Утечка персональных данных

Шаг 1. Предупредить сотрудника о штрафах за публикацию персональных данных

В вашей ситуации есть плюс: вы знаете, кто виноват. Поэтому сначала нужно попросить бывшего сотрудника удалить персональные данные клиентов. Чтобы просьба была весомей, расскажите о штрафах за утечку персональных данных. За распространение персональных данных могут оштрафовать на 1000, а могут и на 300 000 рублей:

• от 1000 до 5000 рублей за обработку персональных данных без согласия их владельцев. Согласие на обработку есть у магазина, а не лично у сотрудников;
• до 200 000 рублей за незаконное копирование компьютерной информации;
• от 100 000 рублей до 300 000 рублей, если опубликовать сведения о частной жизни. Допустим, клиент заказывал цветы с доставкой и в комментариях оставлял текст для открытки: «Любимая, прости, я больше никогда тебе не изменю», и текст попал в сеть вместе с именем клиента, — это уже вмешательство в частную жизнь.

О штрафах можно предупредить устно или отправить досудебную претензию. Письменная претензия пугает больше, но если договориться не получится, пишите заявление в полицию или Роскомнадзор:

Такой-то такой-то незаконным образом распространил персональные данные клиентов без их согласия. Прошу принять меры по удалению данных из сети Интернет, а именно со страницы такого-то в социальной сети Вконтакте.

Перед заявлением в полицию или Роскомнадзор нужно проверить, что у вас есть:

1. Подписанный продавцом договор о неразглашении, НДА.
2. Локальные акты, в которых перечислены категории персональных данных клиентов, доступные для сотрудника на должности продавца.
3. Подпись продавца, которой он подтверждает, что ознакомился с локальными актами.

Без документов есть риск штрафа для магазина от Роскомнадзора. Поэтому, если документов нет, лучше договариваться мирно с продавцом или просить удалить данные администрацию сайта, на котором продавец их опубликовал.

Для магазина тоже есть штрафы за утечку персональных данных:

• для ИП — 10 000—20 000 рублей;
• для ООО — 25 000—50 000 рублей.

Кроме штрафов у магазина может возникнуть еще две проблемы: клиенты потребуют компенсации морального вреда и убытков или пожалуются в Роскомнадзор, прокуратуру, и те придут с проверками.

Для защиты от утечек стоит ужесточить политику защиты персональных данных, например подписать со всеми сотрудниками договор о неразглашении, НДА. О том, что делать, если НДА был, а сотрудник его нарушил, мы подробнее писали в другой статье.

Если бы сотрудник еще работал в магазине, вы могли бы его уволить за однократное грубое нарушение трудовых обязанностей, а именно разглашение персональных данных клиентов.

Шаг 2. Решить, стоит ли говорить клиентам об утечке данных

С клиентами, данные которых бывший сотрудник опубликовал, есть два варианта:

• связаться и объяснить, что произошло. Кто-то предлагает в таких случаях компенсацию: скидку, подарок, карту золотого клиента. Но может получиться, что клиенты узнают об утечке данных от вас и пойдут в суд, Роскомнадзор или прокуратуру, а без вашего звонка не узнали бы;
• ждать, пока клиенты узнают об утечке данных сами, и придут разбираться. Есть шанс, что клиенты не заметят.

Какой вариант выбрать, решать вам. Всё зависит от масштаба утечки, клиентов и информации, которую опубликовал бывший сотрудник.

Об утечках в крупных компаниях клиенты узнают через СМИ. К примеру, в октябре этого года была опубликована база абонентов Билайна, но компания не связывалась с клиентами, а общалась только со СМИ, хотя могла разослать смс или пуш-уведомления.

Еще один пример — Сбербанк, который в таких случаях тоже общается через СМИ и пишет что-то вроде: да, была утечка, мы виноваты, проблему исправили, лазейку закрыли, установили новые программы, а всех сотрудников наказали.

«Случай, который произошел, поменял нашу парадигму», — прокомментировал утечку персональных данных глава Сбербанка, на сайте Ведомостей

Компенсацию морального вреда за утечку клиент может получить от компании только через суд. На практике суды назначают небольшие компенсации по 5000—15 000 рублей. Максимум до 25 000 рублей, если компания опубликовала информацию об анализах, болезнях или пластических операциях клиентов.

Судебных дел по утечке персональных данных почти нет. А в тех, что есть, люди судятся в основном со СМИ из-за разглашения тайны усыновления, публикации фотографий с любовницами и списков недвижимости, а не из-за истории заказов из магазина.

Шаг 3. Переложить ответственность за утечку на бывшего сотрудника

Ответственность за утечку лежит на бывшем сотруднике — именно он выложил данные от своего имени. Чтобы он отвечал за это, на него можно подать регрессный иск — это такой иск, который перенаправляет претензии клиентов на настоящего виновника.

Сначала нужно отправить бывшему сотруднику претензию с минимальной суммой:

Дорогой Василий! Ты слил персональные данные наших клиентов в интернет, это нанесло непоправимый вред репутации нашей компании. Мы требуем с тебя компенсацию — 300 рублей.

Здесь важна не сумма компенсации, а сам процесс передачи ответственности. Если сотрудник выплатит 300 рублей, он подтвердит этим свою вину, а у вас появятся документальные доказательства. Тогда в суде можно будет сказать: «Мы не виноваты. Да, мы собирали данные, но опубликовал их Василий, он с этим согласен, потому что выплатил нам компенсацию. Все претензии теперь к нему».

Если бывший сотрудник решит не платить по претензии, а клиенты пойдут в суд, нужно подать на него иск за незаконное распространение персональных данных. В иске пишем:

«Требуем взыскать с продавца такую-то сумму, которую магазин уплатил в качестве компенсации морального вреда и убытков клиентам в результате нарушение закона продавцом»

В иске ссылаемся на трудовой договор с продавцом и статью 238 трудового кодекса. По этой статье сотрудник возмещает работодателю прямой действительный ущерб, а именно затраты магазина на возмещение ущерба клиента, который причинил продавец. Но ничего взыскать не получится, если сотрудник работал без договора.

Раздел для тех, кто хочет получить деньги через Фонд компенсации утечки персональных данных

Фонда компенсации утечки персональных данных в России нет, а обещания таких компенсаций в интернете — это обман. Работает так: пользователь заполняет все поля на сайте, фонд считает ему компенсацию и выдает надпись «Вам должны заплатить 3988 $». Затем предлагает эти деньги получить напрямую из фонда. Но, конечно, есть нюанс: надо оформить страховой сертификат за 10 $ — без него фонд не может выплачивать компенсации.

Если пользователь оплачивает сертификат, мошенники зарабатывают 10 $, а переводить кому-то компенсации за утечку персональных данных они и не планировали.