🔐 Утечка персональных данных: как не допустить и что делать, если это произошло С 30 мая 2025 года вступают в силу новые штрафы за утечку персональных данных (Федеральный закон от 30.11.2024 № 420-ФЗ). Компания может потерять до 15 млн рублей, а ответственный сотрудник — до 1 млн рублей. Даже случайная ошибка может стоить миллион. Разбираемся, как происходят утечки, как их предотвратить и что делать, если данные уже утекли. 🚨 Три сценария утечки (и как от них защититься) 1️⃣ Взлом системы через сотрудника Злоумышленники могут запустить вирус через компьютер работника или провести фишинговую атаку. Примеры из практики: - В федеральном университете вирус скопировал данные студентов и сотрудников. Антивирус не сработал, утечку выявили вовремя, но штраф — 60 тыс. руб. (постановление мирового судьи № 05-0463/387/2023). - Фишинговая рассылка: сотрудник перешёл по поддельной ссылке, злоумышленник вошёл в корпоративную базу и выгрузил данные. Компания оперативно заблокировала учётные записи, но штраф всё равно присудили — 60 тыс. руб. (постановление № 05-0381/349/2024). Что делать: - Регулярно проводить обучение сотрудников основам кибербезопасности (не открывать подозрительные письма, не переходить по сомнительным ссылкам). - Использовать лицензионные антивирусы и своевременно их обновлять. - Внедрить многофакторную аутентификацию для доступа к базам данных. 2️⃣ Уязвимости в ПО подрядчика Ответственность за утечку из-за программного обеспечения стороннего поставщика несёт оператор персональных данных. Пример: из-за уязвимости в «1С-Битрикс» данные оказались в открытом доступе. Уязвимость оперативно устранили, но штраф 60 тыс. руб. всё равно выписали (постановление № 05-1003/422/2023). Что делать: - Требовать от подрядчиков подтверждения безопасности их ПО. - Включать в договоры условия о конфиденциальности и ответственности за утечку. - Регулярно проводить аудит систем и обновлять программное обеспечение. 3️⃣ Ошибка кадровика: отправка данных не тому адресату Самые частые случаи — случайная рассылка или ошибочное приложение файла. Примеры: - Сотрудник центра занятости отправил приглашение на мероприятие, случайно приложив файл с персональными данными всех соискателей. Утечка — штраф (постановление № 05-0267/410/2023). - Сотрудник банка по ошибке направил клиенту справку по счетам другого клиента. Штраф — 70 тыс. руб. (постановление № 05-0612/348/2023). Что делать: - Разработать регламент работы с персональными данными, запрещающий отправку по электронной почте без шифрования. - Установить принцип «минимальных привилегий»: доступ к данным только тем, кому это нужно для работы. - Запретить сообщать сведения о сотрудниках по телефону — только по письменному запросу. 📄 Какие документы помогут избежать штрафов? Роскомнадзор при проверке обязательно запросит: - Положение об обработке и защите персональных данных — с правилами хранения, передачи, доступа. - Приказ о назначении ответственного за обработку ПДн. - Инструкцию ответственного о порядке уведомления РКН и отчётности при утечке. - Программу обучения сотрудников работе с ПДн. - Регламент предоставления доступа к ПДн. - Реестр процессов обработки персональных данных. Без этих документов компания автоматически попадает в зону риска. ⚠️ Новые штрафы за утечку (с 30 мая 2025) Утечка персональных данных Штраф для компании до 15 млн руб. Штраф для ответственного сотрудника до 1 млн руб. Даже если утекли данные одного человека, это квалифицируется как утечка. Наказание не зависит от количества пострадавших. 🧠 Что делать, если утечка всё-таки произошла? 1. Не пытайтесь скрыть. Роскомнадзор мониторит сеть и обнаружит утечку. Скрытие только увеличит наказание. 2. Уведомите РКН в течение 24 часов с момента обнаружения инцидента (ст. 21.1 152-ФЗ). 3. Проведите внутреннее расследование и в течение 72 часов направьте в РКН результаты. 4. Устраните причину (заблокируйте доступ, обновите ПО, смените пароли). 5. Готовьтесь к проверке — соберите документы, подтверждающие принятые меры защиты.
