Telegram
Заказать звонок
+7 (495) 744-37-98 Горячая линия 24/7
Задать вопрос Образцы документов Последние консультации Наши юристы Новости Контакты Вход/Регистрация
Заказать звонок
+7 (495) 744-37-98 Горячая линия 24/7

Как не допустить утечку персональных данных клиентов.

Хотите узнать, как решить вашу проблему?

Обращайтесь в форму онлайн-вопроса или звоните по телефону горячей линии.

+7 (495) 744-37-98 Мы работаем 24/7

Персональные данные клиентов представляют собой информацию о клиентах, которые приобретали товары, услуги или работы компании.

В своей работе бизнес часто сталкивается с персональными данными клиентов, включая их имена, фамилии, отчества, даты рождения, электронную почту и номера телефонов.

Такие данные необходимо хранить в строгом соответствии с установленными правилами, не разглашать и не допускать их утечки за пределы компании. Нарушение этих правил может повлечь за собой штрафы в размере до 1 миллиона рублей, а в некоторых случаях — до 18 миллионов рублей.

За чужими данными могут охотиться не только хакеры, но и конкуренты. Их цель — заработать, навредить репутации бизнеса и привлечь клиентов. Однако, как показывает практика, большинство утечек происходит по вине обычных сотрудников, которые случайно разглашают персональные данные из-за недостаточной информационной грамотности. Они могут не знать законов, технических правил работы с информацией в интернете и этических норм, что создает уязвимость для злоумышленников.

В этой статье мы расскажем, как бизнес может защитить себя от нерадивых сотрудников и сохранить конфиденциальность информации о клиентах.

1. Почему персональные данные — это ценность.

Для бизнеса данные о клиентах представляют огромную ценность. С помощью CRM-сервисов компании и индивидуальные предприниматели собирают информацию о поле, возрасте, месте жительства и частоте покупок или заказов. Эти и другие данные помогают глубже понять клиента, его предпочтения и примерные доходы.

Работая с такой информацией, бизнес может создать предложение, которое будет привлекательно для клиента и станет основой для регулярных заказов. В результате компания или индивидуальный предприниматель будут получать стабильный доход.

Данные о клиентах представляют коммерческий интерес. Они всегда будут привлекать внимание конкурентов. Утечка клиентской базы, то есть персональных данных, может привести к серьезным последствиям — от мошенничества до спамерских рассылок.

Персональные данные являются активом. Согласно исследованию PwC, проведенному в 2018 году, данные одного пользователя «Вотсапа» стоили 30$. Более значимые данные, такие как контакты и рабочие сведения пользователей «Линкед-ина», оценивались в 260$. Эта цена была установлена при оценке активов компаний.

Экономическая ценность данных заключается в том, что они помогают понять потребительские предпочтения и привлечь больше клиентов. Контакты и рабочие сведения пользователей «Линкед-ин» представляют интерес для многих работодателей и рекрутинговых компаний.

Однако там, где есть денежный эквивалент информации, всегда найдутся злоумышленники, готовые обогатиться за счет чужих данных. Например, в 2021 году Tadviser подсчитал, что стоимость продажи баз данных может варьироваться от 2$ (197 ₽) до 1600$ (157 232 ₽). Чем ценнее база данных, то есть чем она актуальнее и богаче по количеству представленных людей, тем выше ее цена. Утратившие актуальность базы данных могут быть выставлены на черном рынке бесплатно.

На продажу могут быть выставлены различные виды данных. Например, справка о клиенте сотовой компании, в которой указаны его имя, номер телефона, дата заключения договора абонентского обслуживания и тарифный план. Еще одним вариантом является детализированная история звонков клиента. Эти сведения могут быть интересны злоумышленникам для отслеживания деловых связей, местоположения и финансовых операций абонента.

История звонков может стоить дороже, так как охватывает не только одного субъекта, но и его контакты.

2. Как происходит утечка персональных данных.

Персональные данные представляют собой конфиденциальную информацию, и сотрудники, имеющие к ним доступ, обязаны сохранять их в тайне, если на то нет законных оснований. В противном случае может произойти утечка, известная как «слив данных».

Сливы могут происходить как по неосторожности, так и по халатности как отдельных работников, так и целых компаний или индивидуальных предпринимателей, а также в результате умышленных действий.

Неосторожный слив данных.

Рассмотрим случай, когда работник, в чьи обязанности входит обработка персональных данных в клиентской базе работодателя, по небрежности пересылает список клиентов — их ФИО и номера телефонов — со своей корпоративной почты на личную. Он может сделать это для своего удобства, например, чтобы поработать с базой дома или посмотреть её в телефоне по пути домой. В этом случае забывчивость, безответственность и непредусмотрительность работника можно назвать неосторожностью.

