ПРАВО.ru
Must-read
21 апреля 2023, 8:53

Утекли персональные данные клиентов: что делать бизнесу

Утекли персональные данные клиентов: что делать бизнесу
В 2022-м стало больше утечек данных компаний. Из-за этого бизнес терпит убытки, а еще страдает его репутация. Компанию могут оштрафовать, а клиенты, чьи данные слили, вправе потребовать моральную компенсацию. Когда утечка уже случилась, следует подать заявление в полицию. Если компанию признают потерпевшей, с нее вряд ли взыщут компенсацию морального вреда, считают эксперты. Восстановить репутацию в дальнейшем поможет активная коммуникация с клиентами. Важно сообщить им, какие меры безопасности предприняла фирма, чтобы смягчить последствия произошедшего.

Как следует из данных Group-IB, в прошлом году в открытый доступ впервые выложили 311 баз данных российских компаний. В 2021-м слитых баз было в пять раз меньше. Сами хранилища информации состоят из строк с различными данными пользователей: имена, телефоны, адреса, даты рождения, пароли, паспортные данные, информация о заказах и другие сведения. В 2022-м в сеть утекли 1,4 млрд таких строк. Годом ранее — 33 млн.

Утечки данных клиентов влекут неблагоприятные финансовые последствия для бизнеса. Так, за нарушение законодательства о персональных данных есть административная ответственность. По КоАП компанию могут оштрафовать на сумму до 300 000 руб. по ст. 13.11 КоАП о нарушении правил о персональных данных, если история с утечкой повторится. Глава практики правового сопровождения предпринимательства Бюро адвокатов «Де-юре» Бюро адвокатов «Де-юре» Федеральный рейтинг. группа Арбитражное судопроизводство (средние и малые коммерческие споры: mid market) группа Банкротство (споры mid market) группа Разрешение споров в судах общей юрисдикции группа Банкротство (реструктуризация и консультирование) группа Корпоративное право/Слияния и поглощения (mid market) группа Семейное и наследственное право группа Уголовное право группа Природные ресурсы/Энергетика группа Трудовое и миграционное право 14место По количеству юристов 20место По выручке на юриста 24место По выручке Профайл компании Константин Ткаченко обращает внимание и на ст. 13.14 КоАП о разглашении информации с ограниченным доступом. К ней тоже относят персональные данные. По этой норме компанию могут оштрафовать на сумму до 200 000 руб., если лицо, у которого был доступ к закрытым сведениям из-за исполнения служебных обязанностей, разгласило их.

При этом отдельного состава за утечку данных пока нет. Поэтому в начале года Владимир Путин поручил кабинету министров рассмотреть установить оборотные штрафы для компаний, которые допускают утечки данных, передают РИА «Новости». Сейчас Минцифры прорабатывает нижний и верхний пороги такой санкции. Как писал «Коммерсант», ведомство в середине марта передало в Госдуму два тематических законопроекта. В первом идет речь об ответственности за утечки баз данных, фиксированном штрафе за впервые допущенное нарушение и оборотном штрафе, если инцидент повторяется, от 5 до 500 млн руб. Во втором документе говорится об изменениях к статьям 272, 273 и 274 УК о неправомерном доступе к компьютерной информации, распространении вредоносных программ и нарушении правил эксплуатации средств хранения, обработки или передачи компьютерной информации. 

Из-за утечек данных и сейчас есть уголовно-правовые риски. Грозят они сотруднику, который виноват в утечке, объясняет Дарья Куклина, юрист Косенков и Суворов Косенков и Суворов Федеральный рейтинг. группа Цифровая экономика группа Арбитражное судопроизводство (средние и малые коммерческие споры: mid market) группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (консультирование) группа Разрешение споров в судах общей юрисдикции группа Ритейл, FMCG, общественное питание группа Корпоративное право/Слияния и поглощения (high market) Профайл компании Как и в КоАП, в УК нет специального состава за утечку данных. Но есть смежные: нарушение неприкосновенности частной жизни (ст. 137 УК), тайны переписки (ст. 138 УК), незаконное получение и разглашение сведений, составляющих коммерческую тайну (ст. 183 УК), и неправомерный доступ к компьютерной информации (ст. 272 УК), отмечает юрист. По большинству из составов могут лишить свободы на два года. Например, по ст. 137 УК привлекают к ответственности в случае «мобильного пробива» — продажи данных абонентов сотовых операторов, рассказывает Смирнова. 

