Москва, Гончарная, д.12 стр. 8
Произошла утечка персональных данных клиентов. Что делать бизнесу?
Многие представители бизнеса, которые являются операторами персональных данных, не вполне понимают уровень своей ответственности за возможную их утечку. Соответственно, возникают трудности в обеспечении надлежащего уровня безопасности информации, имеющейся в их распоряжении. Персональными данными в этом случае является информация о клиентах компании, которым были проданы товары, оказаны услуги или данные сотрудников компании.
Сумма штрафа, который грозит компании за утечку конфиденциальной информации, не слишком отразится на ее деятельности. Гораздо серьезнее потеря репутации.
Понимание необходимости недопущения и предотвращения подобной ситуации приходит после того, как становится ясно, что инцидент привел к снижению доверия к компании, т.е. при резком скачке репутационных рисков.
Государство адекватно оценивает сложности борьбы с постоянными утечками конфиденциальной информации. Расширяются полномочия регулятора, вводятся новые составы правонарушений, ужесточается ответственность за их совершение. Планируется значительное ужесточение в вопросах материальной ответственности. В Правительстве РФ на разработке находится законопроект о введении оборотных штрафов для компаний, допустивших утечку персональных данных.
Однако решить исключительно правовыми методами уязвимость технических устройств и программного обеспечения невозможно.
Сумма штрафа, который грозит компании за утечку конфиденциальной информации, не слишком отразится на ее деятельности. Гораздо серьезнее потеря репутации.
Понимание необходимости недопущения и предотвращения подобной ситуации приходит после того, как становится ясно, что инцидент привел к снижению доверия к компании, т.е. при резком скачке репутационных рисков.
Государство адекватно оценивает сложности борьбы с постоянными утечками конфиденциальной информации. Расширяются полномочия регулятора, вводятся новые составы правонарушений, ужесточается ответственность за их совершение. Планируется значительное ужесточение в вопросах материальной ответственности. В Правительстве РФ на разработке находится законопроект о введении оборотных штрафов для компаний, допустивших утечку персональных данных.
Однако решить исключительно правовыми методами уязвимость технических устройств и программного обеспечения невозможно.
Для чего бизнесу информация о клиентах?
Данные о клиентах для бизнеса имеют большую ценность. С помощью специальных сервисов собирается информация о возрасте клиента, поле, месте жительства и о том, как часто он делает покупки, на какую сумму. Это информация, которая помогает:
Кроме того, нельзя забывать, что информация о клиентах – это актив компании, который можно продать как конкурентам, так и злоумышленникам. При этом интерес может представлять вся база, например, пациентов поликлиники или учебного заведения. Или деньги предлагаются за номер телефона, домашний адрес и детализацию звонков конкретного клиента оператора сотовой связи.
Нельзя исключать происки конкурентов. К примеру, предприятия в сфере «бьюти-красоты» имеют списки своих клиентов с указанием их номеров телефонов. Покупка конкурентами такой базы может привести к переманиванию клиентов более привлекательными условиями и в конечном итоге к закрытию бизнеса конкурента.
Как утекают персональные данные?
Сценарии, по которым происходят утечки персональных данных и риски, связанные с этим, индивидуальны для каждой компании. Они зависят от специфики деятельности предприятия, технологий, которые используются, внедрённых механизмов защиты и других факторов.
Наиболее часто мишенью становятся базы данных поликлиник, компаний сотовой связи, ЖЭКов, клиентские базы крупных магазинов и т.д.
Как правило, утечка персональных данных происходит в двух случаях: в результате атаки хакеров или в результате противоправных действий или халатности недобросовестных сотрудников компании.
Например, слишком добросовестный сотрудник компании перебросил на свой домашний компьютер базу клиентов, чтобы поработать с ней дома, что категорически запрещено. Другой работник просто продал подобную базу, которая содержит Ф.И.О., адреса клиентов, проданный товар с указанием суммы и т.д. В результате данные клиентов становятся достоянием общественности. Подобные действия являются преступлением, за которое злоумышленник привлекается к уголовной ответственности.
Что делать, если обнаружена утечка персональных данных клиентов
Если оператор столкнулся с утечкой персональных данных или случайным доступом к конфиденциальной информации посторонних лиц, он обязан в течение 24 часов сообщить об инциденте органу, уполномоченному по защите прав субъектов персональных данных. В РФ таким органом является Роскомнадзор.
Также необходимо сообщить о предполагаемых причинах происшествия, предполагаемом виновнике, а также дать предварительную оценку нанесенному вреду и возможных негативных последствиях.
Законодателем не зря установлен достаточно короткий срок для сообщения об инциденте, так как он может иметь серьезные последствия как для оператора, так и для владельцев данных.
