Что делать, если у вас украли базу данных пользователей

Как спастись. Инструкция
20 апреля 2017 в 15:05

С 1 июля расширяется перечень оснований для привлечения работодателей к ответственности за нарушение закона «О персональных данных». Максимальный штраф по нему теперь составит 300 000 рублей. Под штрафы могут попасть и пострадавшие — те, у кого, например, подобную базу украли. «Секрет» вместе с юристами составил инструкцию, что делать, если с вами такое случилось.

Теория

Алексей Петров

Партнёр Claims

1

Доказать права на базу Прежде всего необходимо проверить договоры с разработчиками о передаче прав на базу данных компании. При необходимости оформить недостающие документы. Далее надо локализовать данные, относящиеся к электронной базе данных, на сервере и оформить её на материальных носителях — например, записать на диск.

Алексей Петров

Партнёр Claims

2

Установить факт нарушения Для этого необходимо зафиксировать обращения пользователей в письменной форме (копия переписки, скриншоты форм обратной связи с сайта) и информацию с сайта предполагаемого ответчика, доказывающую похищение базы — например, предложение о её продаже. Потом осуществить контрольную закупку экземпляров, выпущенных нарушителем.

Сергей Воронин

Управляющий партнёр «Правового решения»

3

Разобраться в причинах инцидента Вполне вероятно, что преступления и не было. Если, например, кто-то выложил на частном сервере доступ к базе или резервный файл и забыл настроить права доступа для обращения к данным или кто-то из сотрудников случайно утащил базу данных на носителе, приписать неправомерный доступ к данным нельзя.

Залина Плиева

Руководительница практики по интеллектуальной собственности адвокатского бюро RBL

4

Провести служебную проверку После утечки нужно провести служебную проверку, собрать информацию об инциденте и выявить возможных нарушителей. Для этого проверяют электронную почту и служебные мобильные телефоны. Если нарушение совершил сотрудник, его привлекают к дисциплинарной ответственности по внутренним актам организации.

Залина Плиева

Руководительница практики по интеллектуальной собственности адвокатского бюро RBL

5

Заверить распечатки у нотариуса Перед тем как обратиться в правоохранительные органы, доказательства виновности нарушителя, если они собраны в электронном виде, нужно заверить у нотариуса. Ему можно принести распечатку переписок в почтовых агентах или мессенджерах.

Алексей Петров

Партнёр Claims

6

Направить претензии Прежде чем обращаться в правоохранительные органы, вам нужно направить претензию предполагаемому ответчику. Попытка мирного урегулирования — обязательный этап при обращении в суд.

Залина Плиева

Руководительница практики по интеллектуальной собственности адвокатского бюро RBL

7

Обратиться в правоохранительные органы Разглашение конфиденциальной информации подпадает под административную (штрафы до нескольких тысяч рублей) или уголовную (вплоть до лишения свободы) ответственность. В первом случае нужно идти в суд, во втором — в правоохранительные органы.

Юрий Вопилов

Генеральный директор BrandMonitor

8

Пожаловаться в Роскомнадзор Чтобы снизить вероятность использования базы данных злоумышленниками, нужно составить список сайтов, где засветилась информация. Его нужно передать хостинг-провайдерам и Роскомнадзору. Обычно они оперативно реагируют на такие инциденты и блокируют информацию на основании закона «О персональных данных».

Практика

Андрей Игнатов

Директор по развитию системы контроля сотрудников Kickidler

1

Нашу систему часто используют, чтобы исключить воровство баз клиентов и прочих корпоративных данных собственными сотрудниками, поэтому мы обладаем статистикой по этому поводу. Есть устойчивое заблуждение, что кража данных — дело рук хакеров. На самом деле такое случается максимум в 1% случаев. Обычно кражи совершают собственные менеджеры, решившие подзаработать.

Например, недавно был курьёзный случай. Менеджер отдела продаж одной компании продал базу клиентов конкуренту. Когда его разоблачили, он встал на сторону работодателя и сам стал угрожать покупателю, требуя прекратить использование краденой информации. В результате конкурент добровольно уничтожил базу.

Поделитесь историей своего бизнеса или расскажите читателям о вашем стартапе
Ещё по теме