Утечка персональных данных — это ситуация, когда сведения о гражданах незаконно или случайно передали, предоставили, распространили либо сделали доступными посторонним лицам. Это может быть взлом базы клиентов, отправка файла не тому адресату, публикация таблицы с телефонами на сайте, потеря носителя, доступ бывшего сотрудника к CRM или выгрузка данных подрядчиком.
Персональные данные — это не только паспорт и СНИЛС. В спорной ситуации значение могут иметь ФИО, телефон, адрес электронной почты, адрес доставки, дата рождения, сведения о заказах, медицинская информация, данные сотрудников, данные клиентов, IP-адреса, идентификаторы в информационных системах и другие сведения, по которым человека можно прямо или косвенно определить.
Первый вопрос для компании: действительно ли произошла утечка или это только подозрение. Но даже подозрение нельзя игнорировать. Лучше сразу запустить внутреннюю проверку и назначить ответственных. Если в компании до сих пор нет такого лица, стоит оформить приказ о назначении ответственного за обработку персональных данных.
Что сделать в первые часы
Первое действие — остановить дальнейшее распространение данных. Нужно отключить скомпрометированный доступ, сменить пароли, заблокировать учетные записи, закрыть публичную ссылку, ограничить выгрузку из системы, отозвать права у подрядчика или сотрудника. Важно не разрушить доказательства: журналы доступа, письма, скриншоты, логи и технические отчеты нужно сохранить.
Второе действие — определить, какие данные утекли. Одно дело — список телефонов клиентов, другое — паспортные данные, сведения о здоровье, банковские реквизиты или биометрия. Чем чувствительнее данные и чем больше людей затронуто, тем выше риски.
Третье действие — зафиксировать инцидент внутри компании. Руководитель может назначить рабочую группу, ответственного за взаимодействие с Роскомнадзором и технических специалистов. Для общей подготовки системы защиты пригодится приказ о повышении уровня кибербезопасности и защите персональных данных, а для постоянной роли — приказ о назначении ответственного за информационную безопасность.
Когда уведомлять Роскомнадзор
Роскомнадзор нужно уведомить быстро. На портале персональных данных указано два этапа: в течение 24 часов оператор сообщает о произошедшем инциденте, предполагаемых причинах, предполагаемом вреде, принятых мерах и контактном лице; в течение 72 часов — направляет результаты внутреннего расследования и сведения о лицах, действия которых стали причиной инцидента, если они установлены.
Это не тот случай, когда можно сначала неделю «разбираться внутри». Первичное уведомление не требует идеальной картины. Его смысл — быстро сообщить о факте инцидента и показать, что оператор уже принимает меры. Если компания затянет с уведомлением, это станет отдельным нарушением.
За неуведомление Роскомнадзора об утечке, которой нарушены права субъектов персональных данных, для ИП и компаний предусмотрен штраф от 1 млн до 3 млн рублей. Такие же риски возникают при несвоевременном уведомлении.
Как провести внутреннее расследование
Внутреннее расследование должно ответить на пять вопросов: что произошло, когда произошло, какие данные затронуты, сколько людей пострадало и кто или что стало причиной инцидента. Причиной может быть внешняя атака, ошибка сотрудника, слабый пароль, отсутствие двухфакторной аутентификации, неправильная настройка доступа, устаревшая система, подрядчик или нарушение внутреннего регламента.
Результаты расследования лучше оформлять письменно: актом, служебной запиской, отчетом комиссии или приказом руководителя. В документе стоит указать хронологию событий, состав утекших данных, количество субъектов, принятые меры, выводы и план исправления. Если часть данных уже не должна храниться, нужно отдельно решить вопрос с их уничтожением. Для этого можно использовать приказ о создании комиссии по уничтожению персональных данных и акт уничтожения персональных данных на бумажных носителях.
Главная ошибка — писать в документах общие фразы: «приняты меры», «доступ ограничен», «виновные будут установлены». Проверяющему и суду нужны конкретные действия: кто заблокирован, какие пароли изменены, какие права удалены, какие системы обновлены, какие сотрудники предупреждены, какие подрядчики проверены.
Какие штрафы грозят за утечку
Размер штрафа зависит от масштаба утечки и категории данных. За утечку персональных данных не менее чем 1 000 физлиц или не менее 10 000 идентификаторов для ИП и компаний предусмотрен штраф от 3 млн до 5 млн рублей. За утечку данных не менее чем 10 000 физлиц или не менее 100 000 идентификаторов — от 5 млн до 10 млн рублей. За утечку данных более чем 100 000 физлиц или более 1 млн идентификаторов — от 10 млн до 15 млн рублей.
Отдельно выделены чувствительные случаи. Утечка специальных категорий персональных данных может обойтись ИП или компании в 10–15 млн рублей, а утечка биометрических данных — в 15–20 млн рублей.
