Утечки персональных данных сотрудников: законы, штрафы, изменения 2024

Согласно статистике, около 80% случаев утечки персональных данных связаны с действиями работников. Сотрудник может случайно открыть фишинговую ссылку и допустить третьих лиц в базы компаний. Злоумышленники, получившие доступ к конфиденциальным сведениям, способны зашифровать или стереть данные, чтобы требовать выкуп за восстановление сервера. 

Утечки ведут к негативным последствиям для юрлиц: испорченная репутация, крупные штрафы и даже уголовная ответственность. Чтобы защититься от штрафов и потери данных, важно внимательно отнестись к хранению и обработке личных данных персонала. 

Развитие защиты персональной информации 

В РФ в 90-е годы были сформированы ключевые предпосылки первого закона о защите личных данных и определены субъекты права. Первый Федеральный закон «Об информации, информатизации и защите информации» был принят в 1995 году. 

С течением времени стало понятно, что требуется улучшить ряд положений закона 1995 года, а также решить проблему защиты данных. В результате развития законодательства в области защиты конфиденциальной информации в 2006 году был выпущен закон «О персональных данных».

На текущий момент вопросы защиты персональных данных в РФ регулируются Федеральным законом № 152-ФЗ «О персональных данных», в котором на данный момент регулируются понятия:

• условия и принципы хранения и обработки персональной информации;
• конфиденциальность персданных;
• биометрические персональные данные;
• ответственность за нарушение требований и пр.

В 2008 году сформировался специальный государственный орган, регулирующий защиту прав субъектов персональных данных — Роскомнадзор. 

Появилась судебная практика по уголовным и административным делам, связанным с утечками информации и постепенно ввели поправки закон.  

Ключевые изменения в законе о ПДн в 2023 году

1. Подтверждение уничтожения персональных данных. Факт уничтожения персданных должен быть оформлен документально актом по требованиям Роскомнадзора.
2. Трансграничная передача ПДн. Бизнес должен подавать заявку в Роскомнадзор на разрешение передачи данных за рубеж, а раньше было достаточно уведомления.
3. Изменение сведений об операторе. Сообщить новую информацию в Роскомнадзор компания обязана не позднее 15-го числа следующего месяца. Если оператор прекращает заниматься обработкой ПДн, проинформировать об этом необходимо в течение 10 рабочих дней с момента прекращения.
4. Оценка вреда субъекту ПДн. Оценивать возможный вред необходимо на основании требований Роскомнадзора. 
5. Фиксация случаев утечки ПДн. Роскомнадзор будет вести реестр учета инцидентов утечки персональных данных.

Оборотные штрафы за утечки данных

В 2024 году ввели новые поправки, ужесточающие ответственность за утечку данных. Если ранее штраф мог доходить до 1 500 000 рублей, то теперь — до 500 миллионов рублей: 

Чтобы не пришлось платить штрафы, компания должна организовать сбор, хранение, передачу и уничтожение персональных данных в соответствии с законами, а также актуализировать свои ЛНА и «Соглашение об обработке персональных данных». 

Так, например, вы собирали «Соглашения» с сотрудников при трудоустройстве в 2019 году, а с тех пор, вы стали использовать на сайте фотографии менеджеров в чате с клиентами, вам нужно внести информацию на использование фотографии сотрудника в публичном поле и обновить подписи в «Соглашении».

Чем регулируется хранение персональных данных сотрудников

В первую очередь безопасность персональных данных регулируется Федеральным законом 152-ФЗ от 27 июля 2006 года. Но это не единственный правовой акт, контролирующий деятельность в этой области. Есть ряд документов, регулирующих конфиденциальность личной информации:

• Трудовой кодекс РФ — Глава 14 «Защита персональных данных работника».
• Приказ от 28 октября 2022 года № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».
• Приказ от 28 октября 2022 года № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
• Постановление Правительства РФ от 29 июня 2021 года № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных».

Госкомпании после принятия поправок в закон обязаны закупать российское ПО, соответствующее требованиям, чтобы избежать утечек данных и обеспечить бесперебойность работы. Особенно это касается предприятий со статусом КИИ (критическая информационная инфраструктура) в отраслях:

• наука,
• связь,
• энергетика,
• банковская деятельность и другие отрасли финансового рынка,
• здравоохранение,
• транспорт,
• ТЭК,
• химическая,
• горнодобывающая,
• металлургическая,
• ракетно-космическая,
• оборонная промышленность и область атомной энергии.

