Назад к списку статей
Финансовая грамотность
02.10.2023
Время чтения: 15 мин.
Обновлено 15.04.2024

Как получить компенсацию за утечку персональных данных?

Как получить компенсацию за утечку персональных данных? - 1

author photo
Анастасия Ткаченко Автор текстовВысшее образование по специальности «Бухгалтерский учёт, анализ и аудит».Финансист. Предприниматель.

Российское правительство одобрило предложение Минцифры о выплате компенсаций людям, пострадавшим от утечек баз данных компаний и учреждений. Инициатива должна повысить социальную ответственность организаций и сократить количество случаев «слива» персональных данных граждан. Нововведение также осложнит жизнь мошенникам, которые придумывают схемы обмана, используя контактную, паспортную и личную информацию россиян.

Далее в нашем материале – пояснения об инициативе Минцифры и о том, как получить компенсацию, если ваши данные «утекли» в сеть.

Содержание
 
 

Что нужно знать об инициативе?

Организации, которые собирают и обрабатывают персональные данные клиентов, обязаны надёжно хранить и защищать эту информацию. Но утечки всё равно случаются по разным причинам, из-за чего граждане могут понести материальный и моральный ущерб. Например, «слитые» контактные сведения используют аферисты для телефонного мошенничества.

Правила сбора, хранения и обработки персональной информации в России регулирует Федеральный закон от 27.07.2006 № 152-ФЗ. Согласно документу, за утечку данных виновным полагается штраф:

  • физлицам – 6 000 – 10 000 рублей;
  • должностным лицам и предпринимателям – 20 000 – 40 000 рублей;
  • организациям – 30 000 – 150 000 рублей.

Размер санкций зависит от тяжести нарушения и масштаба вреда, причинённого гражданам. Каждый случай утечки рассматривают индивидуально, учитывая все обстоятельства, по которым он произошел.

Российское бизнес-сообщество предлагает увеличить штрафы для организаций и привязать их к размеру годового оборота компании. Такие оборотные санкции могут составить от 5 млн до 500 млн рублей и увеличиваться с каждым новым нарушением. Подобную инициативу рассматривают в правительстве с 2022 года, но пока нет окончательной версии законопроекта. Чиновники подчёркивают: важно защитить не только интересы граждан, но и права компаний, которых могут ложно обвинять в утечках.

Что касается возмещения морального и материального ущерба гражданам, данные которых попали в «слив», то всё сложнее. Человек может добиться компенсации по своей инициативе, но только если ему удастся доказать, что:

  • его персональная информация была скомпрометирована;
  • в утечке его данных виновата организация;
  • он понёс материальный или моральный ущерб, который напрямую связан со «сливом» сведений.

Например, из-за утечки базы данных какой-либо компании данные гражданина попали в руки преступников, оформивших на его имя кредит. Чтобы получить компенсацию, придётся доказать, что аферисты использовали информацию, которую хранила организация, и именно вследствие этого человек стал жертвой мошенничества. Ведь может оказаться, что «заёмщик» сам передал свои сведения третьим лицам, став жертвой социальной инженерии.

При этом в законе нет нормы, которая учреждает размер моральной компенсации. Каждый случай рассматривают в суде индивидуально, устанавливая сумму возмещения с учётом всех обстоятельств. Во многих случаях людям просто не удаётся доказать факт утечки их данных или наличие существенного ущерба.

Что предлагают в Минцифры?

Чтобы изменить ситуацию в пользу граждан, представители министерства предлагают ввести добровольную выплату компенсаций со стороны организаций, что станет смягчающим обстоятельством при назначении наказания за утечку данных.

Когда примут закон об оборотных штрафах, санкции для компаний станут действительно ощутимыми, особенно если нарушения повторяются. Но если организация добровольно возместит ущерб пострадавшим клиентам, размер наказания уменьшат. Работать схема должна так:

  1. Компания узнаёт об утечке информации и составляет список граждан, чьи данные «ушли на сторону». Далее она отправляет пострадавшим SMS-уведомления о произошедшем.
  2. Люди, получившие уведомление, в течение 15 дней обращаются в организацию и подают заявление о возмещении ущерба.
  3. Получив заявки клиентов, компания в течение 20 рабочих дней определяет размер компенсаций и отправляет заявителям своё предложение.
  4. Граждане рассматривают предложение (на что у них есть 20 рабочих дней), после чего подают своё согласие или отказ.
  5. Если более 80 % пострадавших соглашаются получить компенсацию, организация должна в течение 5 дней выплатить им средства.

