Как следует из данных Group-IB, в прошлом году в открытый доступ впервые выложили 311 баз данных российских компаний. В 2021-м слитых баз было в пять раз меньше. Сами хранилища информации состоят из строк с различными данными пользователей: имена, телефоны, адреса, даты рождения, пароли, паспортные данные, информация о заказах и другие сведения. В 2022-м в сеть утекли 1,4 млрд таких строк. Годом ранее — 33 млн.
Утечки данных клиентов влекут неблагоприятные финансовые последствия для бизнеса. Так, за нарушение законодательства о персональных данных есть административная ответственность. По КоАП компанию могут оштрафовать на сумму до 300 000 руб. по ст. 13.11 КоАП о нарушении правил о персональных данных, если история с утечкой повторится. Глава практики правового сопровождения предпринимательства Константин Ткаченко обращает внимание и на ст. 13.14 КоАП о разглашении информации с ограниченным доступом. К ней тоже относят персональные данные. По этой норме компанию могут оштрафовать на сумму до 200 000 руб., если лицо, у которого был доступ к закрытым сведениям из-за исполнения служебных обязанностей, разгласило их.
При этом отдельного состава за утечку данных пока нет. Поэтому в начале года Владимир Путин поручил кабинету министров рассмотреть установить оборотные штрафы для компаний, которые допускают утечки данных, передают РИА «Новости». Сейчас Минцифры прорабатывает нижний и верхний пороги такой санкции. Как писал «Коммерсант», ведомство в середине марта передало в Госдуму два тематических законопроекта. В первом идет речь об ответственности за утечки баз данных, фиксированном штрафе за впервые допущенное нарушение и оборотном штрафе, если инцидент повторяется, от 5 до 500 млн руб. Во втором документе говорится об изменениях к статьям 272, 273 и 274 УК о неправомерном доступе к компьютерной информации, распространении вредоносных программ и нарушении правил эксплуатации средств хранения, обработки или передачи компьютерной информации.
Из-за утечек данных и сейчас есть уголовно-правовые риски. Грозят они сотруднику, который виноват в утечке, объясняет Дарья Куклина, юрист Как и в КоАП, в УК нет специального состава за утечку данных. Но есть смежные: нарушение неприкосновенности частной жизни ( ст. 137 УК), тайны переписки (ст. 138 УК), незаконное получение и разглашение сведений, составляющих коммерческую тайну (ст. 183 УК), и неправомерный доступ к компьютерной информации (ст. 272 УК), отмечает юрист. По большинству из составов могут лишить свободы на два года. Например, по ст. 137 УК привлекают к ответственности в случае «мобильного пробива» — продажи данных абонентов сотовых операторов, рассказывает Смирнова.
Если же утечка произошла из-за хакерской атаки и компания не виновата в произошедшем, уголовная ответственность будет грозить атаковавшему лицу, объясняет Куклина. А саму компанию могут признать потерпевшей.
Чего бояться компаниям, если случилась утечка
Сейчас на практике размер наказаний за утечку данных для компаний невелик. Одна из громких утечек данных 2022 года произошла в «Яндекс Еде». Сразу после случившегося компания указала, что из-за недобросовестных действий их сотрудника в интернете опубликовали номера телефонов клиентов и сведения об их заказах. Банковские, платежные и регистрационные сведения не утекли.
«Ведомости» писали, что позднее появился сайт с базой данных пользователей «Яндекс Еды». Там якобы были имена и фамилии, адреса, телефоны и электронные почты клиентов. Страницу заблокировали, а «Яндексу» Роскомнадзор выписал административный протокол за нарушение правил о персональных данных по ч. 1 ст. 13.11 КоАП («Нарушение законодательства в области персональных данных»). Власти обратились к мировому судье с этим протоколом (дело № 05-0413/101/2022). Разбирательство прошло в апреле прошлого года, но из акта вымарана сумма, на которую в итоге оштрафовали компанию. ТАСС писал, что нарушителю пришлось заплатить 60 000 руб. при максимальной санкции 100 000 руб.
Еще пострадавшие клиенты могут потребовать компенсировать им моральный вред. «Ведомости» сообщали, что пострадавшие от утечки пользователи «Яндекс Еды» подали несколько коллективных исков. В первом 33 клиента требовали компенсировать им 100 000 руб. морального вреда каждому. Из-за утечки они стали получать много рекламных обращений и звонков от мошенников. По их мнению, таким образом нарушили неприкосновенность частной жизни. Как следует из материала издания, интересы истцов представлял Борис Фельдман, директор по правовым вопросам юридического сервиса Destra Legal. В картотеке Замоскворецкого районного суда Москвы, куда и подавали заявление, зарегистрировали иск против компании от его имени (дело № М-2624/2022). Из карточки дела следует, что заявление вернули, так как дело неподсудно этому суду. Само определение о возвращении пока не публиковали. Известно лишь, что на него подавали частную жалобу, а сейчас дело в канцелярии.
Во втором иске насчитали 24 пользователя. Они хотели компенсацию 10 000 руб. каждому. В статье отмечали, что интересы истцов представляла межрегиональная общественная организация «Ответственность». Иск подавали в тот же суд. С ним была аналогичная история — заявление возвратили (дело № М-2625/2022). Но основание было другим: иск не подписали вовсе или его подписало неуполномоченное лицо (сам акт суда пока не опубликовали). В интернете все еще доступна форма, чтобы присоединиться к коллективному иску. По еще 20 делам, где пользователи также потребовали компенсацию 100 000 руб. каждому, 13 клиентам Замоскворецкий районный суд присудил 5000 руб. компенсации, а остальные отклонил, писала «Роскомсвобода»*.
