04.04.2024
7 минут

Какие угрозы возникают в сфере хранения персональных данных

Персональные данные часто называют «новой нефтью». За ними охотятся, их продают и даже крадут. Так что да, выходит, что данные — это золотое руно 21 века.

Для обывателя, возможно, это всё ещё звучит немного странно. Как имя, фамилия, номер телефона или какой-то там адрес электронной почты могут иметь для кого-то такую большую ценность? Но мир устроен так, что даже этого небольшого фрагмента личной информации может быть достаточно для того, чтобы устроить спам-атаку или мошенническую акцию. 

Зачастую именно из-за утечки данных люди становятся жертвами преступников.

Поэтому в современном мире сбор и хранение персональных данных регулируется федеральным законодательством — а если конкретно, законом 152-ФЗ. Он постоянно совершенствуется: вносятся новые правки, призванные защитить простых людей от утечек и мошеннических схем. Обыватель, в отличие от компаний, этих изменений не замечает.

А вот бизнесу приходится снова и снова учиться тому, как правильно сохранять данные, чтобы не подставить под удар себя и своих клиентов. О том, какие сложности могут возникать на этом пути — рассказываем в статье.

Персональные данные: что такое и где их собирают

Начнём с того, что в законе нет конкретного перечня, что является, а что точно не является персональными данными. Что является точно: 

  • ФИО,
  • номер телефона, 
  • физический и электронный адрес 

Это самое важное, что нам надо знать, так как именно такие персональные данные и собирают бренды чаще всего.

Есть два способа получить от человека персональные данные: напрямую или автоматически. Напрямую — это когда пользователь сам оставляет информацию о себе, например, через форму на сайте. Обычно таким образом собирают контакты: email и номер телефона.

Так выглядит форма для сбора данных
Так выглядит форма для сбора данных

Информация, которая собирается автоматически, это: географическое местоположение, IP-адрес. Обычно эти данные получают с помощью cookies. До 2016 года cookies не считались персональными данными, но всё изменилось после громкого дела LinkedIn, после которого соцсеть была внесена в Реестр нарушителей прав субъектов персональных данных. Тогда суд признал, что компания нарушила закон по локализации персональных данных: соцсеть хранила cookies российских пользователей на базах данных, находящихся вне страны.

Так что теперь, согласно ФЗ о персональных данных, cookies тоже охраняется законом как информация, по которой теоретически можно идентифицировать человека.

Получается, в независимости от того, каким образом собирается информация о человеке — напрямую или автоматически — её сбор, хранение и даже утилизацию контролирует закон. Именно поэтому компании, как правило, не просто собирают эти данные, но и прикрепляют к формам документы, в которых описаны политика их обработки, условия использования сайта или самих cookies. Всё для того, чтобы все желающие могли ознакомиться с необходимой документацией перед тем, как дать своё согласие.

Делается этого за тем, чтобы компанию невозможно было бы упрекнуть в несоблюдении федерального закона.

Зарегистрируйтесь
И попробуйте Sendsay бесплатно

Возможные причины утечки данных

Итак, персональные данные — это серьёзная история. Любая ошибка в их сборе и хранении грозит ощутимыми проблемами для бизнеса. При этом утечки происходят регулярно — даже у крупных компаний, которые очевидно очень заботятся о цифровой защите.

Яркий пример — «Яндекс», о чьих утечках мы видим в СМИ. Последний кейс — данные о пользователях «Яндекс Еды» оказались в открытом доступе. По словам компании, причина утечки — недобросовестность одного из сотрудников, при этом никакой более конкретной информации не раскрывается.

Но в целом удивительного здесь мало. Ситуация довольно стандартная: действительно большой процент утечек происходит из-за внутренней бреши. Иногда сотрудники пренебрегают правилами кибербезопасности: открывают фишинговые ссылки, обмениваются конфиденциальной информацией прямо в открытых чатах — в результате мошенники получают доступ к закрытым данным, в том числе персональным. А иногда сотрудники могут буквально продавать данные злоумышленникам — в таких случаях компании обращаются к правоохранительным органам с иском к нарушителю.

По статистике, около 80 % утечек персональных данных в России происходит в результате кибератак. 

При этом каждая десятая кибератака происходит с помощью сотрудника компании — намеренной или случайной. Это большая проблема цифрового рынка в целом: атакуют и крупные компании, и мелкий бизнес. Всё это выливается в многомиллионный ущерб.

Полностью обезопасить себя от утечек, увы, невозможно. Однако минимизировать вероятность всё же вполне реально. Для этого:

Мы в Sendsay, например, представляем клиентам возможность шифрования базы адресов. За счёт этого адреса пользователей становятся как бы «невидимыми» — даже для тех, у кого есть доступ в аккаунт. Это действительно рабочий инструмент, который позволяет скрыть информацию от нежелательных глаз.

