Штраф за утечку персональных данных для организации

Из статьи вы узнаете:

Утечка персональных данных, как правило, происходит потому, что операторы недобросовестно относятся к их защите. Последствия могут быть как серьезными, так и незначительными. В любом случае, законодательством введен штраф за утечку персональных данных для организации.

Кто может пострадать?

Под персональными данными (ПД) понимаются любые сведения о человеке, с ним связанные. Они позволяют идентифицировать личность, получить интересующую информацию и даже совершать посягательства на имущество или тайну личной жизни.

Чаще всего к злоумышленникам попадает информация:

пользователей банковских карт;
получателей медицинских услуг;
вкладчиков банков;
собственников недвижимого имущества;
владельцев пенсионных накоплений.

Этот перечень не исчерпывающий: пострадать от утечки ПД могут и другие субъекты. Так, в конце февраля 2022 года были похищены данные клиентов сервиса Яндекс Еда. Пользователям были принесены извинения, однако 22 марта 2022 года в телеграм-каналах появилась ссылка на интернет-ресурс, где была собрана вся утекшая информация.

Данные оказались визуализированы в виде карты. В интернет попали: имена пользователей, адреса доставок, номера телефонов, электронные адреса, а также сумма заказов примерно за последние 6 месяцев. На главной странице сайта можно было найти информацию по телефону и фамилии, оказавшимся в базе.

Мировой суд Москвы оштрафовал Яндекс Еду на 60 000 рублей на основании протокола, составленного Роскомнадзором после утечки ПД пользователей в интернет. Несколько клиентов сервиса даже обратились в суд с коллективным иском, чтобы сервис возместил им по 100 000 рублей в качестве компенсации.

Еще один случай произошел с данными пользователей компании «Гемотест». Весной 2022 года в теневом интернете (даркнете) появилась база, состоящая более, чем из 30 миллионов строк ПД клиентов лаборатории: ФИО, года рождения, дате обращения, составе заказа. Продавец попросил за весь архив полторы тысячи долларов уверяя, что в базе находятся, в том числе, домашние адреса, номера телефонов и паспортные данные.

Вам также будет интересно:

— Приказ об утверждении положения о защите персональных данных: образец и бланк
— Трудовой договор медицинской сестры

4 мая 2022 года компания «Гемотест» начала внутреннее расследование. Роскомнадзор обратился в прокуратуру. В результате суд оштрафовал сеть лабораторий за утечку ПД клиентов на 60 000 рублей. Правда, в начале июля Минцифры приступило к обсуждению законопроекта о смягчении штрафов за утечку ПД.

Причины утечки ПД

Любая компания, обрабатывающая ПД пользователей, обязана принять меры, нацеленные на защиту полученной информации. Перечень мер и способов защиты регламентируется для каждого вида данных. При этом риски могут как быть внешние, так и инсайдерские.

Внешние угрозы представляют собой незаконные проникновения в защищенные информационные периметры компаний-операторов. Иначе говоря, речь идет о хакерских атаках. Сведения, находящиеся в базах ЦБ РФ, ПФР, ГИБДД защищены серьезно, поэтому в сети Интернет они не появляются. Банковские сайты тоже атакуют редко.

66% утечек ПД происходит по вине инсайдеров, то есть лиц, имеющих доступ к секретной информации в связи со своей работой. Прежде всего, речь идет о технических работниках, старших менеджерах туристических компаний, медицинских организаций и других. При этом клиент предоставляет сведения при получении услуг.

Последствия утечки ПД

Последствия утечки ПД могут быть весьма серьезными. На организацию будет наложен штраф.

А вот человек, чьи данные были получены злоумышленником, может пострадать от:

разглашения сведений, имеющих отношение к его личности;
шантажа;
вмешательства в личную жизнь;
незаконного списания денежных средств с карты.

В лучшем случае, утечка персональных данных грозит навязчивыми звонками рекламщиков. Но даже тогда можно пожаловаться в Роскомнадзор, указав в обращении перечень ПД и сайтов, где информация была обнаружена. Можно приложить скриншоты интернет-ресурсов. Также важно направить администратору сайта письменное обращение с требованием удалить ПД.

Чтобы было проще составить обращение в Роскомнадзор, можно использовать образец.