В декабре 2022-го представители «Яндекса» рассказали, что данные пользователей утекли не по вине сотрудника, а из-за внешней атаки, пишут на «Хабр». Тогда же представители сервиса поделились, что по их заявлению возбудили уголовное дело (по каким статьям — сама компания не указала) и признали фирму потерпевшей, сообщает «Интерфакс». Компания сообщала, что расследование еще идет и, когда появится возможность, она поделится его результатами. Пока в открытых источниках об итогах дела не писали.
Похожая история в прошлом году случилась со службой доставки СДЭК. У компании тоже произошла утечка данных пользователей. В июне 2022-го пострадавшие клиенты подали коллективный иск на 2,2 млн руб. в Центральный районный суд Новосибирска. Сначала его подписали 22 клиента компании, а затем более 100 пользователей подали заявки на присоединение, пишет «Коммерсант».
СДЭК объяснил случившееся хакерскими атаками. Компания отмечала, что в сеть не попали сведения, которые могли бы нести финансовую, репутационную и другую угрозу клиентам, цитирует заявления ТАСС. На сайте суда за июнь 2022-го в отношении СДЭК разместили информацию только о деле № 2-4445/2022 — как раз по коллективному иску о взыскании компенсации. Но его оставили без рассмотрения. Суд пришел к выводу, что требования каждого пострадавшего стоит рассматривать отдельно, так как нужно выяснять, какой вред нанесли каждому из истцов.
Учитывая судьбу перечисленных дел, для пострадавших от утечек подача исков не очень эффективна. Этот инструмент трудно применять на практике, считает Ксения Смирнова, старший юрист практики ИС, ИТ и телекоммуникаций Как видно из дел «Яндекс Еды» и СДЭК, суммы компенсации невелики. А значительную часть исковых заявлений либо отклоняют, либо не признают коллективными, объясняет эксперт. Еще пострадавшие пользователи могут требовать возместить убытки. Но в таких ситуациях сложно связать распространение персональных данных с реальным ущербом, который понес человек, объясняет Ткаченко. Подобных кейсов в практике почти нет.
Из-за утечки данных компания несет не только финансовые потери, но и может утратить доверие клиентов. И восстановить доброе имя в глазах потребителей крайне сложно.
Что делать, если случилась утечка
Важно определить, действительно ли утекли персональные данные, по которым можно идентифицировать пользователей, отмечает Анастасия Сивицкая, адвокат, советник Возможно, потеряно незначительное количество информации, и по ней не определить клиентов. Тогда персональным данным пользователей ничего не угрожает. «Как показывает наш опыт работы по таким делам, зачастую масштабы утечек не столь глобальны, а сведения не всегда именно персональные данные», — делится адвокат.
Оперативность расследования, выявление масштаба утечек и скорость реакции PR-служб компании позволяет снизить негативное влияние на репутацию.
Если же все-таки произошла утечка персональных данных, необходимо провести внутреннее расследование, выявить нарушителей и усилить меры безопасности, говорит Сивицкая. Сейчас компания обязана уведомлять об утечках ФСБ и Роскомнадзор, отмечает Эдуард Бекещенко, партнер С сентября 2022-го в течение 24 часов необходимо сообщить РКН о самой утечке, а в течение 72 часов — поделиться результатами внутреннего расследования. На сайте Роскомнадзора есть форма, через которую можно направить уведомления. В отношении ФСБ приняли аналогичные правила в феврале 2023-го. Направлять уведомления в это ведомство будут через государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
Поскольку сроки реагирования на утечку персональных данных очень сжатые, необходима хорошо продуманная внутренняя процедура действий работников в случае утечки, включая уведомление уполномоченных государственных органов.
Чтобы спасти репутацию при утечке данных, можно подать заявление в полицию. В России достаточно часто это делают против хакеров. Но из-за ограниченных технических возможностей тяжело установить конкретное лицо, которое извне организовало диверсию, говорит Никита Айрапетов, юрист Хакер может быть за пределами РФ. Маловероятно, что его привлекут к уголовной ответственности и взыщут с него ущерб, считает эксперт.
Если утечку организовал сотрудник компании изнутри, то вряд ли за счет имущества удастся возместить ущерб, который причинен работодателю и его клиентам, полагает Айрапетов. Тем не менее компания может обратиться в суд с требованием о возмещении вреда, причиненного преступлением или нанесенного деловой репутации, отмечает Сивицкая. Компанию признают потерпевшей, что делает бесперспективным разбирательство о взыскании с нее морального вреда в пользу пострадавших лиц, замечает Ткаченко. То есть бизнес таким образом перекладывает ответственность за утечку на тех, кому никак не мог помешать. Фирма становится на одну «белую» сторону с пользователями, получая лишь небольшой штраф.
✅ Изучить, какие данные собирает компания и для каких целей. Минимизировать их количество.
✅ Составить и разместить на сайте политики обработки персональных сведений и внести в обязанности работников соответствующие положения.
✅ Ограничить круг лиц, у кого есть доступ к базам данных с персональными данными. Назначить людей, которые будут отвечать за обработку персональных данных и их защиту.
✅ Сформировать регламент компании по работе с персональными данными. Утвердить должностные инструкции и предусмотреть в них неразглашение персональных данных и предупреждение об ответственности. Заняться развитием культуры работы с персональными данными.
✅ Провести обучение работников и разъяснить персоналу правила обращения с персональными данными и негативными последствиями в случае их нарушения.
✅ Включить в договоры с центрами обработки данных, где хранят персональные данные компании, условия о возмещении потерь.
✅ Внедрить системы защиты при попытке изъятия данных или внешнего подключения, системы шифрования данных, идентификации работника при работе с персональными данными.
На основе рекомендаций юристов.
* Признана иноагентом в России.