Самый опасный сценарий — повторная утечка. За повторную утечку персональных данных любой категории коммерческим организациям и ИП грозит оборотный штраф: 1–3% годовой выручки, но по общему правилу не меньше 20 или 25 млн рублей и не больше 500 млн рублей.
Почему важно проверить документы до инцидента
При утечке Роскомнадзор и суд смотрят не только на сам факт инцидента, но и на то, как компания была подготовлена. Были ли локальные акты, назначены ли ответственные, ограничен ли доступ, обучены ли сотрудники, есть ли регламент реагирования, ведется ли учет носителей, оформлены ли согласия, проверяются ли подрядчики.
Базовый документ — положение о работе с персональными данными. Его можно утвердить через приказ об утверждении Положения о работе с персональными данными или приказ об утверждении положения о защите персональных данных.
Если компания обрабатывает клиентскую базу, отдельный риск — доступ сотрудников и подрядчиков. Для таких случаев пригодится приказ об организации работы с клиентской базой. Чем понятнее правила до инцидента, тем легче потом доказать, что компания не бездействовала.
Нужно ли сообщать клиентам и сотрудникам
Универсального правила «всегда письменно уведомить каждого клиента» для всех ситуаций лучше не формулировать автоматически. Сначала нужно оценить характер инцидента, требования закона, позицию Роскомнадзора, условия договоров, отраслевые правила и риск вреда для граждан. Но если утечка может привести к мошенничеству, спаму, фишингу, оформлению займов или иному вреду, компаниям часто разумно предупредить людей и дать им понятную инструкцию.
Такое уведомление должно быть спокойным и конкретным: какие данные могли быть раскрыты, что компания уже сделала, куда обращаться, как защититься, какие действия не нужно совершать. Не стоит скрывать проблему за расплывчатыми формулировками вроде «произошел технический сбой». Если потом выяснится, что это была утечка, доверия станет меньше.
Со стороны гражданина типовая реакция — обращение в Роскомнадзор. На сайте можно поставить ссылку на жалобу на утечку персональных данных, а для более общей ситуации — на жалобу на обработку персональных данных.
Что делать после уведомления
После первичного уведомления работа не заканчивается. Нужно закрыть техническую уязвимость, пересмотреть права доступа, проверить подрядчиков, обновить пароли, провести обучение сотрудников, усилить журналирование, ограничить выгрузки, пересмотреть сроки хранения данных и удалить лишнее.
Отдельно стоит проверить согласия и цели обработки. Если компания собирает больше данных, чем реально нужно, риск утечки всегда выше. Лишние копии паспортов, старые анкеты, неактуальные базы соискателей, выгрузки в Excel и архивы на личных компьютерах — это слабые места. Если субъект отозвал согласие, можно использовать смежный документ — отзыв согласия на обработку персональных данных.
Хорошая постинцидентная мера — отдельный приказ с планом исправлений: кто отвечает, что делает, в какой срок, как проверяется результат. Это покажет, что компания не просто отправила уведомление, а реально снизила риск повторной утечки.
Частые ошибки компаний
Первая ошибка — ждать полной технической экспертизы и пропустить 24 часа. Первичное уведомление подается быстро, даже если детали еще уточняются.
Вторая ошибка — не считать масштаб утечки. Для штрафа имеет значение количество субъектов и идентификаторов, а также категория данных. Без нормального учета компания сама не понимает свой риск.
Третья ошибка — не сохранять доказательства. Если системный администратор «почистил сервер», удалил логи или перезаписал журнал доступа, расследование становится слабее.
Четвертая ошибка — делать вид, что утечка произошла «не у нас, а у подрядчика». Если подрядчик обрабатывал данные по поручению компании, оператору все равно придется разбираться и объяснять, как был организован контроль.
Пятая ошибка — ограничиться штрафом как единственным риском. После утечки возможны жалобы граждан, иски, претензии контрагентов, репутационные потери, проверки по информационной безопасности и расходы на восстановление систем.
FAQ: утечка персональных данных
Когда нужно уведомить Роскомнадзор об утечке?
Первичное уведомление подают в течение 24 часов после выявления инцидента. Результаты внутреннего расследования направляют в течение 72 часов.
Какой штраф за неуведомление Роскомнадзора?
Для ИП и компаний — от 1 млн до 3 млн рублей за нарушение обязанности уведомить об утечке персональных данных.
Какой штраф за саму утечку персональных данных?
Для ИП и компаний — от 3 млн до 15 млн рублей в зависимости от масштаба. За биометрические данные штраф может составить от 15 млн до 20 млн рублей.
Что компании сделать в первую очередь?
Остановить распространение данных, сохранить доказательства, ограничить доступ, назначить ответственных и направить первичное уведомление в Роскомнадзор.
Что грозит за повторную утечку?
За повторную утечку возможен оборотный штраф: 1–3% годовой выручки, но в пределах установленных минимальных и максимальных значений.