Комментарий Анастасии Сивицкой, советника Orchards, для Право.ru.
В 2022-м стало больше утечек данных компаний. Из-за этого бизнес терпит убытки, а еще страдает его репутация. Компанию могут оштрафовать, а клиенты, чьи данные слили, вправе потребовать моральную компенсацию. Когда утечка уже случилась, следует подать заявление в полицию. Если компанию признают потерпевшей, с нее вряд ли взыщут компенсацию морального вреда, считают эксперты. Восстановить репутацию в дальнейшем поможет активная коммуникация с клиентами. Важно сообщить им, какие меры безопасности предприняла фирма, чтобы смягчить последствия произошедшего.
Как следует из данных Group-IB, в прошлом году в открытый доступ впервые выложили 311 баз данных российских компаний. В 2021-м слитых баз было в пять раз меньше. Сами хранилища информации состоят из строк с различными данными пользователей: имена, телефоны, адреса, даты рождения, пароли, паспортные данные, информация о заказах и другие сведения. В 2022-м в сеть утекли 1,4 млрд таких строк. Годом ранее — 33 млн.
Утечки данных клиентов влекут неблагоприятные финансовые последствия для бизнеса. Так, за нарушение законодательства о персональных данных есть административная ответственность. По КоАП компанию могут оштрафовать на сумму до 300 000 руб. по ст. 13.11 КоАП о нарушении правил о персональных данных, если история с утечкой повторится.
При этом отдельного состава за утечку данных пока нет. Поэтому в начале года Владимир Путин поручил кабинету министров рассмотреть установить оборотные штрафы для компаний, которые допускают утечки данных, передают РИА «Новости». Сейчас Минцифры прорабатывает нижний и верхний пороги такой санкции. Как писал «Коммерсант», ведомство в середине марта передало в Госдуму два тематических законопроекта. В первом идет речь об ответственности за утечки баз данных, фиксированном штрафе за впервые допущенное нарушение и оборотном штрафе, если инцидент повторяется, от 5 до 500 млн руб. Во втором документе говорится об изменениях к статьям 272, 273 и 274 УК о неправомерном доступе к компьютерной информации, распространении вредоносных программ и нарушении правил эксплуатации средств хранения, обработки или передачи компьютерной информации.
Важно определить, действительно ли утекли персональные данные, по которым можно идентифицировать пользователей, отмечает Анастасия Сивицкая, адвокат, советник Orchards: «Возможно, потеряно незначительное количество информации, и по ней не определить клиентов. Тогда персональным данным пользователей ничего не угрожает. «Как показывает наш опыт работы по таким делам, зачастую масштабы утечек не столь глобальны, а сведения не всегда именно персональные данные», — делится адвокат.
«Оперативность расследования, выявление масштаба утечек и скорость реакции PR-служб компании позволяет снизить негативное влияние на репутацию».