Утечка: чем грозит бизнесу

Очевидно, утечка — малоприятное событие, которое одновременно бьёт и по репутации, и по бюджету. При этом зависимость тут прямая: чем крупнее происшествие, тем крупнее и ущерб.

Часть нарушений в области персональных данных относятся к административным правонарушениям, часть — к уголовным. Штрафы также варьируются: например, за обработку персональных данных без согласия юрлицо заплатит от 30 до 150 тысяч рублей, а за повторное нарушение — уже от 300 до 500 тысяч рублей. Если речь идёт не только о нарушении сбора информации, но и о её утечке — штрафы ещё вырастают.

В Госдуме сейчас находится законопроект, призванный ужесточить штрафы за утечку. Его авторы предлагают повысить суммы взысканий — и провести зависимость от числа людей, попавших под удар, и регулярности инцидента. Например, предполагается, что если произойдёт повторная утечка данных 100 000 и более субъектов — компании придётся заплатить до 500 миллионов рублей. 

Суммы, как видите, достаточно серьёзные. Но чаще всего в таких ситуациях бизнес больше страдает репутационно, чем финансово. Всё логично: клиенты трепетно относятся к своим данным, и новости о том, что компания их не уберегла, может легко привести к потере доверия. 

Всё это может звучать несколько безрадостно. Но, к счастью, нерешаемые ситуации случаются очень редко. Так что, если проблема всё-таки случилась, не стоит расценивать её как конец света. Штрафы (почти всегда) можно оплатить, а клиентов — успокоить. 

👉 Так сделала та же «Яндекс Еда»: после очередной крупной утечки в 2022 году руководитель службы опубликовал публичное письмо, где просто и по-человечески признал вину, извинился перед пользователями. Тогда же сервис раздал своим клиентам промокоды на скидку, чтобы смягчить неприятные новости. Полностью ситуацию это не нивелировало, но углы точно сгладило.

По похожему пути пошла компания «Tуту.ру», которая моментально среагировала на утечку данных о заказах — в корпоративном блоге появилась не только реакция на событие, но и разъяснение того, что именно попало в открытый доступ и почему так произошло.

Эти кейсы учат нас тому, что неисправимых ситуаций нет. И если беда все-таки произошла, важно уметь отреагировать на нее, объяснить клиентам контекст, возможные риски — и принести свои извинения.

Читайте также: Что делать, если заметили ошибку после отправки письма

Как защитить персональные данные

В разговоре о персональных данных кажется уместным вспомнить известную британскую поговорку: надейся на лучшее и готовься к худшему.

Конечно, есть вероятность того, что проблемы с данными именно вас никогда не коснутся. Но наравне с этим существует и обратная вероятность. Поэтому важно заранее сделать все возможное для защиты своего бизнеса и своих клиентов. 

Первое, с чего стоит начать — убедиться, что ваша работа с персональными данными полностью соответствует 152-ФЗ. Для этого необходимо, чтобы и ваша IT-инфраструктура полностью соответствовала закону и могла обеспечить сохранность информации:

И, конечно, сами персональные данные необходимо также собирать правильно. Если вы делаете это через сайт:

В случае с рассылками мы также рекомендуем использовать Double Opt-In — то есть двухэтапную подписку. Когда человек сначала оставляет свой email и даёт согласие на подписку, а затем ещё раз подтверждает это действие, перейдя по ссылке в письме. Такая простая система защиты позволит вам убедиться, что человек действительно передал вам свои данные. И, если к вам возникнут претензии, вы сможете это документально подтвердить.

Вы, как оператор данных, соблюдаете требования, которые устанавливает закон прежде всего для собственной безопасности. Но в этом есть дополнительный бонус, который может быть полезен бизнесу. 

Особенно это касается цифровых продуктов, чьим основным назначением является хранение информации о клиентах — это и CRM-системы, CDP, и сервисы рассылок, облачные базы данных и так далее. Аттестат соответствия 152-ФЗ для них является знаком доверия: если компания соблюдает все требования закона, значит, и данные будут защищены. 

Мы в Sendsay получили такой аттестат уже несколько лет назад. И для нас соответствие ФЗ — вклад не только в безопасность работы, но и в нашу репутацию.

Надеемся, ваши персональные данные всегда будут под надёжной защитой, и никакие проблемы с жалобами и утечками не затронут вашу работу.

Вам понравилась статья?
Над статьёй работали:
Похожие статьи
На страже персональных данных
26.05.2022
Знание — сила: собираем данные клиентов
Присоединяйтесь к нам в соцсетях