ПОТЕКЛО: НА САМОМ ЛИ ДЕЛЕ УТЕЧКА ПЕРСОНАЛЬНЫХ ДАННЫХ РАЗРУШАЕТ РЕПУТАЦИЮ

• Из “Яндекс Еды” утекли данные курьеров — это вызвало волну негативной реакции и проверок.
• После утечки ПДн у Delivery Club РКН составил протокол за нарушение законодательства в области персональных данных.
• Утечка данных 120 тыс. клиентов СДЭК привела к проверкам Роскомнадзора и негативной огласке. Сами потребители подали коллективный иск с требованием возместить 100 000 рублей морального ущерба на каждого.

И это еще не все. Негативное восприятие — не самая большая проблема. Хуже финансовые потери от штрафов. Так, в 2023 году Meta был выписан рекордный штраф на $1,2 млрд (!) за незаконную трансграничную передачу данных пользователей на территорию США. Колоссальные суммы.

• Федеральный закон № 152-ФЗ “О персональных данных” — базовый документ, регулирующий правила сбора, хранения, использования и уничтожения ПДн.

Дополнительно:

• Конституция РФ (ст. 23 и 24).
• Трудовой кодекс РФ (раздел XII).
• КоАП РФ (ст. 13.11).
• Уголовный кодекс РФ (ст. 137 — незаконное распространение сведений о частной жизни).
• Федеральный закон № 149-ФЗ “Об информации, информационных технологиях и о защите информации”.
• Особое значение имеет постановление Правительства РФ № 121 от 30.01.2023 года, утверждающее правила уведомления Роскомнадзора о компьютерных инцидентах с утечкой ПДн.

Ответственность может быть административной, гражданской и даже уголовной:

• Штрафы по ст. 13.11 КоАП — от 10 000 до 500 000 рублей.
• Иски пострадавших граждан — за причинение морального вреда.
• Уголовная ответственность — за разглашение частной жизни без согласия (до 2 лет лишения свободы).
• Блокировка сайта — по решению Роскомнадзора.

В 2022 году, к примеру, суд обязал “Яндекс” выплатить по 5 тысяч рублей 13 пользователям сервиса “Яндекс Еды” за утечку данных. А 2024 году один из сотрудников МВД получил реальный срок за взятку более миллиона рублей в обмен “слив” данных из баз ведомства.

За последние 12 месяцев нормативное регулирование стало гораздо строже:

• Ужесточены правила трансграничной передачи данных.
• Введена обязательность уведомления Роскомнадзора о любых инцидентах с ПДн в течение 24 часов.
• Операторы обязаны документировать мероприятия по защите ПДн и периодически пересматривать внутренние регламенты.

• если компания не уведомляет о фактах утечки — до 3 млн рублей.
• если компании, которая обрабатывает ПДн, нет в реестре операторов РКН — до 300 тыс. рублей.
• если компания неправомерно собирала персданные, или обработка была несовместима с целями сбора, — до 300 тыс. рублей либо при повторном нарушении — до 500 тыс. рублей.
• если произошла утечка от 10 000 до 100 000 субъектов — до 5 млн рублей.
• если утекли биометрические данные — до 20 млн рублей.
• если произошла утечка более 100 000 субъектов — до 10 млн рублей.
• если нарушение повторное, применяются оборотные штрафы, но не более 500 млн рублей.

Если коротко, некорректная работа с ПДн стала очень и очень дорогой для бизнеса.

• ISO/IEC 27001 (информационная безопасность).

Он был принят в 2019 году и стал первым международным стандартом, полностью посвященным защите личной информации. ISO/IEC 27701 детализирует меры по сбору, обработке, хранению и уничтожению ПДн, а также определяет роли и обязанности операторов и субъектов данных.

• ISO/IEC 27701 (управление ПДн).

Он фокусируется именно на конфиденциальности и учитывает специфику работы с персональными данными. Подходит как организациям, уже имеющим сертификат по ISO/IEC 27001, так и тем, кто начинает путь к управлению ПДн с нуля.

Организация внутреннего контроля включает:

• Назначение ответственного за ПДн (как минимум — локальный оператор).
• Разработка локальных актов: политики обработки ПДн, положения о защите, журналы инструктажа, план реагирования.
• Заключение NDA и соглашений о конфиденциальности.
• Периодические аудиты.

Что делать, если утечка все-таки произошла? Даем вам краткий алгоритм действий, который поможет избежать штрафов и репутационных потерь:

Начните с аудита текущих процессов. Ответьте на вопросы: где хранятся ПДн, кто имеет к ним доступ, есть ли резервные копии и как можно быстро изолировать инцидент.

Далее:

• Разработайте регламенты.
• Заключите все необходимые соглашения.
• Внедрите ИБ-системы.
• Обучите сотрудников.

Поговорка “Скупой платит дважды” здесь подходит как ничто лучше. Утечка персональных данных обойдется намного дороже, чем контроль за ними. Поэтому берегите ПДн наравне с собственной репутацией.