Хранение и обработка персональных данных через сайт требует не только организации технической защиты, но и понимания юридических рисков. Утечка данных — это не только репутационный удар по бизнесу, но и серьёзные последствия с точки зрения закона. Владелец сайта, допустивший инцидент, может столкнуться с проверками, штрафами и гражданско-правовыми исками.
Что считается утечкой персональных данных
Под утечкой понимается несанкционированный доступ третьих лиц к информации, которая позволяет прямо или косвенно идентифицировать пользователя. Это может быть:
– ФИО, номер телефона, адрес e-mail
– адрес доставки, паспортные данные, ИНН
– история заказов, переписка через сайт
– IP-адрес, cookies и другие технические данные, при условии их обработки с привязкой к личности
Если злоумышленники получили такие сведения из-за отсутствия защиты или халатности, это квалифицируется как нарушение законодательства.
Законодательная база
Основной нормативный акт в этой сфере — Федеральный закон №152-ФЗ «О персональных данных». В нём прямо указано, что оператор (то есть владелец сайта, собирающий данные) обязан обеспечить безопасность персональной информации и не допускать её неправомерного распространения.
Дополнительно применяются:
– КоАП РФ (ст. 13.11) — административные штрафы за нарушения в сфере обработки персональных данных
– ГК РФ — гражданская ответственность, включая возмещение ущерба
– УК РФ (ст. 137) — в исключительных случаях, если утечка касается сведений частной жизни
Какая ответственность грозит владельцу сайта
- Административная ответственность.
По ст. 13.11 КоАП, за нарушение требований по защите ПДн предусмотрены штрафы:
– от 30 000 до 150 000 руб. — за обработку без согласия
– до 75 000 руб. — за отсутствие политики обработки
– до 50 000 руб. — за несоблюдение обязанностей оператора
– до 500 000 руб. — за повторные или грубые нарушения, включая утечку
- Проверка Роскомнадзором.
После инцидента инициируется проверка. Проверяются все процессы обработки: наличие согласий, хранение данных, система безопасности, уведомление об утечке. При обнаружении нарушений назначается предписание и штраф. - Гражданская ответственность.
Пользователь, чьи данные утекли, вправе потребовать компенсацию. Размер ущерба не ограничен и зависит от последствий — утраты денег, репутационных последствий, психологического дискомфорта. Компенсации в судах часто составляют от 5 000 до 100 000 рублей за каждого пострадавшего. - Уголовная ответственность.
В особо тяжёлых случаях (например, публикация конфиденциальной информации, касающейся частной жизни без согласия) применяется ст. 137 УК РФ. Нарушителю может грозить штраф до 300 000 рублей, либо обязательные работы, либо арест.
Что делать при утечке данных
Если произошла утечка, необходимо:
– зафиксировать факт инцидента
– уведомить Роскомнадзор не позднее 24 часов (в случае существенной угрозы)
– устранить причину и усилить защиту
– проинформировать пользователей, чьи данные пострадали
– пересмотреть документы на сайте (политика конфиденциальности, согласия)
– провести внутренний аудит процессов обработки ПДн
Как минимизировать риски
– использовать SSL-сертификат и защищённые каналы передачи данных
– хранить ПДн в зашифрованном виде
– ограничить доступ к базе данных только уполномоченным лицам
– внедрить регламенты обработки и реагирования на инциденты
– актуализировать пользовательские соглашения и политику конфиденциальности
– подать уведомление в Роскомнадзор, если вы ведёте сбор ПДн
При подготовке статьи частично использованы материалы с сайта web2b.law — устранение утечки персональных данных
Дата публикации: 29 мая 2022 года