По задумке, компании должны быть заинтересованы в возмещении ущерба людям, чтобы снизить штрафы и поддержать своё доброе имя. Но подобное возможно, только если размер санкций будет выше, чем расходы на выплату компенсаций. Сейчас многим организациям проще заплатить штраф, чем внедрять дорогостоящие технологии по обработке и защите базы данных.

Зачем компании собирают персональные данные граждан и как их защищают?

Большинство компаний, работающих с клиентами, собирают их персональные данные: ФИО, контактные сведения, информацию о работе, месте проживания, примерной сумме доходов, предпочтениях в плане товаров и услуг. Анализируя эту информацию, организация может определить, какой группе потребителей наиболее интересны её продукты, что именно лучше предлагать той или иной категории граждан, что следует изменить в маркетинговой политике и т.д. Сведения клиентов очень важны для планирования работы фирмы и разработки линейки её товаров и услуг.

Некоторые организации собирают ещё более ценные данные. Например, банки, ломбарды, МФО и другие игроки финрынка получают доступ к паспортной и банковской информации граждан. Заполняя заявку на заём или кредит, человек предоставляет копии своих документов, реквизиты платёжной карты и практический полный «набор» персональных сведений. Подобный массив данных необходим кредитору, чтобы безошибочно идентифицировать личность клиента, не допустить мошенничества и принять правильное решение по заявке.

Все эти данные компании обязаны хранить и защищать от утечки, ведь в некоторых случаях аферисты могут похитить чужие деньги, зная только номер банковской карты.

Как компании обеспечивают защиту персональных данных клиентов?

Правила и рекомендации по использованию средств защиты информации разрабатывает и внедряет Федеральная служба по техническому и экспортному контролю (ФСТЭК). Также порядок работы со сведениями граждан определяет Федеральный закон «О персональных данных». Если обобщить действующие сейчас нормы, то организации должны:

  1. Обеспечить надёжный механизм аутентификации сотрудников, у которых есть право работать с персональными данными клиентов. У сторонних лиц не должно быть доступа к информационным базам.
  2. Использовать для хранения сведений современные серверы, которые должны находиться в защищённом месте. Доступ к серверному помещению может быть только у ограниченного количества сотрудников.
  3. Установить программное обеспечение, которое защищает оборудование от вирусов, хакерских атак и прочих угроз. Используемое ПО должно быть сертифицированным ФСТЭК – именно считается самым надёжным и безопасным.
  4. Применять проверенные технологии для шифровки данных.

Организации, которые работают с большим массивом данных, в том числе конфиденциальных, используют криптографические средства защиты. Это программы, которые превращают информацию в специальный шифр, который не могут использовать сторонние лица.

Заходя на любой сайт, обращайте внимание на его адрес – он должен начинаться с HTTPS. Это говорит о том, что площадка шифрует данные пользователей. Если подобного обозначения нет, значит, сервис небезопасен и им лучше не пользоваться.

Кроме того, вся работа компании по сбору и обработке информации сопровождается соответствующими документами. Например, у неё должна быть своя политика конфиденциальности, приказы о назначении лиц, имеющих доступ к персональным данным и отвечающим за их сохранность, модель угроз безопасности информационным базам. Также организация обязательно запрашивает у клиентов письменное согласие на обработку их сведений.

Кроме того, каждая компания, которая работает с информацией клиентов, регистрируется в Роскомнадзоре в качестве оператора персональных данных. Она сообщает, какую именно информацию собирает, и какие меры предпринимает для её защиты.

Почему происходят утечки данных?

Несмотря на все правила и требования, базы данных нередко оказываются на «чёрном рынке». Чаще всего утечки происходят из-за халатности сотрудников компании, неправильных действий самой организации, а также преступных атак извне. Среди самых распространённых причин можно отметить:

  • Некомпетентность работников компании – должностные лица недостаточно ответственно относятся к сбору и хранению данных. Например, сотрудник формирует базу контактов клиентов и отправляет себе на почту или распечатывает её в личных целях, хотя это запрещено. В такой ситуации информация может попасть в руки третьих лиц.
  • Намеренный «слив» данных – недобросовестные работники могут работать в связке с мошенниками и целенаправленно отправляют им информацию о клиентах.
  • Использование ненадёжных технологий – если компания применяет устаревшие антивирусы или некачественные носители данных, то её информационные базы могут взломать.
  • Отсутствие контроля над лицами с доступом к персональным данным – в организации нет чёткого перечня сотрудников, ответственных за работу с информацией клиентов, и механизма их аутентификации. В результате компания не может отслеживать, кто именно пользовался данными и получил доступ, например, к серверам.
  • Слив информации со стороны партнёра организации – компания собирает данные клиентов самостоятельно, но нанимает отдельную фирму для обработки сведений. В такой ситуации утечка может произойти по вине недобросовестного партнёра.