Ещё одним примером неосторожного слива может быть ситуация, когда хакер отправляет работнику письмо с электронной почты, похожей на avito@bjkl.ru или amazon1@lmn.com, а в письме содержится вирус, который скачивает нужную информацию с компьютера адресата. Очевидно, что такие адреса не являются официальными, но могут ввести в заблуждение из-за известных брендов в названии. Работник может перепутать адреса и по невнимательности перейти по ссылке из письма.

Халатный слив данных.

Если работник распространяет в интернете пароли от рабочих систем, содержащих персональные данные, это можно назвать халатностью. Ведь любой конкурент теперь может войти в клиентскую базу компании или ИП, скопировать или изменить интересующие его данные.

Мы бы отнесли к халатности и случаи, когда должностное лицо не следит за обновлением бизнес-процессов, связанных с обработкой данных. Например, не вносит новые обрабатываемые данные в перечни или не уведомляет Роскомнадзор о передаче данных за рубеж. Такое может произойти, когда на роль ответственного за обработку персональных данных назначают работника, который не обладает необходимыми знаниями и навыками. В таких случаях назначение на должность носит формальный характер и не обеспечивает должного уровня защиты.

Бессистемная работа с процессами приватности в бизнесе и отсутствие специалиста, который мог бы грамотно их выстроить, могут привести к потере данных, компрометации паролей, неправомерному копированию баз данных и сливу информации по неизвестным каналам.

Умышленный слив данных: новые угрозы в эпоху удалённой работы.

Согласно исследованиям компаний «Крок» и «Эври-тег», специализирующихся на информационной безопасности, в условиях пандемии и перехода на удалённый формат работы количество случаев умышленного слива данных значительно возросло.

Работодатели, имеющие доступ к специальным программам, могут частично контролировать деятельность своих сотрудников вне офиса: отслеживать их подключения к сетям и использование носителей информации. Однако даже самые современные инструменты не всегда способны зафиксировать все действия работников как в онлайн, так и в офлайн-пространстве. Ни одна программа не может гарантировать, что работодатель сможет законно узнать, с кем встречается сотрудник в рабочее время и по какой причине. Именно в это время и могут происходить утечки конфиденциальной информации.

Злоумышленники активно ищут людей, имеющих доступ к информации ограниченного доступа. Когда они находят подходящего кандидата, то используют различные методы, чтобы склонить его к сотрудничеству.

  • Развод сотрудников: Злоумышленники активно общаются с сотрудниками в социальных сетях, звонят им и организуют встречи, где они ведут дружеские беседы. Они интересуются служебными делами, выражают сочувствие в связи с сокращением зарплат и обсуждают проблемы с начальством. В ходе этих разговоров злоумышленники предлагают заплатить за ценные данные, обещая получить их сразу или в течение определённого времени. Так формируется сговор.
  • Купля-продажа данных: Другой способ получения конфиденциальной информации — покупка данных на теневом рынке в даркнете. Здесь стороны заключают сделки купли-продажи, сохраняя полную анонимность.

Если сотрудник передаёт кому-то конкретные персональные данные за плату, это считается преступлением. За такое деяние предусмотрена уголовная ответственность.

В 2019 году произошёл громкий случай, когда сотрудник одного из крупнейших банков разгласил банковскую тайну без согласия её владельцев. Он был ознакомлен со всеми документами, касающимися банковской тайны: должностной инструкцией, порядком обеспечения безопасности информационных технологий, положением о коммерческой тайне, политикой кибербезопасности и политикой обработки персональных данных.

Раскрыть банковскую тайну работник решил из корыстных побуждений. Он зашёл на теневую торговую интернет-площадку и предложил данные по цене 5 рублей за строку. В итоге он заработал около 25 000 рублей. Преступнику назначили 2 года и 10 месяцев лишения свободы.

Можно сказать, что бывший сотрудник банка продешевил при продаже данных о кредитных картах, ведь стоимость скана паспорта российского гражданина в 2021 году оценивалась в 100 долларов (9827 рублей).

Утечка данных через партнера компании.

Не только компания или индивидуальный предприниматель (ИП), являющиеся операторами персональных данных, могут стать причиной утечки. Также это может произойти с подрядчиком, который обрабатывает эти данные.

