Утечки персданных и конфиденциальной информации в компании. Юридические аспекты реагирования

В договорах и соглашениях часто встречается глава, посвященная неразглашению сторонами конфиденциальной информации друг друга. Что это такое, и действительно ли ей может стать «любая информация, которую стороны признают таковой»? Что произойдет, если разглашение такой информации все-таки случится? Как это отследить, зафиксировать, доказать и, самое главное, сделать это в рамках правового поля, не утратив возможность защитить интересы компании в суде?

Хотя в законах и не содержится самого определения «Конфиденциальная информация», однако содержание термина раскрыто. В Перечне сведений конфиденциального характера, утвержденном Указом Президента Р Ф от 6 марта 1997 г. № 188, к такой информации отнесены:

• персональные данные
• сведения, составляющие тайну следствия и судопроизводства, включая свидетелей, осужденных и т. д.
• служебная тайна
• профессиональная и личная тайна
• коммерческая тайна
• «патентная тайна» до момента официальной публикации

Государственной тайны тут нет, потому что это отдельный вид тайны, со своим собственным регулированием.

Это закрытый перечень. Таким образом, можно говорить, что конфиденциальной информацией является далеко не любая информация на усмотрение сторон, а только относящаяся к одному из перечисленных видов.

Для большинства коммерческих компаний наиболее актуальным является сохранение таких видов конфиденциальной информации, как персональные данные и коммерческая тайна. Для меньшего числа — профессиональная (например, врачебная, банковская, адвокатская тайна) и «патентная тайна» (по сути тайна ноу-хау). Остальные виды имеют отношения к другим организациям и ведомствам.

Наиболее предметно и актуально для бизнеса можно говорить об ответственности за утечки двух конкретных видов конфиденциальной информации — утечки персональных данных и хищение коммерческой или банковской тайны.

Суть ответственности тут также различается. Если режим персональных данных установлен государством императивно, и именно бизнес в первую очередь должен его соблюдать, то и ответственность за утечки, как и обязанность их предотвращения, лежит на бизнесе. Именно компания (а также виновное должностное лицо) будет выплачивать штрафы государству. С июня 2025 года эти штрафы были существенно увеличены, по отдельным составам вплоть до 2 млн руб. для должностного лица и до 250 млн руб. для компании.

Однако ответственность не кончается штрафами для компании, которая по сути сама является в какой-то мере пострадавшей при инциденте информационной безопасности (утечки данных). Поэтому нахождение конкретного виновного лица также важно. А это возможно в помощью расследования таких инцидентов. В зависимости от обстоятельств дела, виновное лицо может быть привлечено к уголовной ответственности по статьям 272, 272.1, 273 и 274 УК РФ.

Ситуация с хищением коммерческой тайны иная. У бизнеса нет обязанности вводить у себя соответствующий режим, но есть такое право. Это выбор бизнеса — делать или нет. Но если решили делать — задача должна быть решена в строгом соответствии со специальным Федеральным законом «О коммерческой тайне» от 29.07.2004 г. № 98-ФЗ.

В случае утечки или хищения коммерческой тайны, а точнее «незаконного получения и разглашения сведений, составляющих коммерческую, налоговую или банковскую тайну», ответственность для виновных лиц наступает по ст. 183 УК РФ. Так, ответственность за «незаконные разглашение или использование сведений, составляющих коммерческую … тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе» может достигать штрафа в 1 млн руб. либо до 4 лет лишения свободы. Те же деяния в сговоре, с крупным ущербом (то есть более 3,5 млн руб.) или из корыстной заинтересованности — до 5 лет лишения свободы со штрафом до 5 млн руб. В зависимости от конкретного механизма хищения наказание может быть в совокупности со ст. 272 и 273.

Как показывает практика даже самых крупных компаний — инциденты случаются, какой бы ни была техническая сторона защиты от них. Но тем компаниям, у которых эта защита крепче, удается пройти этот сложный момент более уверенно и подготовленно. Юридическая подготовка также имеет не последнее значение.

