Утечка баз данных: что предпринять по новым правилам?

23 января 2024 года Госдумой в первом чтении были приняты законопроекты об административной и уголовной ответственности за распространение персональных данных. Вероятнее всего, закон, усиливающий ответственность за утечку данных пользователей, будет принят. Что о новшествах стоит знать предпринимателям и как обезопасить компанию от утечки, например, базы данных лидов?

По данным Роскомнадзора, за 2022 год было выявлено около 150 крупных утечек персональных данных. В 2023-м данная цифра только выросла — до 168 случаев. В сеть попали 300 млн записей о российских пользователях.

Усиление ответственности, которое бы снизило количество подобных случаев, было вынужденным. Совокупная сумма штрафов в менее чем 5 млн рублей, выписанных компаниям в прошлом году, несоразмерна ущербу в связи с утечкой персональных данных. В 2023-м он составил около 19 млрд рублей.

Соавтор законопроекта об оборотных штрафах за распространение персональных данных Александр Хинштейн отметил, что такая картина говорит об отсутствии действенных мер против инцидентов. Мотивировать бизнес выделять больший бюджет на обеспечение информационной безопасности можно только с помощью ужесточения наказания за утечку данных.

Планируют внести изменения в меры наказания.

Кратно увеличатся административные штрафы. Если сейчас размер штрафа варьируется от 60 до 100 тыс. для компаний, привлекаемых к ответственности впервые, и от 100 до 300 тыс. рублей в случае повторного нарушения, то новый законопроект увеличит максимальный размер штрафа для бизнеса до 500 миллионов рублей. Значительно изменятся и минимальные штрафы: бизнес, допустивший утечку данных от 1 до 10 тыс. субъектов персональных данных, рискует потерять от 3 до 5 миллионов рублей.

Произойдет диверсификация ответственности. Огромные миллионные штрафы грозят прежде всего крупному бизнесу. То есть тем компаниям, которые собирают, хранят и обрабатывают огромное количество пользовательских данных. Однако и для предприятий, допустивших не столь значительные утечки, штрафы вырастут в 2-3 раза в зависимости от юридического статуса нарушителя.

Появится специальная статья в уголовном кодексе, предусматривающая уголовную ответственность за незаконное использование персональных данных. Согласно ей, нарушитель может получить наказание в виде лишения свободы на срок до 10 лет.

Отношение бизнеса к таким перспективам весьма предсказуемо — проект закона уже был подвергнут критике. И понятны мотивы авторов законопроекта, которые хотят побороть постоянные утечки.

От риска утечки базы данных лидов нельзя застраховаться на все 100%. У нас были клиенты, чьи сотрудники переписывали все данные лидов на листочек и благополучно выносили их из компании.

Отношения с сотрудниками лучше выстраивать с учетом режима коммерческой тайны. Он начинает действовать, когда в компании утвержден реестр информации, которая несет для бизнеса коммерческую ценность, и с сотрудниками подписаны соответствующие соглашения. Работники, у которых есть доступ к конфиденциальной информации, например, к базе данных клиентов, должны быть проинформированы о том, что она является засекреченной и за ее разглашение они понесут ответственность.

Стоит обратить внимание и на то, как организованы бизнес-процессы компании: как получается информация, кому передается, каким образом ведется учет лиц, у которых есть к ней доступ, насколько своевременно неиспользуемая информация удаляется.

Произошла утечка персональных данных? Во-первых, необходимо сообщить о произошедшем пользователям, чьи данные «утекли». Во-вторых, по обновленным правилам необходимо уведомить и Роскомнадзор:

В заключение скажу, что вне зависимости от того, будет ли ответственность за утечку персональных данных ужесточена, любой предприниматель должен осознавать риски, поскольку информационная безопасность и конфиденциальность данных — один из ключевых факторов стабильного развития бизнеса.