Если же утечка произошла из-за хакерской атаки и компания не виновата в произошедшем, уголовная ответственность будет грозить атаковавшему лицу, объясняет Куклина. А саму компанию могут признать потерпевшей.

Чего бояться компаниям, если случилась утечка

Сейчас на практике размер наказаний за утечку данных для компаний невелик. Одна из громких утечек данных 2022 года произошла в «Яндекс Еде». Сразу после случившегося компания указала, что из-за недобросовестных действий их сотрудника в интернете опубликовали номера телефонов клиентов и сведения об их заказах. Банковские, платежные и регистрационные сведения не утекли. 

«Ведомости» писали, что позднее появился сайт с базой данных пользователей «Яндекс Еды». Там якобы были имена и фамилии, адреса, телефоны и электронные почты клиентов. Страницу заблокировали, а «Яндексу» Роскомнадзор выписал административный протокол за нарушение правил о персональных данных по ч. 1 ст. 13.11 КоАП («Нарушение законодательства в области персональных данных»). Власти обратились к мировому судье с этим протоколом (дело № 05-0413/101/2022). Разбирательство прошло в апреле прошлого года, но из акта вымарана сумма, на которую в итоге оштрафовали компанию. ТАСС писал, что нарушителю пришлось заплатить 60 000 руб. при максимальной санкции 100 000 руб.

Еще пострадавшие клиенты могут потребовать компенсировать им моральный вред. «Ведомости» сообщали, что пострадавшие от утечки пользователи «Яндекс Еды» подали несколько коллективных исков. В первом 33 клиента требовали компенсировать им 100 000 руб. морального вреда каждому. Из-за утечки они стали получать много рекламных обращений и звонков от мошенников. По их мнению, таким образом нарушили неприкосновенность частной жизни. Как следует из материала издания, интересы истцов представлял Борис Фельдман, директор по правовым вопросам юридического сервиса Destra Legal. В картотеке Замоскворецкого районного суда Москвы, куда и подавали заявление, зарегистрировали иск против компании от его имени (дело № М-2624/2022). Из карточки дела следует, что заявление вернули, так как дело неподсудно этому суду. Само определение о возвращении пока не публиковали. Известно лишь, что на него подавали частную жалобу, а сейчас дело в канцелярии. 

Во втором иске насчитали 24 пользователя. Они хотели компенсацию 10 000 руб. каждому. В статье отмечали, что интересы истцов представляла межрегиональная общественная организация «Ответственность». Иск подавали в тот же суд. С ним была аналогичная история — заявление возвратили (дело № М-2625/2022). Но основание было другим: иск не подписали вовсе или его подписало неуполномоченное лицо (сам акт суда пока не опубликовали). В интернете все еще доступна форма, чтобы присоединиться к коллективному иску. По еще 20 делам, где пользователи также потребовали компенсацию 100 000 руб. каждому, 13 клиентам Замоскворецкий районный суд присудил 5000 руб. компенсации, а остальные отклонил, писала «Роскомсвобода»*. 

В декабре 2022-го представители «Яндекса» рассказали, что данные пользователей утекли не по вине сотрудника, а из-за внешней атаки, пишут на «Хабр». Тогда же представители сервиса поделились, что по их заявлению возбудили уголовное дело (по каким статьям — сама компания не указала) и признали фирму потерпевшей, сообщает «Интерфакс». Компания сообщала, что расследование еще идет и, когда появится возможность, она поделится его результатами. Пока в открытых источниках об итогах дела не писали. 

К СДЭК подали иск на 2,2 млн руб. из-за утечки данных

Похожая история в прошлом году случилась со службой доставки СДЭК. У компании тоже произошла утечка данных пользователей. В июне 2022-го пострадавшие клиенты подали коллективный иск на 2,2 млн руб. в Центральный районный суд Новосибирска. Сначала его подписали 22 клиента компании, а затем более 100 пользователей подали заявки на присоединение, пишет «Коммерсант». 