Скачать бланк жалобы в Роскомнадзор об использовании персональных данных

Ответственность организаций за утечку ПД

Операторы, допустившие утечку информации, несут ответственность:

Гражданскую: в форме взыскания понесенных убытков и морального вреда.
Административную: в виде наложения штрафа, принудительного приостановления деятельности, связанной с обработкой ПД, или запрета на нее.
Уголовную: при нарушении неприкосновенности частной жизни, неправомерном доступе к законодательно охраняемой компьютерной информации.

Пока компании несерьезно относятся к необходимости компенсации морального вреда, связанного с утечкой ПД. Сумма выплат даже в столице редко превышает несколько десятков тысяч рублей. В субъектах суды и вовсе могут отказать в требовании компенсировать моральный вред, причиненный утечкой информации.

Размеры штрафов

За каждое нарушение предусмотрено свое наказание, в том числе и при нарушении законодательства о ПД.

Таблица №1. Штрафы за нарушение законодательства о персональных данных.

Вид нарушения	Наказание	Законодательная норма
Нарушение правил сбора, использования, хранения, распространения ПД	Для должностных лиц штраф — от 500 до 1000 рублей, для организаций — от 5000 до 10000 рублей	КоАП: ст. 13.11
Несоблюдение законодательства о труде	Для должностных лиц штраф — от 500 до 5000 рублей, для организаций — от 30000 до 50000 рублей	КоАП: ст. 5.27
Нарушение правил использования и хранения ПД, повлекшее материальный ущерб для работодателя	Материальная ответственность сотрудника в пределах его среднемесячной зарплаты по ст. 238, 241 ТК	ТК: ст. 238
Неправильное хранение, использование ПД, повлекшее ущерб для работника	Возмещение сотруднику морального вреда в денежном выражении, установленном трудовым договором по ст. 237 ТК. Возмещение сотруднику морального вреда в полном объеме по ст. 235 ТК. Объем регламентируется либо по соглашению сторон, либо при рассмотрении дела судом	ТК: ст. 234
Разглашение информации, представляющей служебную тайну, ставшую известной сотруднику при выполнении им своих трудовых обязанностей	Материальная ответственность сотрудника, а также дисциплинарная по ст. 192, 195 ТК вплоть до расторжения договора по ст. 81, п. 6, пп. «в» ТК	ТК: ст. 243, п. 7
Нарушение неприкосновенности частной жизни	Ответственность по УК РФ	УК: ст. 137
Незаконный доступ к компьютерной информации, охраняемой законодательством	Ответственность по УК РФ	УК: ст. 272

Ответственность за нарушение законодательства РФ в области ПД предусматривается ст. 13.11 КоАП.

Если оператор при обработке ПД без применения средств автоматизации не выполнил условия, обеспечивающие защиту ПД и исключающие незаконный доступ к ним, когда это повлекло неправомерный/случайный доступ к ним, их блокирование, уничтожение, копирование, изменение, предоставление, распространение и тд., то сумма штрафа составляет:

для граждан: от 1000 до 4000 рублей;
для должностных лиц: от 8000 до 20000 рублей;
для ИП: от 20000 до 40000 рублей;
для юр. лиц: от 50000 до 100000 рублей.

Как предотвратить утечку ПД?

Чтобы обеспечить защиту ПД, операторам рекомендуется:

Установить межсетевые экраны, затрудняющие доступ к массивам информации.
Ввести системы аутентификации, идентификации сотрудников, владеющих доступом к сведениям.
Вносить в журналы учета действия работников, осуществляющих обработку данных, чтобы понять, какие операции совершались.
Установить антивирусную защиту.
Использовать средства криптографической защиты, позволяющие шифровать данные при передаче и хранении.
Применять меры, предотвращающие утечку информации по физическим каналам, например, с помощью фотографирования монитора ПК.

Все указанные меры, как правило, соблюдаются крупными организациями. Чаще всего граждане рискуют, что их ПД попадут к злоумышленникам, обращаясь в небольшие компании. Дело в том, что такие юр. лица не всегда входят в перечни проверок Роскомнадзора, поскольку не регистрируются в качестве операторов.

Во избежание утечки ПД, гражданам рекомендуется:

не передавать информацию о себе компаниям, не имеющим статус операторов;
внимательно читать согласие на обработку ПД;
осторожнее относиться к любым платежам в Интернете.

В любом случае, ответственность за безопасность ПД лежит на организации, совершающей с ними действия. Важно принять все меры, сводящие утечку сведений к нулю.

Источник: «Юридическая азбука»