Персональные данные в РФ: 5 реальных случаев нарушений и что с ними делать

Сотрудник продал базу, заказчик передал своим кредиторам номера телефонов сотрудников исполнителя. Разбираем реальные случаи утечки персональных данных из компании и последствия. В статье вы найдете рекомендации эксперта: как избежать утечки и что делать, если она уже произошла.
553 108
Персональные данные в РФ: 5 реальных случаев нарушений и что с ними делать
Иллюстрация: Вера Ревина/Клерк.ру

Кейс №1. Незаконное распространение персональных данных контрагентом

Ситуация: Две компании заключили договор возмездного оказания услуг. В договоре стороны не предусмотрели обязанность об использовании персональных данных сотрудников компаний только в рамках договорных обязательств.

Заказчик отказался платить, из-за чего Исполнитель в одностороннем порядке расторг договор.

После этого Заказчик незаконно распространил персональные данные сотрудников Исполнителя (фамилии, имена, телефоны, адреса электронной почты), и передал их в ФНС, а также своим контрагентам.

У Заказчика накопилась много долгов, и сотрудникам Исполнителя стали на регулярной основе поступать звонки с требованиями погасить задолженность.

Последствия: Незаконное распространение персональных данных привело к убыткам Исполнителя: были сорваны рабочие совещания, сотрудники компании были вынуждены заниматься не своими непосредственными обязанностями, а общением с контрагентами Заказчика.

В результате Исполнитель нарушил сроки выполнения обязательств по другим договорам.

Решение: В договоре обязательно нужно предусмотреть следующие пункты:

«1. Исполнитель обязуется использовать персональные данные сотрудников Заказчика только при осуществлении прав и обязанностей, предусмотренных настоящей офертой, в соответствии с выбранным тарифом, а также в соответствии с дополнительными соглашениями между сторонами. Незаконное разглашение персональных данных сотрудников Заказчика влечет за собой обязанность Исполнителя по оплате штрафа в размере 500 000 рублей (пятисот тысяч рублей) в пользу Заказчика. 

Под персональными данными в рамках данного пункта понимается: фамилия, имя, отчество; пол, возраст; образование, квалификация и т.п.; контактная информация (адрес, номер телефона и т.п.); семейное положение, наличие детей; факты биографии; финансовое положение; фотография, используемая для установления личности. 

2. Заказчик обязуется использовать персональные данные сотрудников Исполнителя только при осуществлении прав и обязанностей, предусмотренных настоящей офертой, в соответствии с выбранным тарифом, а также в соответствии с дополнительными соглашениями. Незаконное разглашение персональных данных сотрудников Исполнителя влечет за собой обязанность Заказчика по оплате штрафа в размере 500 000 рублей (пятисот тысяч рублей) в пользу Исполнителя.

Под персональными данными в рамках данного пункта понимается: фамилия, имя, отчество; пол, возраст; образование, квалификация и т.п.; контактная информация (адрес, номер телефона и т.п.); семейное положение, наличие детей; факты биографии; финансовое положение; фотография, используемая для установления личности».

Кроме того, Исполнитель должен направить жалобу в Роскомнадзор на Заказчика, который незаконно распространил данные. Так как сотрудники компании Исполнителя общались с Заказчиком только в рамках договора, иных контактов не имели, доказать факт незаконного распространения персональных данных будет достаточно просто.

Кейс №2. Незаконное распространение персональных данных сотрудником компании

Ситуация: Многие компании, которые занимаются продажей товаров и услуг, покупают персональные данные, такие как Ф. И. О., номера телефонов, адреса электронных почт, чтобы расширить базу потенциальных клиентов. На такой спрос есть и предложение. Так, сотрудник одной организации искал способы дополнительного заработка и продавал третьим лицам персональные данные. 

Последствия: Моральный вред могут взыскать с работодателя (определение Четвертого кассационного суда общей юрисдикции от 25.08.2022 № 88-22268/2022).

При этом к административной ответственности могут одновременно привлечь и оператора персональных данных, и виновного работника, за исключением ряда случаев, когда к ответственности привлекается только работник (ч. 3, 4 ст. 2.1 КоАП).

Если же бывший работник продолжит после увольнения обработку персональных данных, к которым получил доступ в период работы, то за данное нарушение к административной ответственности по ч. 1 ст. 13.11 КоАП привлекают именно его (постановление Четвертого кассационного суда общей юрисдикции от 29.11.2022 № П16-4000/2022).

