ПЭБ
Защита персональных данных

Персональные данные в РФ: 5 реальных случаев нарушений и что с ними делать

Сотрудник продал базу, заказчик передал своим кредиторам номера телефонов сотрудников исполнителя. Разбираем реальные случаи утечки персональных данных из компании и последствия. В статье вы найдете рекомендации эксперта: как избежать утечки и что делать, если она уже произошла.
Персональные данные в РФ: 5 реальных случаев нарушений и что с ними делать
Иллюстрация: Вера Ревина/Клерк.ру

Кейс №1. Незаконное распространение персональных данных контрагентом

Ситуация: Две компании заключили договор возмездного оказания услуг. В договоре стороны не предусмотрели обязанность об использовании персональных данных сотрудников компаний только в рамках договорных обязательств.

Заказчик отказался платить, из-за чего Исполнитель в одностороннем порядке расторг договор.

После этого Заказчик незаконно распространил персональные данные сотрудников Исполнителя (фамилии, имена, телефоны, адреса электронной почты), и передал их в ФНС, а также своим контрагентам.

У Заказчика накопилась много долгов, и сотрудникам Исполнителя стали на регулярной основе поступать звонки с требованиями погасить задолженность.

Последствия: Незаконное распространение персональных данных привело к убыткам Исполнителя: были сорваны рабочие совещания, сотрудники компании были вынуждены заниматься не своими непосредственными обязанностями, а общением с контрагентами Заказчика.

В результате Исполнитель нарушил сроки выполнения обязательств по другим договорам.

Решение: В договоре обязательно нужно предусмотреть следующие пункты:

«1. Исполнитель обязуется использовать персональные данные сотрудников Заказчика только при осуществлении прав и обязанностей, предусмотренных настоящей офертой, в соответствии с выбранным тарифом, а также в соответствии с дополнительными соглашениями между сторонами. Незаконное разглашение персональных данных сотрудников Заказчика влечет за собой обязанность Исполнителя по оплате штрафа в размере 500 000 рублей (пятисот тысяч рублей) в пользу Заказчика. 

Под персональными данными в рамках данного пункта понимается: фамилия, имя, отчество; пол, возраст; образование, квалификация и т.п.; контактная информация (адрес, номер телефона и т.п.); семейное положение, наличие детей; факты биографии; финансовое положение; фотография, используемая для установления личности. 

2. Заказчик обязуется использовать персональные данные сотрудников Исполнителя только при осуществлении прав и обязанностей, предусмотренных настоящей офертой, в соответствии с выбранным тарифом, а также в соответствии с дополнительными соглашениями. Незаконное разглашение персональных данных сотрудников Исполнителя влечет за собой обязанность Заказчика по оплате штрафа в размере 500 000 рублей (пятисот тысяч рублей) в пользу Исполнителя.

Под персональными данными в рамках данного пункта понимается: фамилия, имя, отчество; пол, возраст; образование, квалификация и т.п.; контактная информация (адрес, номер телефона и т.п.); семейное положение, наличие детей; факты биографии; финансовое положение; фотография, используемая для установления личности».

Кроме того, Исполнитель должен направить жалобу в Роскомнадзор на Заказчика, который незаконно распространил данные. Так как сотрудники компании Исполнителя общались с Заказчиком только в рамках договора, иных контактов не имели, доказать факт незаконного распространения персональных данных будет достаточно просто.

Кейс №2. Незаконное распространение персональных данных сотрудником компании

Ситуация: Многие компании, которые занимаются продажей товаров и услуг, покупают персональные данные, такие как Ф. И. О., номера телефонов, адреса электронных почт, чтобы расширить базу потенциальных клиентов. На такой спрос есть и предложение. Так, сотрудник одной организации искал способы дополнительного заработка и продавал третьим лицам персональные данные. 

Последствия: Моральный вред могут взыскать с работодателя (определение Четвертого кассационного суда общей юрисдикции от 25.08.2022 № 88-22268/2022).

При этом к административной ответственности могут одновременно привлечь и оператора персональных данных, и виновного работника, за исключением ряда случаев, когда к ответственности привлекается только работник (ч. 3, 4 ст. 2.1 КоАП).

Если же бывший работник продолжит после увольнения обработку персональных данных, к которым получил доступ в период работы, то за данное нарушение к административной ответственности по ч. 1 ст. 13.11 КоАП привлекают именно его (постановление Четвертого кассационного суда общей юрисдикции от 29.11.2022 № П16-4000/2022).

Решение: Компании должны следить за своими информационными базами. Должен быть организован контроль за распространением персональных данных, контроль доступа к ним. Служба информационной безопасности должна следить за действиями сотрудников с карточками клиентов, и в случае, если кто-то из сотрудников копирует всю базу, необходимо провести служебное расследование, потребовать у сотрудника докладную записку — для каких целей копировались данные. 

Кроме того, должно быть организовано раздельное хранение информационных баз — ФИО отдельно, паспортные данные, ИНН, юридические адреса отдельно. И только у ограниченного круга сотрудников должен быть доступ к единой базе. 

Хотите защитить свой бизнес от штрафов на 1,5 млн от Роскомнадзора?

Возьмем на себя все заботы о персональных данных и защитим от претензий Роскомнадзора

Оставьте заявку, мы перезвоним

Принимаю оферту и даю согласие по перс.данным

Кейс №3. Уголовная ответственность за нарушение закона о персональных данных 

Ситуация: В компании работают два сотрудника, которые ведут корпоративную борьбу. Один из них получил доступ к карточке конкурента и нашел ссылку на его социальные сети. Сотрудник начал следить за своим конкурентом и выкладывать комментарии в общих корпоративных чатах относительно внешнего вида, способов отдыха коллеги, его семье. Таким образом, он распространял факты о частной жизни сотрудника, которые не относятся к служебной информации, при этом без его согласия. 