Среди рисков для компании можно выделить несколько проблем, к которым может привести использование небезопасного сервиса:

• Утечка конфиденциальных данных. Это могут быть персональные данные сотрудников, коммерческие тайны, и другая критически важная информация, которая содержится в трудовых договорах и других кадровых документах.
• Шантаж. При помощи персональных данных сотрудников хакеры получают доступ к базам данных. Преступники шифруют или блокируют корпоративную информацию и требуют выкуп за разблокировку.
• Потеря данных кадрового учета, простои в работе бухгалтерии. Утрата информации может затормозить ведение бухучета, выплату зарплаты и организацию внутреннего документооборота.
• Юридическая ответственность. Нарушения правил обработки и хранения информации могут привести к административной ответственности за несоблюдение законов о защите персональных данных.
• Потеря доверия клиентов и партнеров. Инциденты утечки данных сотрудников могут подорвать репутацию компании на рынке и испортить HR-бренд работодателя.

При нарушении законодательства в области личных данных сотрудников начисляются штрафы:

• при обработке персональных данных без наличия письменного согласия субъекта назначается штраф в размере от 300 000 до 700 000 рублей для юрлиц;
• при повторном нарушении сумма увеличивается до 1,5 миллиона рублей;
• при несвоевременном уничтожении персданных юрлицо может получить штраф до 90 000 рублей.

Помимо штрафов, за утечку персональных данных предусмотрена уголовная ответственность. Ей подлежат физлица, которые умышленно распространяли персональные данные другого гражданина.

Основные принципы при хранении персональных данных:

• Минимизация сбора данных. Собирать и хранить данные, которые необходимы для конкретных законных целей и избегать излишнего сбора личной информации.
• Четкое соблюдение закона. Обязательно нужно получить согласие субъекта, в случае КЭДО — сотрудника, на обработку, хранение и возможную передачу его персональных данных. При этом типы и виды этих сведений должны быть прописаны в документе.
• Шифрование. Хранить персональные данные сотрудников в зашифрованном виде с использованием надежных алгоритмов кодировки.
• Ограниченный доступ. Допускать к персональным данным только тех сотрудников, которым эти сведения необходимы для выполнения обязанностей.
• Строгая аутентификация. Использовать многофакторную аутентификацию и жесткие политики управления учетными записями для доступа к ПДн.
• Аудит действий пользователей. Вести протоколирование всех действий сотрудников с доступом к персданным для выявления инцидентов.
• Резервное копирование. Создавать и защищать резервные копии данных для их восстановления в случае инцидентов.
• Уничтожение устаревших данных. Своевременно уничтожать информацию по запросу владельца, окончанию срока хранения или при их ненадобности.

В следующем разделе разбираем этот вопрос хранения данных в компании подробно.

Cloud и On-Premise хранение — в чем разница

Когда мы говорим о программных продуктах, мы подразумеваем, как правило, их функционал, отдавая установку, настройку и поддержание инфраструктуры отделу безопасности и IT. Немного расскажем о том, что надо понимать, чтобы говорить с ними на одном языке.

При покупке и установке программного обеспечения стоит задуматься, где будут храниться данные, потому что именно здесь будет развилка, условных Cloud и On-Premise — двух моделях развертывания и использованию программного обеспечения. 

On-Premise предполагает, что программное обеспечение и оборудование (серверы, системы хранения данных и т.д.) размещаются и эксплуатируются внутри компании. Организация полностью контролирует аппаратные ресурсы и несет ответственность за их обслуживание, обновление, безопасность. 

Далее структура начинает ветвиться, потому что существуют разные подходы в обслуживании Cloud: от полной передачи всех данных и прав на управление вендору в облачное хранилище — SaaS, до систем Hybrid cloud. 