Рассмотрим ситуацию: компания, занимающаяся ногтевым сервисом, собрала клиентскую базу на 100 000 человек. Руководство приняло решение нанять специалиста на аутсорсе, обладающего необходимыми техническими средствами для обработки данных.

В сфере ногтевого сервиса у компании много конкурентов, стремящихся переманить клиентов. Один из таких конкурентов вступает в сговор со специалистом на аутсорсе и в течение месяца получает доступ к информации о клиентах.

Компания начинает подозревать неладное, только когда замечает снижение потока клиентов или когда получает жалобы на то, что фирма передает данные другим организациям без согласия субъектов персональных данных.

Таким образом, утечка клиентской базы происходит через партнера, но доказать это крайне сложно.

3. Как уберечь клиентскую базу от утечки через работников.

Компания «Серч-информ» провела анализ утечек информации и выяснила, что в 74% случаев виновниками были менеджеры отделов снабжения, бухгалтеры, экономисты, финансисты, секретари и помощники руководителей. ИТ-специалисты оказывались виновными в утечках реже.

Поскольку большинство случаев утечки происходят по вине сотрудников, важно уделить особое внимание работе с персоналом. Вот несколько рекомендаций:

  1. Проводите аудиты бизнес-процессов, в которых используются персональные данные клиентов, например, программ лояльности. Регулярные внутренние и внешние аудиты, то есть периодические обзоры всех процессов защиты информации, помогут выявить риски утечек и несоблюдения законодательства.
  2. Обеспечение приватности — это постоянная работа. Нельзя просто внедрить все необходимые документы и забыть о них. Защита информации требует постоянного внимания и контроля.
  3. Если во время аудита обнаружится, что данные клиентов передаются третьим лицам — контрагентам — без соответствующего соглашения о защите данных или без положений о конфиденциальности в договоре, это может означать, что оператор данных незаконно разглашает персональные данные, то есть «сливает» их третьим лицам.

Если у вас большая база клиентов-физических лиц, вы обрабатываете их персональные данные и регулярно отправляете массовые рассылки, то я рекомендую провести беседу с вашими сотрудниками, чтобы узнать, как они соблюдают конфиденциальность.

Составьте опросник и попросите всех работников, имеющих доступ к информационным системам, заполнять его каждые два-три месяца. В опроснике могут быть следующие вопросы:

  • Есть ли у вас подозрения на утечку корпоративных паролей?
  • Подозреваете ли вы утечку персональных данных?
  • В каких программах вы работаете с персональными данными?

Если у вас возникли подозрения о возможной утечке корпоративных паролей или персональных данных, вы обязаны уведомить клиентов о возможном нарушении их конфиденциальности.

В 2018 году 69% опрошенных российских компаний скрыли инцидент и не сообщили о нем клиентам. 27,5% компаний сообщили пострадавшим об утечках и принесли извинения. И только 3,5% заявили о своей проблеме в СМИ.

По закону субъект персональных данных имеет право получать информацию о том, как его данные обрабатываются. Если у субъекта есть право на информацию, то у оператора есть обязанность ее предоставить.

Право на получение информации можно рассматривать как необходимость уведомлять субъекта о его нарушенных правах, связанных с утечкой данных. За неуведомление субъекта об утечке оператору может быть назначен штраф в размере от 40 000 до 80 000 рублей. Если компания входит в Единый реестр субъектов малого и среднего предпринимательства, она заплатит штраф как ИП — от 20 000 до 40 000 рублей.

Кроме рассылки уведомлений, необходимо восстановить техническую защиту информации — сменить пароли и установить новые средства защиты. Также важно выявлять ошибки сотрудников в работе с информационными системами. Например:

  • В системе не отражено согласие на обработку персональных данных;
  • Обращения клиентов игнорируются, хотя они просят перестать использовать их персональные данные;
  • В систему входят третьи лица, используя логин и пароль работника.

Так же рекомендуем:

  • Добавьте в трудовой договор раздел о конфиденциальности.
  • Дополните должностные инструкции.
  • Проводите обучение по работе с персональными данными.
  • Контролируйте действия дистанционных работников, но предупредите их об этом контроле.

4. Познакомьте клиента с тем, как вы работаете с его данными.

Обработка персональных данных является незаконной, если на неё не получено согласие субъекта. Поэтому важно, чтобы вы в доступной и понятной форме объяснили клиенту, как вы используете его личную информацию.

Вот несколько рекомендаций, как это можно осуществить:

  1. Опубликуйте на своём сайте актуальную версию политики обработки персональных данных. Если у вас нет сайта, распечатайте документ с политикой и предложите клиенту ознакомиться с ним.
  2. Разработайте документ — согласие на обработку персональных данных.
  3. Расскажите клиенту об этих документах и получите его подпись, подтверждающую согласие на обработку персональных данных.

