Что делать, если у вас украли базу данных пользователей
Как спастись. ИнструкцияС 1 июля штрафы за нарушение правил сбора, хранения и обработки персональных данных вырастут и составят десятки тысяч рублей. Под них могут попасть и пострадавшие — те, у кого, например, подобную базу украли. «Секрет» вместе с юристами составил инструкцию, что делать, если с вами такое случилось.
С 1 июля расширяется перечень оснований для привлечения работодателей к ответственности за нарушение закона «О персональных данных». Максимальный штраф по нему теперь составит 300 000 рублей. Под штрафы могут попасть и пострадавшие — те, у кого, например, подобную базу украли. «Секрет» вместе с юристами составил инструкцию, что делать, если с вами такое случилось.
Теория
Доказать права на базу Прежде всего необходимо проверить договоры с разработчиками о передаче прав на базу данных компании. При необходимости оформить недостающие документы. Далее надо локализовать данные, относящиеся к электронной базе данных, на сервере и оформить её на материальных носителях — например, записать на диск.
Установить факт нарушения Для этого необходимо зафиксировать обращения пользователей в письменной форме (копия переписки, скриншоты форм обратной связи с сайта) и информацию с сайта предполагаемого ответчика, доказывающую похищение базы — например, предложение о её продаже. Потом осуществить контрольную закупку экземпляров, выпущенных нарушителем.
Разобраться в причинах инцидента Вполне вероятно, что преступления и не было. Если, например, кто-то выложил на частном сервере доступ к базе или резервный файл и забыл настроить права доступа для обращения к данным или кто-то из сотрудников случайно утащил базу данных на носителе, приписать неправомерный доступ к данным нельзя.
Провести служебную проверку После утечки нужно провести служебную проверку, собрать информацию об инциденте и выявить возможных нарушителей. Для этого проверяют электронную почту и служебные мобильные телефоны. Если нарушение совершил сотрудник, его привлекают к дисциплинарной ответственности по внутренним актам организации.
Заверить распечатки у нотариуса Перед тем как обратиться в правоохранительные органы, доказательства виновности нарушителя, если они собраны в электронном виде, нужно заверить у нотариуса. Ему можно принести распечатку переписок в почтовых агентах или мессенджерах.
Направить претензии Прежде чем обращаться в правоохранительные органы, вам нужно направить претензию предполагаемому ответчику. Попытка мирного урегулирования — обязательный этап при обращении в суд.
Обратиться в правоохранительные органы Разглашение конфиденциальной информации подпадает под административную (штрафы до нескольких тысяч рублей) или уголовную (вплоть до лишения свободы) ответственность. В первом случае нужно идти в суд, во втором — в правоохранительные органы.
Пожаловаться в Роскомнадзор Чтобы снизить вероятность использования базы данных злоумышленниками, нужно составить список сайтов, где засветилась информация. Его нужно передать хостинг-провайдерам и Роскомнадзору. Обычно они оперативно реагируют на такие инциденты и блокируют информацию на основании закона «О персональных данных».
Практика
Нашу систему часто используют, чтобы исключить воровство баз клиентов и прочих корпоративных данных собственными сотрудниками, поэтому мы обладаем статистикой по этому поводу. Есть устойчивое заблуждение, что кража данных — дело рук хакеров. На самом деле такое случается максимум в 1% случаев. Обычно кражи совершают собственные менеджеры, решившие подзаработать.
Например, недавно был курьёзный случай. Менеджер отдела продаж одной компании продал базу клиентов конкуренту. Когда его разоблачили, он встал на сторону работодателя и сам стал угрожать покупателю, требуя прекратить использование краденой информации. В результате конкурент добровольно уничтожил базу.