Мониторинг социальных сетей может проводить только руководитель и ответственные сотрудники, и только с целью информационной безопасности, или чтобы проверить, не занимается ли сотрудник незаконной деятельностью. 

Последствия: Специальной нормы об ответственности за нарушение закона о персональных данных в Уголовном кодексе нет. Однако действия лица, нарушившего правила работы с персональными данными, могут образовать состав преступления из числа предусмотренных Уголовным кодексом.

В частности, уголовная ответственность установлена:

  • за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия (ч. 1 ст. 137 УК);

  • неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация или копирование информации (ч. 1 ст. 272 УК, п. 3 постановления Пленума Верховного Суда от 15.12.2022 № 37);

  • неправомерный отказ должностного лица в представлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина (ст. 140 УК).

Важно! К уголовной ответственности могут привлечь только физическое лицо (ст. 19 УК). Однако привлечение виновного физического лица к уголовной ответственности не освобождает от административной ответственности организацию (ч. 3 ст. 2.1 КоАП).

В нашем случае, сотрудник, который распространял сведения о частной жизни коллеги, может быть привлечен к уголовной ответственности. А компанию могут привлечь к административной, если докажут, что не были предприняты должные меры по защите персональных данных сотрудников.

Читайте также: Новые штрафы за нарушение закона о персональных данных: как компаниям избежать рисков на 1,5 млн рублей

Решение: Служба отдела кадров должна минимизировать конфликты интересов между сотрудниками. А также проследить за тем, чтобы не происходила утечка персональных данных — доступ к личной карточке сотрудника должен быть только у ограниченного круга лиц.

Кейс №4. Утечка персональных данных в компании

Ситуация: Сотрудник консалтингового агентства перепродал клиентскую базу конкурентам. 

Последствия: Конкуренты начали рассылать по базе коммерческие предложения. В результате утечки агентство потеряло часть клиентов — как действующих, так и потенциальных. 

Кроме того, при утечке высок риск того, что на субъектов персональных данных, то есть на клиентов из базы, будут оформлены кредиты. В таком случае, ответственный за защиту персональных данных оператор может быть привлечен к субсидиарной ответственности, если будет доказано, что он не принял надлежащие меры по защите персональных данных. 

Что делать: В законе от 27.07.2006 № 152-ФЗ «О персональных данных» есть термин «инцидент», под которым законодатель понимает любой факт неправомерной или случайной передачи либо распространения, предоставления доступа к персональным данным, повлекший нарушение прав субъекта персональных данных (ч. 3.1 ст. 21 закона № 152-ФЗ).

Если в компании произошла утечка, то оператор персональных данных в течение 24 часов с момента обнаружения инцидента обязан уведомить Роскомнадзор: 

  • о самом факте произошедшего инцидента; 

  • о предполагаемых причинах, которые привели к нарушению прав субъектов персональных данных;

  • о предполагаемом вреде, нанесенном правам субъекта персональных данных этим инцидентом;

  • о принятых мерах по устранению последствий инцидента; 

  • о лице, уполномоченном на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом (п. 1 ч. 3.1 ст. 21 закона № 152-ФЗ). Как правило, это сотрудник, ответственный за обработку персональных данных в организации, иногда — специалист по внутренней безопасности.

На сайте Роскомнадзора есть специальная форма для операторов, чтобы сообщить в электронном виде о произошедших инцидентах.

В течение 72 часов с момента обнаружения инцидента нужно уведомить Роскомнадзор о результатах внутреннего расследования инцидента и указать сведения о лицах, действия которых стали причиной выявленного инцидента, — если это расследование позволило выявить таких лиц (п. 2 ч. 3.1 ст. 21 закона № 152-ФЗ).

Важно! Уведомить о результатах расследования нужно именно через 72 часа с момента обнаружения инцидента, а не после уведомления Роскомнадзора об инциденте. То есть первые 24 часа, когда надо сообщить о факте инцидента, в эти 72 часа входят.

Кейс №5. Утечка данных из критических информационных инфраструктур

Ситуация: Один банк продал клиентскую базу данных.

Последствия: У банковских организацией объем информации, относящейся к персональным данным, значительно больше. Это не только Ф. И. О., адреса, номера телефонов, но и сведения о счетах, кредитной истории и т.д. Соответственно, больше рисков и серьезнее последствия утечки для субъектов персональных данных — ущерб может быть выше.

Что делать: Объекты и субъекты критической информационной инфраструктуры определяет закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». К ним относят платежные организации, организации связи, транспорта, энергетики, атомной энергии и другие компьютерные программы, базы данных, интернет-сети, которые так или иначе ответственны за функционирование критической инфраструктуры. 

Компании, которые являются субъектами этой критической информационной инфраструктуры, и обязаны уведомлять ФСБ об инцидентах. Все остальные операторы персональных данных уведомляют Роскомнадзор.

Передавать данных об инцидентах ФСБ необходимо через ГосСОПКА — это государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Вебинар по работе с персональными данными сотрудников и клиентов

25 января в 15.00 по мск расскажем, как организовать работу с персональными данными в компании, чтобы избежать штрафов. Участие бесплатное

Реклама: ООО «Центр Бухгалтерских Решений», ИНН 5902063551, erid: LjN8K4RME

Начать дискуссию