Утечки персональных данных: законы и штрафы в 2024 году
Согласно данным статистики, примерно 80% случаев утечки персданных происходят из-за действий сотрудников. Работник может случайно перейти по ссылке для фишинга и позволить злоумышленникам проникнуть в базу данных компании. Киберпреступники, получив доступ к конфиденциальной информации, могут зашифровать или удалить данные, требуя выкуп за их восстановление.
Для предотвращения потери данных и штрафов крайне важно тщательно обращаться с хранением и обработкой персональных данных сотрудников
Защита информации в России
В 1990-х годах в Российской Федерации начали формироваться основы для первого закона о защите личных данных, определив субъекты права. Первый Федеральный закон "Об информации, информатизации и защите информации" был принят в 1995 году.
Со временем и распространением Интернета стало очевидно, что необходимо улучшить некоторые положения этого закона и решить проблемы, связанные с защитой данных. В результате развития законодательства в области конфиденциальной информации в 2006 году был принят закон "О персональных данных":
Данный закон устанавливает нормы, касающиеся:
- условий и принципов хранения и обработки персональной информации;
- защиты конфиденциальности персональных данных;
- использования биометрических персональных данных (появилось позже);
- ответственности за нарушение установленных требований
- и другие аспекты.
В 2008 году сформировался специальный государственный орган, регулирующий защиту прав субъектов персональных данных — Роскомнадзор. А так же появилась судебная практик, связанным с утечками информации и постепенно ввели поправки закон.
Ключевые изменения в законе о персданных в 2023 году
- Подтверждение удаления личной информации. Процесс уничтожения персональных данных требует составления специального документа в соответствии с нормами, установленными Роскомнадзором.
- Передача личных данных за границу. Для осуществления трансграничной передачи персональных данных компания должна получить разрешение от Роскомнадзора, в то время как ранее требовалось лишь уведомление.
- Обновление информации об операторе. Любые изменения в данных организации, обрабатывающей персональные данные, должны быть сообщены в Роскомнадзор не позднее 15-го числа следующего месяца. В случае прекращения оператором обработки личных данных, об этом необходимо уведомить в течение 10 рабочих дней с момента прекращения.
- Оценка возможного ущерба для субъектов персональных данных. Оценка потенциального ущерба должна проводиться в соответствии с требованиями Роскомнадзора.
- Регистрация случаев утечки личных данных. Роскомнадзор будет вести реестр инцидентов утечки персональных данных для надлежащего контроля и учета.
Оборотные штрафы за утечки данных
В 2024 году ввели новые поправки, ужесточающие ответственность за утечку данных. Если ранее штраф мог доходить до 1 500 000 рублей, то теперь — до 500 миллионов рублей:
Чтобы не платить штрафы, работодатель обязан организовать сбор, хранение, передачу и уничтожение персданных сотрудников по закону, а также вовремя обновлять свои локальные нормативные акты и «Соглашения об обработке персональных данных».
Например, если в 2019 году вы заключали «Соглашения» с работниками при приёме, а затем начали использовать фотографии менеджеров на вашем веб-сайте в чате с клиентами, вам необходимо внести информацию о таком использовании фотографий сотрудников в публичной области и обновить соответствующие разделы в «Соглашении».
Примеры утечки данных клиентов и сотрудников в России:
- В 2019 году была утечка данных клиентов Сбербанка. Около 60 миллионов записей попали в интернет и были проданы мошенниками. Банк утверждает, что утечка произошла по вине сотрудников, так как лица, не работающие в компании, никак не могут получить доступ к ПДн. В сеть попали паспортные данные, ФИО, идентификаторы держателей карт, информация о совершенных банковских операциях. Сбербанк заявил, что деньги пользователей в безопасности, так как в базе отсутствовали коды CVV.
- В 2020 около 5 миллионов записей личных данных сотрудников, учителей и учеников языковой школы SkyEng попали в интернет. Базу выставили на продажу, и приобрести ее мог любой желающий использовать ФИО, логин на сайте школы, телефон, электронную почту, и другие подробные сведения о персонале. Утечка произошла в результате атаки на сервер компании.
- В конце 2019 года произошла утечка данных около 703 000 сотрудников РЖД. Досье содержало ФИО, номер телефона, адрес, номер СНИЛС, должность, дату рождения и даже фото персонала. База была опубликована в сети. В результате был признан виновным и осужден за это преступление хакер, который используя для авторизации учетные записи двух работников, произвел взлом сервера и копирование информации, предназначенной для внутреннего пользования.
А ещё мы написали на РБК, что же с этим всем делать и при чём тут КЭДО.