Решение: Компании должны следить за своими информационными базами. Должен быть организован контроль за распространением персональных данных, контроль доступа к ним. Служба информационной безопасности должна следить за действиями сотрудников с карточками клиентов, и в случае, если кто-то из сотрудников копирует всю базу, необходимо провести служебное расследование, потребовать у сотрудника докладную записку — для каких целей копировались данные. 

Кроме того, должно быть организовано раздельное хранение информационных баз — ФИО отдельно, паспортные данные, ИНН, юридические адреса отдельно. И только у ограниченного круга сотрудников должен быть доступ к единой базе. 

Хотите защитить свой бизнес от штрафов на 1,5 млн от Роскомнадзора?

Возьмем на себя все заботы о персональных данных и защитим от претензий Роскомнадзора

Оставьте заявку, мы перезвоним

Принимаю оферту и даю согласие по перс.данным

Кейс №3. Уголовная ответственность за нарушение закона о персональных данных 

Ситуация: В компании работают два сотрудника, которые ведут корпоративную борьбу. Один из них получил доступ к карточке конкурента и нашел ссылку на его социальные сети. Сотрудник начал следить за своим конкурентом и выкладывать комментарии в общих корпоративных чатах относительно внешнего вида, способов отдыха коллеги, его семье. Таким образом, он распространял факты о частной жизни сотрудника, которые не относятся к служебной информации, при этом без его согласия. 

Мониторинг социальных сетей может проводить только руководитель и ответственные сотрудники, и только с целью информационной безопасности, или чтобы проверить, не занимается ли сотрудник незаконной деятельностью. 

Последствия: Специальной нормы об ответственности за нарушение закона о персональных данных в Уголовном кодексе нет. Однако действия лица, нарушившего правила работы с персональными данными, могут образовать состав преступления из числа предусмотренных Уголовным кодексом.

В частности, уголовная ответственность установлена:

  • за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия (ч. 1 ст. 137 УК);

  • неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация или копирование информации (ч. 1 ст. 272 УК, п. 3 постановления Пленума Верховного Суда от 15.12.2022 № 37);

  • неправомерный отказ должностного лица в представлении гражданину документов и материалов, собранных в установленном порядке и непосредственно затрагивающих его права и свободы гражданина (ст. 140 УК).

Важно! К уголовной ответственности могут привлечь только физическое лицо (ст. 19 УК). Однако привлечение виновного физического лица к уголовной ответственности не освобождает от административной ответственности организацию (ч. 3 ст. 2.1 КоАП).

В нашем случае, сотрудник, который распространял сведения о частной жизни коллеги, может быть привлечен к уголовной ответственности. А компанию могут привлечь к административной, если докажут, что не были предприняты должные меры по защите персональных данных сотрудников.

Читайте также: Новые штрафы за нарушение закона о персональных данных: как компаниям избежать рисков на 1,5 млн рублей

Решение: Служба отдела кадров должна минимизировать конфликты интересов между сотрудниками. А также проследить за тем, чтобы не происходила утечка персональных данных — доступ к личной карточке сотрудника должен быть только у ограниченного круга лиц.

Кейс №4. Утечка персональных данных в компании

Ситуация: Сотрудник консалтингового агентства перепродал клиентскую базу конкурентам.

Последствия: Конкуренты начали рассылать по базе коммерческие предложения. В результате утечки агентство потеряло часть клиентов — как действующих, так и потенциальных. 

Кроме того, при утечке высок риск того, что на субъектов персональных данных, то есть на клиентов из базы, будут оформлены кредиты. В таком случае, ответственный за защиту персональных данных оператор может быть привлечен к субсидиарной ответственности, если будет доказано, что он не принял надлежащие меры по защите персональных данных. 

Что делать: В законе от 27.07.2006 № 152-ФЗ «О персональных данных» есть термин «инцидент», под которым законодатель понимает любой факт неправомерной или случайной передачи либо распространения, предоставления доступа к персональным данным, повлекший нарушение прав субъекта персональных данных (ч. 3.1 ст. 21 закона № 152-ФЗ).