СДЭК объяснил случившееся хакерскими атаками. Компания отмечала, что в сеть не попали сведения, которые могли бы нести финансовую, репутационную и другую угрозу клиентам, цитирует заявления ТАСС. На сайте суда за июнь 2022-го в отношении СДЭК разместили информацию только о деле № 2-4445/2022 — как раз по коллективному иску о взыскании компенсации. Но его оставили без рассмотрения. Суд пришел к выводу, что требования каждого пострадавшего стоит рассматривать отдельно, так как нужно выяснять, какой вред нанесли каждому из истцов. 

Учитывая судьбу перечисленных дел, для пострадавших от утечек подача исков не очень эффективна. Этот инструмент трудно применять на практике, считает Ксения Смирнова, старший юрист практики ИС, ИТ и телекоммуникаций Nextons Nextons Федеральный рейтинг. группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (консультирование) группа Комплаенс группа Корпоративное право/Слияния и поглощения (high market) группа Налоговое консультирование и споры (консультирование) группа Налоговое консультирование и споры (споры) группа Недвижимость, земля, строительство (консультирование) группа ТМТ (телекоммуникации, медиа и технологии) группа Транспортное право группа Трудовое и миграционное право группа Фармацевтика и здравоохранение (фармацевтика) группа Цифровая экономика группа Антимонопольное право группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Банкротство (реструктуризация и консультирование) группа Банкротство (споры high market) группа ВЭД/Таможенное право и валютное регулирование (валютное регулирование) группа ВЭД/Таможенное право и валютное регулирование (таможенное право) группа ГЧП/Инфраструктурные проекты группа Международные судебные разбирательства группа Международный арбитраж группа Природные ресурсы/Энергетика группа Разрешение споров в судах общей юрисдикции группа Ритейл, FMCG, общественное питание группа Рынки капиталов группа Санкционное право группа Финансовое/Банковское право группа Защита персональных данных группа Интеллектуальная собственность (регистрация) Профайл компании Как видно из дел «Яндекс Еды» и СДЭК, суммы компенсации невелики. А значительную часть исковых заявлений либо отклоняют, либо не признают коллективными, объясняет эксперт. Еще пострадавшие пользователи могут требовать возместить убытки. Но в таких ситуациях сложно связать распространение персональных данных с реальным ущербом, который понес человек, объясняет Ткаченко. Подобных кейсов в практике почти нет.

Из-за утечки данных компания несет не только финансовые потери, но и может утратить доверие клиентов. И восстановить доброе имя в глазах потребителей крайне сложно. 

Что делать, если случилась утечка

Важно определить, действительно ли утекли персональные данные, по которым можно идентифицировать пользователей, отмечает Анастасия Сивицкая, адвокат, советник Orchards Orchards Федеральный рейтинг. группа Арбитражное судопроизводство (корпоративные споры) группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Банкротство (споры mid market) группа Недвижимость, земля, строительство (споры) группа Разрешение споров в судах общей юрисдикции группа ТМТ (телекоммуникации, медиа и технологии) группа Экологическое право группа Антимонопольное право группа Интеллектуальная собственность (консультирование) группа Корпоративное право/Слияния и поглощения (mid market) группа Ритейл, FMCG, общественное питание группа Фармацевтика и здравоохранение (фармацевтика) группа Частный капитал Возможно, потеряно незначительное количество информации, и по ней не определить клиентов. Тогда персональным данным пользователей ничего не угрожает. «Как показывает наш опыт работы по таким делам, зачастую масштабы утечек не столь глобальны, а сведения не всегда именно персональные данные», — делится адвокат.

Оперативность расследования, выявление масштаба утечек и скорость реакции PR-служб компании позволяет снизить негативное влияние на репутацию.