В согласии должны быть указаны:

  • ФИО клиента или его доверенного лица, адрес, данные паспорта.
  • Наименование или ФИО и адрес бизнеса как оператора персональных данных.
  • Цель обработки персональных данных.
  • Перечень персональных данных, на обработку которых даётся согласие.
  • Наименование или ФИО и адрес лица — обработчика персональных данных.
  • Перечисление действий, которые будут совершаться с персональными данными. Например, сбор, обезличивание, передача третьим лицам.
  • Общее описание способов обработки персональных данных. Укажите, как вы будете обрабатывать информацию — онлайн, с помощью автоматизированных систем или в печатном виде.
  • Срок, в течение которого действует согласие.
  • Способ отзыва согласия, если клиент передумал передавать свои данные.
  • Подпись субъекта.

Если оператор собирает персональные данные незаконно, это может привести к их утечке. Ведь если бизнес не соблюдает законность сбора данных, то вряд ли он будет уделять должное внимание их технической защите.

5. Какие есть требования к защите персональных данных.

Операторы и их партнеры обязаны строго следовать требованиям по защите обрабатываемых персональных данных. Ниже представлены основные меры, которые следует предпринять для обеспечения безопасности информации.

Установите средства защиты данных.

Первым шагом на пути к защите информации является установка специализированных решений. Составьте модели угроз — это станет полезной визуальной инструкцией для специалистов по информационной безопасности, ответственных за обработку персональных данных в вашем бизнесе.

Модели угроз позволяют прогнозировать, как может происходить утечка данных, через какие каналы и где сосредоточены основные риски. Это поможет определить эффективные меры по предотвращению возможных утечек. Например, специальные категории персональных данных, такие как информация о здоровье и политических убеждениях, требуют более тщательной защиты, чем просто ФИО клиентов.

Для обработки таких данных рекомендуется использовать сертифицированные средства защиты информации (СЗИ). Одним из таких решений является межсетевой экран, или фаервол, который служит барьером для проникновения в вашу сеть извне.

Межсетевой экран может быть представлен в виде отдельного программного обеспечения, устанавливаемого на компьютер (хост), или в виде программно-аппаратного комплекса, включающего как программное обеспечение, так и аппаратные средства.

К СЗИ также относятся средства защиты от вредоносных программ, такие как антивирусы.

Используйте «песочницы».

Операторам могут быть полезны «песочницы» — средства изолированного выполнения программ. Они позволяют открывать файлы в безопасной виртуальной среде, что гарантирует защиту от вредоносного программного обеспечения. Если файл содержит вредоносную программу, то она не сможет повредить или украсть ваши данные, так как просто не получит к ним доступ. Одним из примеров песочницы является Kaspersky Sandbox.

SIEM системы.

Еще одним эффективным инструментом для защиты информации являются SIEM системы, или средства управления событиями информационной безопасности. Эти программы собирают данные обо всех инцидентах информационной безопасности и анализируют их в режиме реального времени. Примером такого решения может служить MaxPatrol SIEM.

Это лишь малая часть доступных средств защиты информации, их гораздо больше. Узнать о сертифицированных СЗИ можно на сайте ФСТЭК. Приобрести их можно, например, у топовых системных интеграторов, цены на различные продукты начинаются от 1800 рублей.

Ведите учет носителей персональных данных.

Обязательно ведите учет носителей персональных данных, включая флешки, персональные компьютеры и серверы. Эти сведения следует вносить в специальный журнал, который может быть как бумажным, так и электронным.

Требование о локализации.

Не забывайте о том, что серверы, на которые собираются персональные данные граждан РФ, должны быть физически размещены в России — это так называемое «требование о локализации». Если не обеспечить его соблюдение, оператору средней или крупной организации может грозить штраф до 18 000 000 рублей.

Фиксируйте факты доступа к персональным данным чужих людей.

Необходимо фиксировать случаи доступа к персональным данным посторонних лиц. Для этого следует вести журнал учета инцидентов информационной безопасности, куда нужно записывать факты компьютерных атак и свои действия после их обнаружения.

Такая фиксация поможет в проведении служебных расследований, если это потребуется, например, в рамках судебного процесса.

Если оператор не является банковским учреждением, то вести журнал не обязательно. Однако если вы всё же решите его создать, то можете ориентироваться на Национальный стандарт ГОСТ Р ИСО/МЭК ТО 18044-2007.

