имеют определенную ценность, а все, что имеет ценность, как правило, нужно защищать. Иначе этим воспользуется кто-то другой.

Если смотреть на ПД с точки зрения коммерческого интереса, то ценность заключается в следующем. Организация собирает сведения, такие как, например, пол, возраст, предпочтения,  частота заказов тех или иных товаров (услуг), место проживания, иные сведения, которые помогают понять клиента.

На их основе составляется коммерческое предложение для конкретных лиц. Оно может заинтересовать клиента, который, например, станет охотно пользоваться услугами или покупать товары.

Соответственно, тому, кто собрал такую базу, невыгодно, если ею воспользуются конкуренты. Это создаст дополнительные трудности в привлечении клиентов и уменьшит потенциальный или реальный доход.

Что уж тут говорить о мошенничестве, если эта база попадет в руки аферистов, клиентов как минимум могут замучить бесконечными звонками. Таких злоумышленников может быть множество, впрочем, как и конкурентов. Поэтому защита необходима.

Более того, причина защиты не только в этом. Компания может понести ответственность за потерю данных, а также столкнуться непосредственно с недовольством лиц.

Клиентская база может иметь и денежную оценку, и все, что имеет такой эквивалент, может подлежать продаже. Поэтому такие базы постоянно продаются на черном рынке. Как видите, у мошенников свой бизнес. А если данные устаревшие, их вообще могут распространить даром. 

По своей сути утечка — это несанкционированное распространение (раскрытие) защищаемой конфиденциальной информации. Под такой информацией следует понимать персональные данные физических лиц. Закрытого перечня того, что является ПД, не существует. Поэтому это может быть почти любая информация о гражданах, например, Ф.И.О., пол, возраст, контактные данные, образование, семейное и финансовое положение.

Ключевое в определении персональных данных — это их прямое или косвенное отношение к определенному (определяемому) физлицу.

Утечка может быть преднамеренной или, наоборот, непреднамеренной. Также она имеет последствия как для хранителя таких данных (организации), так и для их обладателя (физических лиц). 

Приведем несколько самых распространенных причин, по которым данные могут попасть не в те руки.

Неосторожность — обычный человеческий фактор. Чаще всего такое происходит с сотрудниками, отвечающими за обработку ПД. Это может быть банальная невнимательность, которая привела к несоблюдению необходимых мер защиты. Сотрудник мог что-либо забыть, даже не имея злого умысла.

Умышленное раскрытие информации. В этом случае, наоборот, работник очень хорошо понимает, что и для чего он делает. Как правило, основная причина — это дополнительный заработок. Однако указанный сотрудник может быть просто знакомым или другом злоумышленника. Поэтому вполне может просто слить какие-то данные «по-приятельски». Или данный работник может оказаться членом организованной преступной группы и поставлять такие данные вообще на регулярной основе. Вариантов масса.

В некоторых случаях мошенники выходят на людей, отвечающих за обработку ПД. Предлагают выкупить базу данных за хорошие деньги. Если сотрудник испытывает финансовые трудности или просто имеет корыстный интерес, он вполне может согласиться на это. Или же работник может самостоятельно предлагать украденную базу на черном рынке. Там он вполне легко может найти себе «контрагента».

Халатность. На должностях, ответственных за обработку ПД, иногда могут сидеть работники, которые находятся там формально. То есть они либо ничего не понимают в данной работе, либо понимают мало. Такое отсутствие знаний можно назвать халатностью, потому что человек осознает, что не соответствует занимаемой должности, но ничего с этим не делает.

Но это не всегда так. Сотрудник вполне может быть профессионалом в этой области. Но ему может быть просто лень производить необходимые процедуры для защиты персональных данных. Или же он считает, что выполнять те или иные действия нет смысла. Такое зачастую как раз и приводит к потере информации.

Взломы. Мошенники зачастую не самые глупые люди. Среди них немало виртуозов, которые умеют взламывать разнообразные системы защиты. Поэтому если они найдут брешь в такой системе, то обязательно этим воспользуются.

Это вполне могут быть бывшие сотрудники, которые ранее трудились на соответствующих должностях. Но по какой-то причине встали не на ту дорожку. И не всегда это корыстный интерес. Это может быть, например, своего рода месть компании за какие-то разногласия и тому подобное.

Неправильные настройки. От ошибок никто не застрахован. Поэтому специалист может быть профессионалом своего дела, но сделать что-то не так. Это достаточно сложная сфера, которая обладает своей спецификой. Кроме того, вместе с совершенствованием защиты улучшают свои навыки и злоумышленники. Соответственно, быстро меняются технологии, которые требуют внимания к деталям и постоянной актуализации. При таких условиях допустить оплошность может каждый. 