Если в компании произошла утечка, то оператор персональных данных в течение 24 часов с момента обнаружения инцидента обязан уведомить Роскомнадзор: 

  • о самом факте произошедшего инцидента; 

  • о предполагаемых причинах, которые привели к нарушению прав субъектов персональных данных;

  • о предполагаемом вреде, нанесенном правам субъекта персональных данных этим инцидентом;

  • о принятых мерах по устранению последствий инцидента; 

  • о лице, уполномоченном на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом (п. 1 ч. 3.1 ст. 21 закона № 152-ФЗ). Как правило, это сотрудник, ответственный за обработку персональных данных в организации, иногда — специалист по внутренней безопасности.

На сайте Роскомнадзора есть специальная форма для операторов, чтобы сообщить в электронном виде о произошедших инцидентах.

В течение 72 часов с момента обнаружения инцидента нужно уведомить Роскомнадзор о результатах внутреннего расследования инцидента и указать сведения о лицах, действия которых стали причиной выявленного инцидента, — если это расследование позволило выявить таких лиц (п. 2 ч. 3.1 ст. 21 закона № 152-ФЗ).

Важно! Уведомить о результатах расследования нужно именно через 72 часа с момента обнаружения инцидента, а не после уведомления Роскомнадзора об инциденте. То есть первые 24 часа, когда надо сообщить о факте инцидента, в эти 72 часа входят.

Кейс №5. Утечка данных из критических информационных инфраструктур

Ситуация: Один банк продал клиентскую базу данных.

Последствия: У банковских организацией объем информации, относящейся к персональным данным, значительно больше. Это не только Ф. И. О., адреса, номера телефонов, но и сведения о счетах, кредитной истории и т.д. Соответственно, больше рисков и серьезнее последствия утечки для субъектов персональных данных — ущерб может быть выше.

Что делать: Объекты и субъекты критической информационной инфраструктуры определяет закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». К ним относят платежные организации, организации связи, транспорта, энергетики, атомной энергии и другие компьютерные программы, базы данных, интернет-сети, которые так или иначе ответственны за функционирование критической инфраструктуры. 

Компании, которые являются субъектами этой критической информационной инфраструктуры, и обязаны уведомлять ФСБ об инцидентах. Все остальные операторы персональных данных уведомляют Роскомнадзор.

Передавать данных об инцидентах ФСБ необходимо через ГосСОПКА — это государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Вебинар по работе с персональными данными сотрудников и клиентов

25 января в 15.00 по мск расскажем, как организовать работу с персональными данными в компании, чтобы избежать штрафов. Участие бесплатное

Реклама: ООО «Центр Бухгалтерских Решений», ИНН 5902063551, erid: LjN8K4RME

Начать дискуссию

❗ Бухгалтеры-кассиры будут оформлять новый документ

Кассовые операции надо будет оформлять не только приходными и расходными кассовыми ордерами, но и квитанциями.

Курсы повышения
квалификации

20
Официальное удостоверение с занесением в госреестр Рособрнадзора

Будущее уже рядом. «Сбер» начал работу над искусственным интеллектом для человекоподобных роботов

На данный момент у «Сбера» есть роботизированная система для автоматизации работы склада, робот-дезинфектор, а также робот-сомелье для презентации и продажи вин. Однако ничего из перечисленного не сравнится с идеей, которую мы анализируем в статье.

Как работодателю поймать удаленщика на прогулах

Если сотрудник на удаленке не выходит на связь с работодателем больше двух дней подряд без уважительных причин, то это считается нарушением. С ним могут расторгнуть трудовой договор.

Лучшие спикеры, новый каждый день

Какие налоги должен платить ИП на маркетплейсе

Как все предприниматели, продавцы на маркетплейсах обязаны платить налоги. Если вы работаете как ИП, то можете выбрать одну из трех схем налогообложения. Рассказываем, как они работают и кому подходят.

Иллюстрация: создано с помощью ИИ OpenAI © Вера Ревина/Клерк.ру

Дорогие коллеги, друзья, защитники и просто мужчины! Поздравляем вас с Днем защитника Отечества!

Этот праздник — дань уважения всем, кто стоит на страже нашей Родины, кто готов в любой момент встать на ее защиту. И мы, ИТ-специалисты, тоже вносим свой вклад в обеспечение безопасности и стабильности нашей страны.

Перевод сотрудника на неполную ставку в программах 1С

В деятельности организации может возникнуть ситуация, когда необходимо принять или перевести сотрудника на неполную ставку. Очень важно осуществить это не только «на бумаге», но и в программе 1С.

