Утечка персональных данных клиентов — это уже не вопрос репутации, а прямой юридический риск. Штрафы до 15 млн рублей, блокировка сайта, уголовная ответственность для руководителя. Многие компании надеются на «авось», но Роскомнадзор и прокуратура проверяют всё чаще. Готовый протокол действий с участием юриста — единственный способ минимизировать последствия.

Что закон требует от бизнеса при утечке

С 2022 года ужесточилась ответственность за утечки персональных данных. Оператор (компания, которая собирает данные) обязан:

  • в течение 24 часов уведомить Роскомнадзор о факте утечки;
  • в течение 72 часов предоставить сведения о количестве пострадавших субъектов и принятых мерах;
  • провести внутреннее расследование.

Невыполнение сроков — отдельный штраф до 500 000 рублей даже при отсутствии самого факта утечки.

Пошаговый протокол действий: роль юриста

При обнаружении утечки клиентских данных запускается следующий алгоритм. Опытный бизнес-юрист сопровождает каждый шаг.

Шаг 1. Фиксация и локализация

IT-отдел отключает подозрительные серверы. Юрист фиксирует точное время обнаружения утечки — от этого отсчитываются часы на уведомление госорганов.

Шаг 2. Оценка масштаба

Какие данные утекли? ФИО, паспорта, биометрия, платёжная информация? Для каждого типа своя ответственность. Юридическое сопровождение компании включает квалификацию утечки по ст. 13.11 КоАП РФ.

Шаг 3. Уведомление РКН

Уведомление подаётся через личный кабинет на сайте Роскомнадзора. Юрист для компаний формулирует его так, чтобы не признать вину досрочно, но выполнить обязанность. Важно: не уведомили вовремя — штраф, даже если утечки не было.

Шаг 4. Уведомление клиентов

Закон обязывает сообщить пострадавшим субъектам. Налоговый юрист не нужен на этом этапе, а вот корпоративный юрист подскажет формулировки, чтобы не спровоцировать коллективные иски.

Шаг 5. Расследование и отчёт

В течение 60 дней нужно предоставить в РКН акт расследования. Арбитражный юрист потребуется, если пострадавшие клиенты подадут в суд на компенсацию морального вреда — практика таких исков растёт.

Что делать до утечки: профилактика

Юридическое сопровождение бизнеса в сфере кибербезопасности начинается не после утечки, а до неё:

  • разработать политику обработки ПДн под 152-ФЗ;
  • назначить ответственного за обработку данных;
  • заключить договоры с провайдерами о конфиденциальности;
  • застраховать ответственность за утечки (появляются такие продукты у страховых).

Вывод

Утечка клиентских данных — вопрос времени, а не вероятности. Готовый протокол действий и юридическое сопровождение компании позволяют пройти проверку Роскомнадзора с минимальными штрафами и без уголовного дела. Не ждите первого взлома — подготовьте документы и алгоритмы сегодня.