Владельцы данных могут понести финансовые потери в результате списания средств с банковских карт, подвергаться шантажу, стать жертвой разглашения личной информации. Последствия для оператора персональных данных могут быть не менее значимыми:
взыскание в судебном порядке убытков и морального вреда;
запрет на осуществление деятельности, которая связана с обработкой персональных данных;
привлечение к уголовной ответственности.
Некоторые меры по предотвращению утечки персональных данных
Нормативные локальные акты, разработанные и внедренные на предприятии, помогут снизить риски утечки конфиденциальной информации.
Профессиональные юристы Юридической компании «Вершинина и партнеры» разработают комплекс мер, направленных на обеспечение безопасного хранения персональных данных на Вашем предприятии:
Подробную информацию и стоимость услуг можно узнать на нашем сайте.
Данные о клиентах для бизнеса имеют большую ценность. С помощью специальных сервисов собирается информация о возрасте клиента, поле, месте жительства и о том, как часто он делает покупки, на какую сумму. Это информация, которая помогает:
- понять клиента;
- определить его предпочтения;
- по сумме заказов сделать предположение о финансовой состоятельности;
- сформировать предложение, которое может заинтересовать клиента.
Кроме того, нельзя забывать, что информация о клиентах – это актив компании, который можно продать как конкурентам, так и злоумышленникам. При этом интерес может представлять вся база, например, пациентов поликлиники или учебного заведения. Или деньги предлагаются за номер телефона, домашний адрес и детализацию звонков конкретного клиента оператора сотовой связи.
Нельзя исключать происки конкурентов. К примеру, предприятия в сфере «бьюти-красоты» имеют списки своих клиентов с указанием их номеров телефонов. Покупка конкурентами такой базы может привести к переманиванию клиентов более привлекательными условиями и в конечном итоге к закрытию бизнеса конкурента.
Как утекают персональные данные?
Сценарии, по которым происходят утечки персональных данных и риски, связанные с этим, индивидуальны для каждой компании. Они зависят от специфики деятельности предприятия, технологий, которые используются, внедрённых механизмов защиты и других факторов.
Наиболее часто мишенью становятся базы данных поликлиник, компаний сотовой связи, ЖЭКов, клиентские базы крупных магазинов и т.д.
Как правило, утечка персональных данных происходит в двух случаях: в результате атаки хакеров или в результате противоправных действий или халатности недобросовестных сотрудников компании.
Например, слишком добросовестный сотрудник компании перебросил на свой домашний компьютер базу клиентов, чтобы поработать с ней дома, что категорически запрещено. Другой работник просто продал подобную базу, которая содержит Ф.И.О., адреса клиентов, проданный товар с указанием суммы и т.д. В результате данные клиентов становятся достоянием общественности. Подобные действия являются преступлением, за которое злоумышленник привлекается к уголовной ответственности.
Что делать, если обнаружена утечка персональных данных клиентов
Если оператор столкнулся с утечкой персональных данных или случайным доступом к конфиденциальной информации посторонних лиц, он обязан в течение 24 часов сообщить об инциденте органу, уполномоченному по защите прав субъектов персональных данных. В РФ таким органом является Роскомнадзор.
Также необходимо сообщить о предполагаемых причинах происшествия, предполагаемом виновнике, а также дать предварительную оценку нанесенному вреду и возможных негативных последствиях.
Законодателем не зря установлен достаточно короткий срок для сообщения об инциденте, так как он может иметь серьезные последствия как для оператора, так и для владельцев данных.
Владельцы данных могут понести финансовые потери в результате списания средств с банковских карт, подвергаться шантажу, стать жертвой разглашения личной информации. Последствия для оператора персональных данных могут быть не менее значимыми:
взыскание в судебном порядке убытков и морального вреда;
запрет на осуществление деятельности, которая связана с обработкой персональных данных;
привлечение к уголовной ответственности.
Некоторые меры по предотвращению утечки персональных данных
Нормативные локальные акты, разработанные и внедренные на предприятии, помогут снизить риски утечки конфиденциальной информации.
Профессиональные юристы Юридической компании «Вершинина и партнеры» разработают комплекс мер, направленных на обеспечение безопасного хранения персональных данных на Вашем предприятии:
- проведут аудит бизнес-процессов, в которых используются персональные данные клиентов и сотрудников;
- разработают политику обработки персональных данных;
- разработают Положение об обработке и обеспечении безопасности персональных данных и приказ о его утверждении;
- подготовят приказ о назначении сотрудника, ответственного за обработку персональных данных;
- подготовят Дополнительное соглашение к трудовому договору с разделом о конфиденциальности;
- проанализируют и дополнят должностные инструкции в части обеспечения конфиденциальности информации;
- проведут обучение работе с персональными данными и т.д.
Подробную информацию и стоимость услуг можно узнать на нашем сайте.