Иллюстрация: создано с помощью ИИ OpenAI © Вера Ревина/Клерк.ру
Опытом делятся эксперты-практики, без воды

Налоговая банкротит российскую компанию, которая на 90% принадлежит ирландской Petroneft

ООО «Линейное» задолжало налоговой 293 млн рублей. Гендиректор компании заявил, что погасит все долги.

Электронный кошелёк «Qiwi»: Почему деньги на нем не застрахованы?

А также о том, что за обязательства будут подлежать включению в реестр требований кредиторов.

Электронный кошелёк «Qiwi»: Почему деньги на нем не застрахованы?

Когда уведомление по ЕНП может быть с нулевой суммой

В общем случае уведомление по ЕНП на налоги, которых нет (сумма налога = 0), не сдают.

Банки

Банк «Точка» поможет клиентам разобраться в ситуации с Банком QIWI

«Точка» банк создал страницу с материалами о том, как теперь будут работать банки без сервисов от QIWI.

Какие субсидии на открытие бизнеса для самозанятых доступны в 2024 году

Субсидия для открытия бизнеса самозанятыми представляет собой финансовую поддержку, направленную на стимулирование начинающих предпринимателей. Ее основная задача - помочь в развитии нового бизнеса и тем самым способствовать росту экономики страны.

Какие субсидии на открытие бизнеса для самозанятых доступны в 2024 году

Не меняйте условия трудового договора пока не прочтете это…

Жизнь течет, все меняется, меняются и условия ведения бизнеса. Например, может поменяться производственный процесс ввиду наладки выпуска новой продукции, зачастую такого рода «перестройки» требуют изменения устоявшегося режима работы сотрудников. Кого-то не обошли стороной финансовые трудности и, это вызвало необходимость изменения системы оплаты труда и пересмотра тарифных ставок (окладов).

Не меняйте условия трудового договора пока не прочтете это…
Миникурсы, текстовые и видеоинструкции для бухгалтеров

Пример расчета страховых взносов в МСП по ставке 15%

Малый и средний бизнес вправе применять пониженный тариф страховых взносов 15%. Эта льгота введена с 2020 года: сначала временно, затем бессрочно. По ставке в 15% рассчитываются страховые взносы только с суммы зарплаты, превышающей МРОТ.

Иллюстрация: andreas/freepik

Лучший допрос в налоговой — это тот, который не состоялся. Интервью с Владиславом Каминским

Обязательно ли идти на допрос в налоговую, какие риски и ответственность за неявку ждут бухгалтеров, какие незаконные методики использую налоговики. Об этом рассказал Владислав Каминский, налоговый эксперт и спикер IV всероссийской бухгалтерской конференции «Клерка», которая пройдет 14 марта.

Лучший допрос в налоговой — это тот, который не состоялся. Интервью с Владиславом Каминским

Forbes признал «Яндекс» самой дорогой компанией рунета

На втором месте в рейтинге Forbes — маркетплейс Wildberries, а на третьем — Ozon.

Хорошие новости для предпринимателей. Уголовные наказания за налоговые преступления смягчили

Максимальный срок лишения свободы за неуплату налогов сократился. Но умные предприниматели предпочитают не играть с законом и оптимизировать налоги правильно.

Хорошие новости для предпринимателей. Уголовные наказания за налоговые преступления смягчили

На «Авито» можно продать что угодно. Даже втулки от туалетной бумаги!

Оказывается, что смываемые втулки от туалетной бумаги — это не бесполезный мусор, а очень нужная вещь. Их продают рыбакам.

157

На подарки к 23 Февраля покупатели потратили на 19% больше денег

Ко Дню защитника Отечества вырос спрос на мужскую парфюмерию, строительные инструменты, смартфоны и наушники.

51
Бесплатно с Кадровый учет

Трудовой договор с дистанционным работником в 2024 году: образец

Дистанционная работа (ст. 312.1 ТК) выполняется вне места нахождения работодателя, вне стационарного рабочего места, территории или объекта, прямо или косвенно находящихся под контролем работодателя. Как правило, для выполнения трудовой функции и взаимодействия используются информационно-телекоммуникационные сети общего пользования, в том числе интернет.

Трудовой договор с дистанционным работником в 2024 году: образец

Что кадровику и бухгалтеру надо сдать до 26 февраля

Сегодня – последний рабочий день этой недели. Впереди – 3 выходных дня, а сразу после них – насыщенный рабочий понедельник. 26 февраля у бухгалтеров и кадровиков – очередной срок сдачи отчетов.