Обнаружив «слив», организация должна провести служебное расследование, обнаружить причину происшествия и применить санкции по отношению к виновнику. Также сама компания может попасть под разбирательство. Например, если утечка случилась из-за использования устаревшего или нелицензионного ПО, то компанию ждёт штраф.

Что делать, если ваши данные «утекли» в интернет?

К примеру, вам начали звонить из неизвестных компаний, предлагая товары или услуги. Но вы свой номер телефона не предоставляли никому, кроме одной организации (банк, компания-наниматель, фитнес-клуб и т.д.). В такой ситуации вы точно можете сказать, откуда именно произошла утечка. Чтобы наказать виновника, нужно написать заявление о разглашении персональных данных в Роскомнадзор – ведомство рассмотрит обращение, обяжет компанию провести служебное расследование, а также заблокирует сайты, которые используют «слитую» информацию.

Если из-за утечки вы понесли реальный финансовый ущерб, то можно подать на организацию в суд, а также написать заявление в прокуратуру. В таком случае придётся доказывать, что причиной ваших потерь является разглашение данных, в которых виновна именно эта компания.

Чтобы прекратить спам сообщений и звонков, лучше сменить номер телефона или отправить надоедливые контакты в чёрный список. Если вы подозреваете, что в «слив» могли попасть логины и пароли к почте или другим сервисам, либо ваш номер карты, тогда смените данные для входа на сайты и перевыпустите «пластик».

Как снизить риск утечки своих данных?

Старайтесь как можно реже предоставлять данные о себе непроверенным организациям. Речь идёт о регистрации на различных сайтах, оформлении скидочных карт и абонементов, участии в акциях и лотереях. Особенно это касается передачи копий документов, паспортных сведений, номеров банковских карт. Помните, что существуют схемы, которые дают мошенникам возможность похитить деньги граждан только по номеру СНИЛС. Поэтому без реальной необходимости не соглашайтесь на обработку своих данных.

Обязательно проверяйте безопасность сайтов, которыми пользуетесь. Обращайте внимание на предупреждение антивирусной системы и пометки поисковых программ (они нередко обозначают потенциально опасные сервисы). Также никому не сообщайте свои конфиденциальные сведения.

Выводы

  • Представители Минцифры предлагают механизм, который мотивирует компании выплачивать клиентам компенсацию ущерба в случае утечки данных.
  • Согласно инициативе, если компания добровольно возместит клиентам ущерб, то к ней применят сниженные штрафы за утечку информации.
  • Сейчас за утечку информации виновникам полагаются штрафы, а клиенты могут получить компенсацию только по своей инициативе, доказав вину организации и факт своего финансового или морального ущерба из-за «слива» данных.
  • Порядок работы со сведениями граждан регламентирует закон «О защите персональных данных», а также рекомендации ФСТЭК. За тем, как организации соблюдают требования законодательства, следит Роскомнадзор.
  • Чтобы обеспечить защиту информации, операторы персональных данных должны получить в Роскомнадзоре разрешение работать с информацией граждан. А также внедрить специальное ПО и сертифицированное оборудование для хранения информации, чётко следить за лицами, которые работают с серверами и базами сведений, а также документально оформить процесс хранения и обработки данных.
  • Утечки в компаниях обычно случаются по вине человеческого фактора или использования недостаточно надёжного ПО и оборудования.
  • Если ваши данные «слили» в интернет, и вы знаете, какая организация в этом виновна, следует подать жалобу в Роскомнадзор. Также по возможности нужно заменить скомпрометированные данные (контакты, логины и пароли к аккаунтам, номера карт и т.д.).

Источники

  1. base.garant.ru
  2. tass.ru
  3. pravo.ru
  4. banki.ru
  5. vedomosti.ru

Еще статьи из рубрики «Финансовая грамотность»

Подписка на рассылку

Отправляем только полезные письма о новых статьях, акциях и новостях компании