В журнале можно фиксировать различные детали, такие как дата и время события, его суть, кто обнаружил, какой ущерб был нанесен бизнесу, а также когда об этом стало известно клиентам.

6. Что делать, если работник слил персональные данные клиентов.

Если сотрудник компании разгласил персональные данные клиентов, работодатель может применить к нему дисциплинарные меры воздействия. В случае, когда работодатель обращается в полицию или прокуратуру, работник может быть привлечен к административной или даже уголовной ответственности.

Потребуйте письменное объяснение.
Если стало известно о передаче клиентской базы, работодатель должен запросить у сотрудника письменное объяснение. Работник обязан предоставить его в течение двух рабочих дней, но лучше всего сделать это как можно скорее. Содержание объяснительной напрямую влияет на меру дисциплинарного взыскания, которое будет применено к работнику. Если сотрудник отказывается предоставить письменное объяснение или не может этого сделать, работодатель должен составить соответствующий акт.

Проведите служебное расследование.
Создайте комиссию и тщательно изучите все обстоятельства произошедшего. По результатам служебного расследования составьте акт о нарушении должностных обязанностей. Только после этого можно будет издать приказ о дисциплинарном взыскании.

Издайте приказ о дисциплинарном взыскании.
Приказ о наложении дисциплинарного взыскания должен быть издан в течение одного месяца с момента обнаружения проступка, но не позднее шести месяцев с момента его совершения. Работник должен ознакомиться с приказом и поставить свою подпись.

Дисциплинарные взыскания.
В качестве дисциплинарного взыскания могут применяться различные меры: замечание, выговор или даже увольнение. Выбор конкретной меры зависит от тяжести проступка. У работника есть право оспорить дисциплинарное взыскание.

Уголовная ответственность за разглашение персональных данных.
За разглашение персональных данных может быть наложен штраф до 300 000 рублей или лишение свободы на срок от 2 до 3 лет. Если персональные данные являются банковской тайной, штраф может возрасти до 1 000 000 рублей, а срок лишения свободы — до 4 лет.

Ответственность бизнеса за действия недобросовестного работника.
Бизнес не несет ответственности за действия недобросовестного сотрудника. Однако правонарушение или преступление, совершенное работником, может стать сигналом для Роскомнадзора о необходимости проведения проверки в компании или ИП.

Роскомнадзор может узнать о нарушениях от субъектов персональных данных, которые могут направлять жалобы через его сайт. С недавних пор Роскомнадзор может инициировать проверку в отношении оператора, если в течение календарного года у фирмы или предпринимателя было десять и более жалоб.

Роскомнадзор также может провести профилактический визит, внеплановую или плановую проверку, а также мониторинг деятельности операторов в интернете, чтобы выявить возможные нарушения.

7. Запомнить.

  1. Информация о клиентах часто включает в себя персональные данные, с которыми необходимо обращаться в соответствии с установленными правилами.
  2. Персональные данные представляют собой конфиденциальную информацию, и ни сотрудники, ни компании-партнёры, ни индивидуальные предприниматели не имеют права выносить их за пределы рабочего пространства.
  3. Согласно статистике, утечка данных в 70% случаев происходит по вине работников, будь то невнимательность или халатность. Поэтому работодателю необходимо ознакомить свою команду с соответствующими документами, обучить их работе с персональными данными и предупредить об ответственности за их разглашение.
  4. Как оператор персональных данных, компания или индивидуальный предприниматель обязаны обеспечить техническую защиту от утечек.
  5. В случае возникновения утечки следует незамедлительно предупредить клиентов о нарушении конфиденциальности их данных.
  6. Для привлечения виновного сотрудника к ответственности необходимо провести служебное расследование.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Онлайн
Задать вопрос юристу
Напишите ваш вопрос мы обязательно вам ответим
Отправляя вопрос, вы соглашаетесь с условиями Пользовательского соглашения
20 Юристов

сейчас онлайн

11 минут

средняя скорость ответа



Все рубрики:




Подождите...

Мы готовы вам помочь бесплатно

    Консультант онлайн (Дмитрий Романович)
    Здравствуйте! Напишите, пожалуйста, кратко суть вопроса и подробно его содержание. Я постараюсь вам помочь. Это бесплатно.

    Получите совет юриста за 15 минут!

    Не все поля заполнены

    Отправляя заявку, вы соглашаетесь с политикой конфиденциальности.

    Не хотите ждать? Звоните:
    +7 495 744-37-98
    Получить ответ
    207 юристов готовы ответить сейчас
    Ответ за 15 минут!
    +