Утечка персональных данных
В сегодняшних условиях персональные данные выступают очень важной информацией, конфиденциальность которой гарантируется на законодательном уровне. Что вовсе не исключает риска утечки сведений о конкретном человеке, что происходит по разным причинам. Начиная с обычной халатности и заканчивая злым умыслом в действиях ответственных сотрудников. Актуальность вопроса подтверждается регулярным ужесточением нормативного регулирования данной темы.
Рассмотрим более внимательно, как организована защита персональных данных, в чем состоят причины их утечки и каковы возможные последствия для заинтересованных сторон.Ответственность за утечку данных
Персональные данные (ПД) сегодня становятся ценнейшим ресурсом, любое несанкционированное использование или раскрытие информации способно нанести серьезный ущерб как отдельным пользователям, так и организациям в целом. В связи с этим, вопрос защиты персональных данных становится одним из приоритетных направлений, а ответственность за их утечку выступает важным аспектом современной практики в области информационной безопасности.
Утечка персональных данных может происходить по ряду причин. Это могут быть как внутренние, так и внешние угрозы.
К внутренним причинам относятся действия сотрудников, имеющих доступ к конфиденциальной информации: умышленные или случайные ошибки, небрежное отношение к защите данных, а также сознательные нарушения с целью получения выгоды.
Внешние угрозы включают хакерские атаки, вредоносные программы и фишинг, что требует от организаций значительных усилий по обеспечению безопасности своих систем.Ответственность за утечку ПД разделяется на несколько уровней:
- Юридическая ответственность. Соблюдение законодательства в этой сфере регулируется Гражданским Кодексом РФ, Кодексом административных правонарушений, Трудовым Кодексом, ФЗ «О персональных данных» № 152-ФЗ от 27. 07. 2006 г. Разглашению персональных данных и мерам ответственности посвящена ст. 13.11 КоАП РФ. Нарушение законодательства в области персональных данных влечет административную, а в некоторых случаях и уголовную ответственность, которая может выражаться в значительных штрафах за утечку персональных данных для организаций, должностных лиц и граждан, в исправительных работах или даже лишении свободы.
- Гражданско-правовая ответственность. Если утечка данных привела к ущербу для конкретных физических или юридических лиц, они имеют право на компенсацию убытков через судебные иски против виновных лиц или организаций. Это может включать возмещение материального ущерба, а также компенсацию морального вреда.
- Репутационная ответственность. Утечка данных может серьезно подорвать доверие клиентов и партнеров к компании, что приведет к потере бизнеса и доходов. Восстановление репутации требует значительных финансовых и временных ресурсов, а иногда может оказаться невозможным.
Виды ответственности за нарушение закона
Законом предусмотрены различные виды юридической ответственности за утечку персональных данных. Они могут применяться отдельно или в совокупности, в зависимости от обстоятельств дела и степени нарушения.
Для каждой категории ответственности предусмотрены свои процессуальные механизмы и процедуры, определенные соответствующим законодательством.Дисциплинарная ответственность за утечку персональных данных
Дисциплинарная ответственность возникает за неисполнение или ненадлежащее исполнение работником обязанностей, когда по его вине происходят незначительные информационные утечки без угрозы репутации компании и ее клиентам.
Виды ответственности:
Вид | Ссылка на законодательный акт | Пример и объяснение |
Замечание и выговор | Cт. 90, 192 Трудовой Кодекс РФ | Если ответственное лицо передало данные третьим лицам |
Увольнение | Ст. 81 ТК РФ | За придание публичного статуса личной информации другого сотрудника или клиента. Например, менеджер банка запросил у клиента информацию о платежеспособности клиента неофициально. |
Гражданско-правовая ответственность за утечку персональных данных
Гражданско-правовая ответственность наступает в результате причинения имущественного или морального ущерба в результате утечки персональных данных. Наказания включают:
Вид | Ссылка на законодательный акт | Пример и объяснение |
Возмещение убытков, в рамках действий виновника за использование персональных сведений в корыстных целях | ст. 15 ГК РФ | Потерпевшая сторона имеет право на возмещение материального ущерба, причиненного в результате утечки персональных данных. Пример: Понесение финансовых убытков субъектом персональных данных при нарушении оператором ПД правил обработки данных |
Компенсация морального ущерба за нарушение оператором правил обработки данных в ходе чего владелец понес моральный ущерб | ст. 24 152 -ФЗ | Пострадавшие могут требовать компенсацию за моральные переживания, причиненные утечкой персональных данных. Пример: От банка, в котором клиент не обслуживается, поступают спам-звонки и смс с предложениями оформления кредита или с требованиями его погашения |
Пострадавшие могут требовать компенсацию за моральные страдания, причиненные утечкой персональных данных.Административная ответственность за утечку персональных данных
Административная ответственность наступает в случае нарушения установленных законом требований к обработке и защите персональных данных.