Во-первых, нужно понять, действительно ли ушедшие данные являются персональными. То есть можно ли по ним идентифицировать конкретных лиц, нанесет ли данный факт вред субъектам ПД. Если это действительно утечка ПД, нужно будет совершить следующие действия.

1. Уведомите Роскомнадзор. В течение 24 часов вам нужно направить туда первичное уведомление, в котором надо указать:

— обстоятельства произошедшего, какие сведения утекли;

— причины произошедшего;

— предполагаемый вред для субъектов;

— что было предпринято в целях устранения утечки;

— кто отвечает за взаимодействие с Роскомнадзором;

— другие данные, связанные с инцидентом.

2. Проведите внутреннее расследование. Вам нужно выявить нарушителей и принять дополнительные меры безопасности. Также у вас будет 72 часа с момента инцидента, чтобы сообщить в Роскомнадзор о результатах внутреннего расследования. Формы для подачи уведомлений можно найти на сайте Роскомнадзора.

То есть Роскомнадзор нужно информировать дважды — до расследования и по его результатам.

Кроме того, в случае потери данных возникает дополнительная обязанность взаимодействовать с ФСБ. В частности, речь идет о госсистеме обнаружения компьютерных атак. Порядок взаимодействия регулируется Приказом ФСБ РФ от 13.02.2023 № 77.

При необходимости можно также написать заявление в полицию. Однако никаких гарантий, что нарушителя найдут, нет, так как он вполне может находиться за пределами России.

Еще организация может подать в суд. Например, она может обратиться с требованиями о возмещении вреда, нанесенного ее деловой репутации.

В целях своевременного информирования Роскомнадзора у организации также должен быть акт утечки. Речь идет об акте оценки потенциального вреда субъектам ПД. Этот документ фиксирует возможный вред, который может быть причинен субъектам в результате утечки. Потенциальный вред определяется степенью. В частности, это низкая, средняя или высокая степень вреда. После ее определения она указывается в акте. Также документ должен содержать:

— наименование и адрес оператора;

— дату проведения оценки;

— Ф.И.О. и подпись лица, проводившего оценку.

Взаимодействием с органами занимаются так называемые операторы ПД. По сути, это могут любые организации:

— государственные (муниципальные) учреждения;

— обычные юридические лица, сюда можно включить также банки и иные компании.

Кроме того, это могут быть и физические лица. Главное, что все вышеперечисленные субъекты были связаны с организацией и осуществляли обработку ПД.

Если по какой-то причине ПД были незаконно раскрыты неопределенному кругу лиц, это может повлечь ответственность для нарушителей. Существует несколько видов такой ответственности.

Самый распространенный вид — это административная ответственность

Часть 1 статьи 13.11 КоАП РФ — при обработке данных в случаях, когда это не предусмотрено законом или если эта обработка не соответствует целям сбора, ответственность такая:

— для граждан штраф составит от 2 до 6 тыс. рублей;

— для должностных лиц — от 10 до 20 тыс. рублей;

— для юридических лиц — от 60 до 100 тыс. рублей.

Часть 2 статьи 13.11 КоАП РФ — обработка без согласия субъекта либо обработка с нарушением требований к составу сведений, штраф:

— для граждан — от 6 до 10 тыс. рублей;

— для должностных лиц — от 20 до 40 тыс. рублей;

— для юридических лиц — от 30 до 50 тыс. рублей.

Часть 4 статьи 13.11 — оператор не уведомил о нарушенных правах субъекта, штраф:

— для граждан — от 2 до 4 тыс. рублей;

— для должностных лиц — от 8 до 12 тыс. рублей;

— для ИП — от 20 до 30 тыс. рублей;

— для организаций — от 40 до 80 тыс. рублей.

Часть 8 — использование баз данных, которые не находятся на территории РФ, денежное взыскание:

— для физлиц — от 30 до 50 тыс. рублей;

— для должностных лиц — от 100 до 200 тыс. рублей;

— для организаций — от 1 до 6 млн рублей.

В случае повторных аналогичных нарушений штрафы могут быть значительно больше.

Статья 13.14 КоАП РФ — за разглашение ограниченной информации действуют следующие санкции:

— от 5 до 10 тыс. рублей;

— от 40 до 50 тыс. рублей или дисквалификация до 3 лет;

— от 100 до 200 тыс. рублей.