Анастасия Сивицкая

Если же все-таки произошла утечка персональных данных, необходимо провести внутреннее расследование, выявить нарушителей и усилить меры безопасности, говорит Сивицкая. Сейчас компания обязана уведомлять об утечках ФСБ и Роскомнадзор, отмечает Эдуард Бекещенко, партнер ART DE LEX ART DE LEX Федеральный рейтинг. группа Антимонопольное право группа Арбитражное судопроизводство (крупные коммерческие споры: high market) группа Международные судебные разбирательства группа Недвижимость, земля, строительство (консультирование) группа Природные ресурсы/Энергетика группа Разрешение споров в судах общей юрисдикции группа Санкционное право группа ТМТ (телекоммуникации, медиа и технологии) группа Транспортное право группа Банкротство (споры high market) группа Корпоративное право/Слияния и поглощения (high market) группа Международный арбитраж группа Налоговое консультирование и споры (споры) группа Финансовое/Банковское право Профайл компании С сентября 2022-го в течение 24 часов необходимо сообщить РКН о самой утечке, а в течение 72 часов — поделиться результатами внутреннего расследования. На сайте Роскомнадзора есть форма, через которую можно направить уведомления. В отношении ФСБ приняли аналогичные правила в феврале 2023-го. Направлять уведомления в это ведомство будут через государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Поскольку сроки реагирования на утечку персональных данных очень сжатые, необходима хорошо продуманная внутренняя процедура действий работников в случае утечки, включая уведомление уполномоченных государственных органов.

Эдуард Бекещенко

Чтобы спасти репутацию при утечке данных, можно подать заявление в полицию. В России достаточно часто это делают против хакеров. Но из-за ограниченных технических возможностей тяжело установить конкретное лицо, которое извне организовало диверсию, говорит Никита Айрапетов, юрист Lidings Lidings Федеральный рейтинг. группа Фармацевтика и здравоохранение (фармацевтика) группа Арбитражное судопроизводство (средние и малые коммерческие споры: mid market) группа Защита персональных данных группа Интеллектуальная собственность (защита прав и судебные споры) группа Интеллектуальная собственность (регистрация) группа Природные ресурсы/Энергетика группа Транспортное право группа Трудовое и миграционное право группа Антимонопольное право группа Банкротство (споры mid market) группа Интеллектуальная собственность (консультирование) группа Корпоративное право/Слияния и поглощения (high market) группа ТМТ (телекоммуникации, медиа и технологии) группа Налоговое консультирование и споры (консультирование) группа Санкционное право 6место По выручке на юриста 16место По выручке 23место По количеству юристов Хакер может быть за пределами РФ. Маловероятно, что его привлекут к уголовной ответственности и взыщут с него ущерб, считает эксперт. 

Если утечку организовал сотрудник компании изнутри, то вряд ли за счет имущества удастся возместить ущерб, который причинен работодателю и его клиентам, полагает Айрапетов. Тем не менее компания может обратиться в суд с требованием о возмещении вреда, причиненного преступлением или нанесенного деловой репутации, отмечает Сивицкая. Компанию признают потерпевшей, что делает бесперспективным разбирательство о взыскании с нее морального вреда в пользу пострадавших лиц, замечает Ткаченко. То есть бизнес таким образом перекладывает ответственность за утечку на тех, кому никак не мог помешать. Фирма становится на одну «белую» сторону с пользователями, получая лишь небольшой штраф.


Как снизить риски утечек персональных данных

✅ Изучить, какие данные собирает компания и для каких целей. Минимизировать их количество.

✅ Составить и разместить на сайте политики обработки персональных сведений и внести в обязанности работников соответствующие положения.

✅ Ограничить круг лиц, у кого есть доступ к базам данных с персональными данными. Назначить людей, которые будут отвечать за обработку персональных данных и их защиту.

✅ Сформировать регламент компании по работе с персональными данными. Утвердить должностные инструкции и предусмотреть в них неразглашение персональных данных и предупреждение об ответственности. Заняться развитием культуры работы с персональными данными.

✅ Провести обучение работников и разъяснить персоналу правила обращения с персональными данными и негативными последствиями в случае их нарушения.

✅ Включить в договоры с центрами обработки данных, где хранят персональные данные компании, условия о возмещении потерь.

✅ Внедрить системы защиты при попытке изъятия данных или внешнего подключения, системы шифрования данных, идентификации работника при работе с персональными данными.

На основе рекомендаций юристов.

* Признана иноагентом в России.