i
×

Издание для бизнеса.

Пишем о важном, разбираемся с ежедневными задачами предпринимателей, исследуем законы, транслируем опыт.

Меньше хайпа, больше пользы!

Утечка персональных данных

Утечка персональных данных

Владелица магазина спрашивает, нужно ли платить покупателям компенсацию, если об их заказах узнал весь интернет
25 декабря 2019
728
13
0

Читательница Карина спрашивает:

Продавец выложил в социальных сетях имена, телефоны и историю заказов клиентов, потому что я его уволила. Еще грозится опубликовать на Пикабу, вряд ли клиенты обрадуются, что теперь весь интернет знает об их покупках с именами и телефонами. Что мне делать?

Карина, с юридической точки зрения платить клиентам сразу после утечки не нужно — только по решению суда. С точки зрения пиара можно заплатить и сразу. А вообще у вас есть несколько вариантов: ничего не говорить клиентам и ждать — может, они сами узнают, а может, нет; рассказать и предложить компенсацию до суда; решать всё через суд и с клиентами, и с бывшим сотрудником. Это если кратко, а в статье — с подробностями.

Отвечает Елена Янина, партнер юридического партнерства «Курсив». Записалa Светлана Дучак, редактор.

Шаг 1. Предупредить сотрудника о штрафах за публикацию персональных данных

В вашей ситуации есть плюс: вы знаете, кто виноват. Поэтому сначала нужно попросить бывшего сотрудника удалить персональные данные клиентов. Чтобы просьба была весомей, расскажите о штрафах за утечку персональных данных. За распространение персональных данных могут оштрафовать на 1000, а могут и на 300 000 рублей:

  • от 1000 до 5000 рублей за обработку персональных данных без согласия их владельцев. Согласие на обработку есть у магазина, а не лично у сотрудников;
  • до 200 000 рублей за незаконное копирование компьютерной информации;
  • от 100 000 рублей до 300 000 рублей, если опубликовать сведения о частной жизни. Допустим, клиент заказывал цветы с доставкой и в комментариях оставлял текст для открытки: «Любимая, прости, я больше никогда тебе не изменю», и текст попал в сеть вместе с именем клиента, — это уже вмешательство в частную жизнь.

О штрафах можно предупредить устно или отправить досудебную претензию. Письменная претензия пугает больше, но если договориться не получится, пишите заявление в полицию или Роскомнадзор:

Такой-то такой-то незаконным образом распространил персональные данные клиентов без их согласия. Прошу принять меры по удалению данных из сети Интернет, а именно со страницы такого-то в социальной сети Вконтакте.

Перед заявлением в полицию или Роскомнадзор нужно проверить, что у вас есть:

  1. Подписанный продавцом договор о неразглашении, НДА.
  2. Локальные акты, в которых перечислены категории персональных данных клиентов, доступные для сотрудника на должности продавца.
  3. Подпись продавца, которой он подтверждает, что ознакомился с локальными актами.

Без документов есть риск штрафа для магазина от Роскомнадзора. Поэтому, если документов нет, лучше договариваться мирно с продавцом или просить удалить данные администрацию сайта, на котором продавец их опубликовал.

Для магазина тоже есть штрафы за утечку персональных данных:

Штраф, если не обеспечить сохранность персональных данных — пункт 6 статьи 13.11 административного кодекса

  • для ИП — 10 000—20 000 рублей;
  • для ООО — 25 000—50 000 рублей.

Кроме штрафов у магазина может возникнуть еще две проблемы: клиенты потребуют компенсации морального вреда и убытков или пожалуются в Роскомнадзор, прокуратуру, и те придут с проверками.

Для защиты от утечек стоит ужесточить политику защиты персональных данных, например подписать со всеми сотрудниками договор о неразглашении, НДА. О том, что делать, если НДА был, а сотрудник его нарушил, мы подробнее писали в другой статье.

Если бы сотрудник еще работал в магазине, вы могли бы его уволить за однократное грубое нарушение трудовых обязанностей, а именно разглашение персональных данных клиентов.

В суд обратилась бывшая сотрудница банка с требованием восстановить ее в должности и выплатить зарплату за месяцы незаконного увольнения. Ее уволили за то, что анкеты с персональными данными клиентов оказались в мусорке возле отделения банка. А это разглашение банковской тайны и конфиденциальных данных клиентов.

Бывшая сотрудница считала, что ее уволили незаконно, потому что она анкеты клиентов не выбрасывала. Но суд решил, что именно она как руководитель отдела должна была проследить, чтобы анкеты уничтожили правильно — измельчили в шредере, как требует инструкция банка. Раз сотрудница нарушила трудовые обязанности, ее увольнение законно.

