Каждая утечка персональных данных вызывает цепную реакцию — разбирательства, убытки, подпорченная репутация и, нередко, проверка от Роскомнадзора. Появляется вопрос: кто виноват? Подрядчик? Системный администратор? Неосторожный сотрудник? Увы, ответ почти всегда один: ответственность несет компания — вернее, генеральный директор. Разберем, почему это так, на языке права и практики.
Разрушаем распространенные заблуждения
Заблуждение 1. «Утечка произошла из-за администратора»
Администратор, даже штатный, выполняет рабочие обязанности по указанию работодателя. Согласно ст. 1068 ГК РФ, работодатель отвечает за вред, причиненный работником при исполнении трудовых обязанностей.
Поэтому любые действия администратора (в том числе халатные) — это ответственность организации. Администратор может ошибиться. Может забыть закрыть порт, выдать доступ «всем сотрудникам» или установить слабый пароль. Но администратор — это часть вашей системы управления, и его действия (или бездействие) — это ваша зона ответственности.
Заблуждение 2. «Подрядчик неправильно настроил систему»
Подрядчик действительно может допустить ошибку. Но, если вы не оформили договор, не утвердили ТЗ, не прописали зону ответственности и не приняли работу по акту — юридически вы взяли это «на себя».
Подрядчик — это внешнее лицо, действующее по договору. Но согласно ст. 9 152-ФЗ, оператор персональных данных несет ответственность за соблюдение закона, даже если обработка передана третьей стороне. Вы — оператор. Подрядчик — это лишь лицо, привлекаемое вами.
Роскомнадзор в своих разъяснениях (письмо № 08-44169 от 27.11.2014) указывает: «Передача обработки персональных данных не освобождает оператора от ответственности за нарушение требований законодательства».
Заблуждение 3. «Сотрудник случайно ошибся и, например, отправил базу в общий мессенджер, я тут ни при чем»
Да, человеческий фактор существует. Но он предсказуем и управляем: регламенты, обучение, ограничение доступа, контроль. Если их не было – снова виноваты вы.
Ст. 13.11 КоАП РФ не делает различий, кто конкретно потерял данные — штраф накладывается на юридическое лицо. Потому что вы не организовали защиту. А значит — нарушили требования закона.
Закон на стороне… не вашей. Правовая зона ответственности
152-ФЗ «О персональных данных» (в России) и GDPR (за рубежом) четко определяют: оператор персональных данных — это юридическое лицо, которое собирает, хранит и обрабатывает данные. Именно оно обязано обеспечить защиту этих данных.
В России юридическая ответственность за защиту персональных данных закреплена:
- Федеральный закон № 152-ФЗ «О персональных данных», ст. 6, 19, 22
- КоАП РФ, статья 13.11 — штрафы от 15 000 до 500 000 руб. за нарушение порядка сбора, хранения и защиты данных
- ФЗ № 149 «Об информации, информационных технологиях и о защите информации», ст. 16
- ГК РФ, ст. 1064 и 1068 — ответственность за вред и действия работников
Если вы работаете с клиентами или пользователями из ЕС — применяется GDPR, и там ситуация ещё жёстче:
- Штраф до 20 млн евро или 4% от годового оборота компании (в зависимости от того, что больше)
- Обязательное уведомление о нарушении в течение 72 часов
- Ответственность наступает даже за непреднамеренные ошибки (Recital 75 GDPR)
Именно компания получает предписание, платит штраф и объясняется перед клиентами. Ни подрядчик, ни сотрудник не несут этой ответственности.
Кто такой «оператор персональных данных»?
Еще раз закрепим, что согласно ст. 3 п. 2 закона 152-ФЗ, оператор — это лицо, которое самостоятельно или совместно с другими определяет цели обработки персональных данных, а также содержание и действия, совершаемые с ними.
То есть, если у вас есть:
- База клиентов
- CRM-система
- Учетная система с ФИО и телефонами сотрудников
- Email-рассылки или мессенджеры с личными данными — вы автоматически становитесь оператором
И вы обязаны обеспечить:
- Законность и минимизацию обработки
- Информационную безопасность (технические и организационные меры)
- Назначение ответственного лица
- Документирование политики и процедур
- Регистрация в Роскомнадзоре (в определенных случаях)
Управленческие риски: реальные кейсы из практики
Ошибки в ИТ — это не техническая проблема, а управленческий просчет. Вы выбираете подрядчиков. Вы утверждаете регламенты. Вы, как руководитель, не просто подписываете договор — вы несете ответственность за выбор и контроль.