Кроме того, есть и другие положения. Они устанавливают наказание за нарушение правил защиты информации. Это статья 13.12 кодекса.

Гражданско-правовая ответственность

Это означает, что, помимо штрафов, нарушитель должен ответить при обращении к нему с определенными требованиями:

— возмещение убытков;

— компенсация морального вреда;

— возмещение вреда в натуре.

Это следует из статей 15, 151 и 1082 ГК РФ.

Дисциплинарная. К примеру, это может быть увольнение сотрудника, разгласившего конфиденциальную информацию о субъектах.

Материальная. За разглашение сведений, которое повлекло ущерб для работодателя, работник несет материальную ответственность в полном объеме

Уголовная. Если состав преступления указывает на разглашение сведений о частной жизни лица, то может наступить наказание по ст. 137 УК РФ.

К видам такого наказания относится:

— штраф;

— принудительные работы;

— лишение права занимать должность или заниматься определенной деятельностью;

— арест;

— лишение свободы.

Помимо этого, разглашенные сведения могут составлять коммерческую, налоговую или банковскую тайну. В этом случае наказание может последовать уже по ст. 183 Уголовного кодекса РФ. 

В начале года было дано указание об изучении вопроса в отношении введения оборотных штрафов за утечку ПД в организациях. Необходимость таких изменений связана с тем, что на текущий момент штрафы за потерю сведений для компаний с крупным оборотом весьма небольшие. Более того, в действующем законодательстве нет отдельного состава нарушения именно за утечку.

Срок, в течение которого правительство должно было предложить поправки, истек 1 июля 2023 года.

Соответствующие законопроекты разработали, однако в данный момент они находятся в обсуждении. Предлагается ввести размер штрафа до 3 процентов от оборота. Вместе с тем нужно обосновывать ответственность за нарушение в зависимости от характера нарушения и степени вреда. Видится, что нужно указать условия, по которым можно определить, все ли меры защиты были приняты или нет. Также Минюст сообщил, что, по их мнению, нужно еще указать на возможность добровольной компенсации вреда как смягчающего обстоятельства.

Вдобавок сообщалось, что хотят ввести за первичную утечку штраф в фиксированном размере. А вот за повторную — уже оборотный штраф, размер которого потенциально может доходить до 500 млн рублей. 

Чтобы не допустить нарушения, необходимо принимать соответствующие меры защиты. В некоторых случаях законодательство указывает, какие именно меры принять надо в обязательном порядке. Для надлежащей защиты информации нужно сделать следующее.

Издайте у себя необходимые документы, с помощью которых вы будете осуществлять защиту.  Законодательство не устанавливает однозначного и закрытого перечня таких документов. Поэтому вы самостоятельно решаете, что у вас будет и в каком количестве. Как правило, в комплект документов входит следующее:

— политика обработки ПД. Вы можете  самостоятельно определить его структуру, но желательно учитывать рекомендации Роскомнадзора по его составлению. По своей сути это основной документ, который устанавливает категории, цели и способы обработки;

— локальные акты организации. В них должно быть прописано, какие категории обрабатываются и их перечень. А также какими процедурами предотвращается нарушение и его последствия;

— приказ о назначении ответственного лица. Желательно, чтобы сотрудник обладал соответствующими знаниями;

— приказ с перечнем сотрудников, имеющих доступ. Это лица, которые непосредственно могут взаимодействовать с данными;

— соглашение с такими лицами о конфиденциальности, которое обяжет работников не разглашать полученную информацию;

— иные документы (на ваше усмотрение).

Соблюдайте организационные и технические меры. Если речь идет о сведениях, которые хранятся в бумажном виде, вам нужно лишь ограничить доступ к ним и контролировать входящих лиц. Вы можете предусмотреть также какую-либо дополнительную защиту.

Если это электронные сведения, то порядок такой:

— нужно определить тип угрозы безопасности. Их всего три: это угрозы первого, второго и третьего типа;

— подобрать уровень защиты. Уровень подбирается в зависимости от типа угрозы. Всего предусмотрено четыре таких уровня;

— принять меры в зависимости от установленного уровня защиты. Конкретные меры описаны в пп. 13—16 требований, установленных Постановлением Правительства РФ от 01.11.2012 № 1119.

Кроме того, не забывайте о необходимости взаимодействия с госсистемой, которая обнаруживает, предупреждает и ликвидирует последствия компьютерных атак и тоже является защитой. Через нее вы сообщаете о возникшем инциденте. Порядок взаимодействия с этой системой, как говорилось ранее, регулируется приказом ФСБ № 77.