Судебное дело

Шаг 2. Решить, стоит ли говорить клиентам об утечке данных

С клиентами, данные которых бывший сотрудник опубликовал, есть два варианта:

  • связаться и объяснить, что произошло. Кто-то предлагает в таких случаях компенсацию: скидку, подарок, карту золотого клиента. Но может получиться, что клиенты узнают об утечке данных от вас и пойдут в суд, Роскомнадзор или прокуратуру, а без вашего звонка не узнали бы;
  • ждать, пока клиенты узнают об утечке данных сами, и придут разбираться. Есть шанс, что клиенты не заметят.

Какой вариант выбрать, решать вам. Всё зависит от масштаба утечки, клиентов и информации, которую опубликовал бывший сотрудник.

Об утечках в крупных компаниях клиенты узнают через СМИ. К примеру, в октябре этого года была опубликована база абонентов Билайна, но компания не связывалась с клиентами, а общалась только со СМИ, хотя могла разослать смс или пуш-уведомления.

Еще один пример — Сбербанк, который в таких случаях тоже общается через СМИ и пишет что-то вроде: да, была утечка, мы виноваты, проблему исправили, лазейку закрыли, установили новые программы, а всех сотрудников наказали.

«Случай, который произошел, поменял нашу парадигму», — прокомментировал утечку персональных данных глава Сбербанка, на сайте Ведомостей

Компенсацию морального вреда за утечку клиент может получить от компании только через суд. На практике суды назначают небольшие компенсации по 5000—15 000 рублей. Максимум до 25 000 рублей, если компания опубликовала информацию об анализах, болезнях или пластических операциях клиентов.

Судебных дел по утечке персональных данных почти нет. А в тех, что есть, люди судятся в основном со СМИ из-за разглашения тайны усыновления, публикации фотографий с любовницами и списков недвижимости, а не из-за истории заказов из магазина.

Шаг 3. Переложить ответственность за утечку на бывшего сотрудника

Ответственность за утечку лежит на бывшем сотруднике — именно он выложил данные от своего имени. Чтобы он отвечал за это, на него можно подать регрессный иск — это такой иск, который перенаправляет претензии клиентов на настоящего виновника.

Сначала нужно отправить бывшему сотруднику претензию с минимальной суммой:

Дорогой Василий! Ты слил персональные данные наших клиентов в интернет, это нанесло непоправимый вред репутации нашей компании. Мы требуем с тебя компенсацию — 300 рублей.

Здесь важна не сумма компенсации, а сам процесс передачи ответственности. Если сотрудник выплатит 300 рублей, он подтвердит этим свою вину, а у вас появятся документальные доказательства. Тогда в суде можно будет сказать: «Мы не виноваты. Да, мы собирали данные, но опубликовал их Василий, он с этим согласен, потому что выплатил нам компенсацию. Все претензии теперь к нему».

Если бывший сотрудник решит не платить по претензии, а клиенты пойдут в суд, нужно подать на него иск за незаконное распространение персональных данных. В иске пишем:

«Требуем взыскать с продавца такую-то сумму, которую магазин уплатил в качестве компенсации морального вреда и убытков клиентам в результате нарушение закона продавцом»

Сотрудник возмещает ущерб — статья 238 трудового кодекса

В иске ссылаемся на трудовой договор с продавцом и статью 238 трудового кодекса. По этой статье сотрудник возмещает работодателю прямой действительный ущерб, а именно затраты магазина на возмещение ущерба клиента, который причинил продавец. Но ничего взыскать не получится, если сотрудник работал без договора.

Раздел для тех, кто хочет получить деньги через Фонд компенсации утечки персональных данных

Фонда компенсации утечки персональных данных в России нет, а обещания таких компенсаций в интернете — это обман. Работает так: пользователь заполняет все поля на сайте, фонд считает ему компенсацию и выдает надпись «Вам должны заплатить 3988 $». Затем предлагает эти деньги получить напрямую из фонда. Но, конечно, есть нюанс: надо оформить страховой сертификат за 10 $ — без него фонд не может выплачивать компенсации.

Если пользователь оплачивает сертификат, мошенники зарабатывают 10 $, а переводить кому-то компенсации за утечку персональных данных они и не планировали.

Актуальное

Когда сотрудникам нужен медосмотр

Понятно, что медосмотр проходят все, кто работает с людьми или едой. И совсем неожиданно, что он нужен тем, кто печатает на компьютере, но это так.
23 ноября 2018
18
2
Свежак

Как работают офшоры в 2020 году

Сэкономить на налогах стало сложнее, зато можно обезопасить себя и капитал
21 сентября
18
0

Как ничего не пропустить

Подпишитесь в соцсетях

Публикуем ссылку на статью, как только она выходит. Отдельно даём знать о важных изменениях в законах. Шутим, но не слишком смешно.

Получайте статьи почтой

Присылаем статьи пару раз в неделю, а ещё новостной дайджест и приветы от Модульбанка. Подписываясь, вы соглашаетесь с политикой конфиденциальности.

Момент...
Готово!
Проверьте почту, пожалуйста
Не получилось отправить :-|

А если не хотите подписываться почтой и дружить в соцсетях — ну что ж! Вы можете набирать наш адрес руками в браузере, как в двухтысячном.