В гибридной модели IaaS Cloud развертывание программы происходит на арендованных серверах (частном ЦОДе), провайдер управляет серверами, бэкапами и виртуализацией. Таким образом провайдер поддерживает стабильность инфраструктуры и своевременные обновления, но все данные сохраняются в вашем подчинении в контуре компании без возможности утечки. Провайдер не имеет доступа к данным, так как они хранятся и передаются в зашифрованном виде.

Cloud в модели Saas (Software as a Service) подразумевает использование программного обеспечения, которые предоставляются через интернет облачным провайдером. Компания арендует ресурсы у провайдера и платит лицензию за использование. 

Очевидный минус этой модели — за безопасность системы отвечает только вендор, вы не знаете где, как и кем обрабатываются загруженные в систему данные.

Почему все хотят Cloud

Для бизнеса Cloud кажется более удобным в использовании и менее затратным, облако не требует дополнительного бюджета на оборудование и ПО, а обновления происходят автоматически. Также с помощью облачного ПО легче масштабировать ресурсы и можно получать удаленный доступ из любой точки. 

Но огромным недостатком является подверженность высокому риску утечки персональных данных, от чего Cloud в моделях SaaS не рекомендуется к использованию при работе с чувствительными данными. Доступ к информации контролируют третьи лица, а именно провайдер.

В 2020 году компания InfoWatch опубликовала исследование об утечке данных из облачных сервисов по всему миру. Была названа цифра 8,35 млрд. Такое количество записей личной и платежной информации оказалось в свободном доступе. 

Основная причина — нежелание бизнеса тратить средства на организацию локальной инфраструктуры. Проще и дешевле воспользоваться облаком. Но последствия плачевны: больше всего пострадала отрасль здравоохранения, на нее пришлось 11,4% от всех известных в России утечек.

Почему КЭДО должен быть безопасным

Обработка и хранение персональных данных сотрудников компании — это обязанность кадрового делопроизводства и службы безопасности работодателя. Кадровый электронный документооборот (КЭДО) — это организация работы с кадровыми документами с использованием информационных систем.

КЭДО позволяет автоматизировать процессы обмена кадровыми документами в электронном виде с помощью УНЭП (КЭП) сотрудника и информационной системы работодателя. Используемая система должна быть безопасна и проверена, так как в КЭДО хранятся и обрабатываются конфиденциальные данные.

Чек-лист проверки сервиса КЭДО, чтобы проверить подходит ли он госкомпании и компании КИИ:

• ПО включено в реестр Минкомсвязи России; 
• соответствует требованиям 223-ФЗ и 44-ФЗ;
• поддерживает работу в 1С:ЗГУ, 1С:КАМИН;
• может применяться в защищенном программном комплексе 1С:Предприятие 8.3z;
• ПО совместимо с российскими ОС и СУБД (Astra Linux, ОС Альт, Ред ОС), сертифицированными ФСТЭК и ФСБ России.

С 1 июня 2023 года по 31 мая 2024 года проводится эксперимент по использованию КЭДО в госсекторе под руководством Минцифры. В проекте участвуют государственные службы: ФНС, Казначейство и служащие Минцифры. 

По результатам этого эксперимента в конце 2024 года будет принято решение о дальнейшем развитии цифровизации кадрового учета и введении обязательного использования КЭДО в государственных ведомствах. Но судя по тому, что в коммерческой сфере такой документооборот применяется успешно, есть перспектива расширения действия КЭДО на все структуры, в том числе госсектор.

Главное об утечках персональных данных сотрудников в 2024 году

Что важно знать предприятиям о КЭДО:

• Компании переходят на российское ПО из-за повышенных требований по безопасности сервисов.
• Организациям любого масштаба и типа собственности необходимо с особым вниманием следить за соблюдением требований в области персональных данных, отслеживать изменения в законодательстве.
• Государственным предприятиям запрещено пользоваться облачным или зарубежным ПО для организации электронного кадрового документооборота.
• Несоблюдение законов может привести к очень крупным финансовым потерям, оборотные штрафы могут достигать до 500 000 000 рублей, а также предусмотрена уголовная ответственность.
• Правильное хранение ПДн снизит риск кражи конфиденциальной информации, потери репутации и юридической ответственности.
• Компании важно выбирать ПО, соответствующее требованиям регулятора и совместимое с существующей программой учета. Более надежными считаются решения On-Premise.