К наиболее распространённым видам административных наказаний относятся:
Вид | За что | Статья за утечку персональных данных | Пример |
Предупреждение или наложение административных штрафов | За обработку персональной информации в случаях, которые не предусматриваются законом | Ст. 13.11 КоАП РФ | На телефон клиента без его согласия поступают сообщения рекламного характера |
Штрафы – денежные санкции, которые могут быть наложены на ответственные лица, включая должностных лиц и юридические лица, за нарушение законодательства в области защиты персональных данных | За проведение обработки персональных сведений человека без его письменного согласия. За утечку информации и попадание ее к третьим лицам и т. д. За нарушение правил при размещении биометрических персональных данных | Ст. 13.11 КоАП РФ Статья 19.7 КоАП РФ | Пример: На основании врачебных карт пациентов без их согласия создана собственная база клиентов частной компании |
Дополнительно, в случае грубого или повторного нарушения закона, орган, осуществляющий контроль за соблюдением законов в области персональных данных, может временно приостановить деятельность компании.Уголовная ответственность за утечку персональных данных
Уголовная ответственность наступает в случае особо тяжких нарушений, которые наносят существенный вред защищаемым законом общественным отношениям. Виды уголовных наказаний могут включать:
- Штрафы — большие денежные штрафы, которые могут налагаться на виновных лиц.
- Лишение свободы — в особенно тяжких случаях, когда утечка персональных данных привела к значительным последствиям, виновные могут быть приговорены к лишению свободы.
- Исправительные работы — альтернатива лишению свободы, которая может быть назначена на определённый срок.
Что власти планируют изменить
На рассмотрении Госдумы находится законопроекты «О внесении изменений в Кодекс РФ об административных правонарушениях» и «О внесении изменений в УК РФ» об усилении ответственности за утечку персональных данных.
Изменения предусматривают введение оборотных штрафов для компании, являющейся оператором ПД, допустившей утечку личной информации граждан в размере до 3 % от выручки. Предусмотрена уголовная ответственность в виде лишения свободы сроком до 10 лет за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем, за создание информационных ресурсов для действий, связанных с незаконным распространением персональных данных.
Если правонарушение совершено впервые, штраф за утечку данных будет увеличен до 2 млн рублей для должностных лиц и до 15 млн рублей на компании.
Сумма штрафа будет определяться в зависимости от размера утечки.Штрафы за утечку персональных данных
На сегодняшний день действуют следующие штрафы:
Правонарушение | Размер штрафа для граждан | Размер штрафа для должностных лиц | Размер штрафа для юридических лиц | Размер штрафа для ИП |
За обработку ПД данных без письменного согласия субъекта, если это необходимо по требованию закона | Впервые: 10000 – 15000 руб. Повторно: 15000 – 30000 руб. | Впервые: 100 000–300 000 руб. Повторно: 300 000–500 000 руб. | Впервые: 300 000–700 000 руб. Повторно: 1000 000 руб. — 1500 000 руб. | Впервые: 100 000–300 000 руб. Повторно: 500000 – 1 000 000 руб. |
За обработку ПД в случаях, не предусмотренных законодательством в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных | Впервые: 2000 – 6 000 руб. Повторно: 4000 – 12 000 руб. | Впервые: 10 000–20 000 руб. Повторно: 20000 – 50000 руб. | Впервые: 60000–100 000 руб. Повторно: 00000 – 300000 руб. | Впервые: 10000 – 20 000 руб. Повторно: 50000 – 100000 руб. |
За невыполнение обязанности по опубликованию или обеспечению неограниченного доступа к документу, который определяет политику обработки ПД, и к сведениям о защите информации | 1 500 – 3 000 руб. | 6 000–12 000 руб. | 30000 – 60 000 руб. | 10000 – 20 000 руб. |
За несоблюдение сроков уточнения, блокирования или уничтожения ПД в случаях, когда они являются устаревшими, неточными или неполными, незаконно полученными | Впервые: 2000 – 4 000 руб. Повторно: 20000 – 30 000 руб. | Впервые: 8 000 – 20 000 руб. Повторно: 30 000 – 50 000 руб. | Впервые: 50000 – 90 000 руб. Повторно: 300000 – 500 000 руб. | Впервые: 20000 – 40 000 руб. Повторно: 50000 – 100 000 руб. |
За невыполнение оператором при сборе ПД, в том числе посредством сети «Интернет», обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан в соответствии с законодательством РФ | Впервые: 30000 – 50 000 руб. Повторно: 50000 – 100 000 руб. | Впервые: 100000 – 200 000 руб. Повторно: 500000 – 800 000 руб. | Впервые: 1000 000 – 6000000 руб. Повторно: 6000000 – 18000 000 руб. | Впервые: 1000 000 – 6000000 руб. Повторно: 6000000 – 18000000 руб. |
За невыполнение оператором ПД условий хранения, обработки и уничтожения персональных данных без использования средств автоматизации, если это привело к неправомерному доступу к информации, её уничтожению, изменению, блокированию, распространению или другим неправомерным действиям | 1500 – 4 000 руб. | 8000 – 20 000 руб. | 50000 – 100 000 руб. | 20000 – 40 000 руб. |
За невыполнение оператором обязанности по обезличиванию ПД | 6000 – 12000 руб. | |||
За невыполнение оператором обязанности по предоставлению субъекту ПД информации, касающейся обработки его персональных данных | 2000 – 4 000 руб. | 8000 – 12 000 руб. | 40000 – 80 000 руб. | 20000 – 30 000 руб. |
За нарушение правил, при размещении биометрических персональных данных в ЕГИС в банках и МФЦ | 100 000 — 300 000 руб. | 500 000 до 1000 000 руб. |