Приведем в пример несколько кейсов из практики:
Кейс 1. Чем обернулась настройка портала через «приятеля знакомого»
Руководитель малого бизнеса поручил знакомому айтишнику подключить Битрикс24 и помочь с выгрузкой старой клиентской базы. Настройку провели быстро, «на доверии», без ТЗ и договоров. Файл с данными оказался доступен по прямой ссылке в интернете — без пароля, без ограничений. Утечка произошла через поисковик: один из клиентов просто ввёл своё имя в Google — и увидел весь список.
Роскомнадзор провел внеплановую проверку по жалобе. Выяснилось, что не было ни политики по защите персональных данных, ни ответственного, ни формального контроля доступа.
Итог: штраф 300 000 руб. по статье 13.11 КоАП РФ. Айтишника не привлекли — официальных отношений не было. Ответственность полностью на юр лице.
Кейс 2. Уволенный сотрудник продолжил заходить в систему
Компания использовала облачную CRM, в которую можно было войти по логину и паролю. Двухфакторную авторизацию внедрить не успели – "не до того было". Один из менеджеров уволился, но его учетную запись никто не отключил. Через несколько недель он получил доступ к базе клиентов и стал предлагать им услуги конкурентов.
Руководитель обратился к подрядчику с претензией. Но подрядчик объяснил, что в договоре не было прописано требование по двухфакторной авторизации, и акт сдачи-приемки работ не подписывался.
Итог: вся ответственность легла на компанию. Убытки — клиенты, доверие, и внутренний конфликт в коллективе.
Кейс 3. Внедрение CRM — без ограничений доступа
Компания внедрила CRM и подключила всех сотрудников с максимальными правами доступа, «чтобы не заморачиваться». Ни ролей, ни разграничения, ни логирования действий не было. Один из сотрудников выгрузил базу с клиентами и после увольнения открыл свое агентство, начав звонить по тем же лидам.
Руководство пыталось обвинить IT-компанию, которая настраивала систему. Но подрядчик действовал по шаблонной инструкции, а в ТЗ не было ни слова о разграничении доступа.
Итог: ответственность осталась на компании. Потери — часть базы клиентов, потерянные сделки и судебный процесс, в котором доказать умысел сотрудника не удалось.
Как взять ответственность под контроль
Ответственность не надо перекладывать — её нужно грамотно структурировать и управлять рисками.
- Работайте с проверенными подрядчиками, у которых есть опыт, договоры, SLA и чек-листы.
- Формализуйте все процессы: подписывайте ТЗ, акты, акты разграничения доступа.
- Пропишите в договоре ответственность подрядчика, особенно по ИБ.
- Ограничьте права доступа сотрудников — не давайте «всё и всем».
- Обучайте сотрудников: как обращаться с данными, чего не делать.
- Настройте двухфакторную авторизацию, шифрование, резервное копирование
- Проводите аудит ИБ не реже раза в год — снаружи видно лучше.
- Назначьте ответственного за защиту данных и формализуйте эту роль
Чек-лист: как снизить риски утечки и штрафов
Проблема не в подрядчике, не в администраторе и не в «невнимательном сотруднике». Проблема в отсутствии управления рисками. Сегодня наивность в вопросах информационной безопасности — роскошь, которую бизнес не может себе позволить.
Ответственность за персональные данные — это не абстрактное юридическое понятие, а конкретные действия: настроить, проконтролировать, задокументировать, застраховать.
Если вы этого не сделали — ответственность целиком на вас.
Неважно, виноват ли админ, подрядчик или неопытный сотрудник. Закон и практика встают на сторону потребителя. А вы — оператор. Значит, вы и платите.
Информационная безопасность начинается с принятия решения
И порой достаточно одного шага, одного решения, чтобы увидеть картину целиком.
Мы предлагаем начать с бесплатного экспресс-аудита — спокойной и ненавязчивой диагностики, которая даст понимание, где вы находитесь сейчас и куда стоит двигаться.