В рамках повышения готовности к инцидентам утечки персональных данных или кражи коммерческой тайны юристу целесообразно сделать следующее:

1. Проверить все ЛНА в компании, а именно:

• Положение об обработке персональных данных: все работники должны знать и соблюдать положения о работе с персональными данными (клиентов, контрагентов, других работников), быть ознакомленными с этим документом под роспись. Не должно быть ситуаций, когда, например, на столе коллеги лежат сканы паспортов клиентов, персданные пересылаются в мессенджерах и в этих же мессенджерах менеджеры по продажам пишут клиентам.
• Положение о коммерческой тайне: проверить актуальность (объекты КТ, предоставленные доступы), удостовериться, что все работники ознакомлены с документом под роспись, что объекты комтайны надлежащим образом маркированы, хранятся в установленных места, ключи от сейфов не лежат в общедоступном месте и т. д.
• Политика информационной безопасности: хотя это не обязательный документ, но очень важный — в нем прописаны правила использования работниками компании ИТ-ресурсов, парольные политики, устанавливаются правила организации контроля со стороны компании, проведения реагирования и расследования инцидентов информационной безопасности.
• ПВТР (Правила внутреннего трудового распорядка) — этот документ описывает общие правила поведения в организации, время начала и окончания рабочего времени, места для курения, стиль одежды и прочее. Но помимо этого — вопросы организации видеонаблюдения, контроля и записи телефонных переговоров, СКУД и т. п.

2. Проверить договоры с работниками/подрядчиками (ИП, СЗ), с контрагентами:

• Убедиться, что указанные лица извещены о наличии у вас в компании режима комтайны, вся конфиденциальная информация передается под акт (или хотя бы с письменным уведомлением о статусе), об ответственности.
• В части ПДн — передача только в соответствии с 152-ФЗ (контур РФ, поручения на обработку и обязательные отдельные согласия субъектов, иное).

1. Если у вас в компании есть ИБ-специалист, то есть собственно человек, ответственный за контроль утечек и их расследование (а применительно к персональным еще и DPO), то главная задача юриста — обеспечивать правильное оформление всех действий этих специалистов. Ведь от правильного их оформления зависит не меньше, чем от самих этих действий. Только правильное оформление позвонить провести легализацию собранных данных, что, в свою очередь, позволит защитить интересы компании в рамках правового поля.

Стоит еще раз напомнить, что к моменту гипотетического (но всегда возможного) инцидента ИБ:

• все ИБ-системы и инструменты должны существовать в компании официально — т. е. быть официально закупленными, установленными, прописанными в Политике ИБ, ПВТР и получены согласия на их применение (в части контроля);
• так же официально должна существовать и сама ИТ-инфраструктура — сервера/облака/SaaS'ы и так далее;
• если в компании практикуется использование личных ноутбуков работников в рабочих целях, то правила такого использования должны быть четко описаны как минимум в Политике ИБ.

Если же в компании нет своего ИБ-специалиста, то крайне желательно найти подрядчиков в этой сфере заранее, а не в момент инцидента.

2. Выполнение положения Политики ИБ компании в части реагирования и подача уведомления:

• Извещение руководства компании (ASAP, но согласно процедуре в Политике ИБ);
• Сбор внутренней команды для расследования инцидента (ASAP, 1−2 часа, даже в выходные) — ИБ, DPO, юрист;
• ИБ-специалисты уже начали собирать и сохранять данные для будущего расследования — логи серверов и сетевых устройств, журналы приложений, системные журналы, изымают ПК и носители, а также все, что им кажется важным. Задача юриста — описывать, т. е. протоколировать процесс, контролировать суть, поведение участников, подписи и прочее.

На этом этапе важно:

1. остановить/локализовать инцидент;
2. понять его природу — внешний/внутренний, вид, когда произошел/начался;
3. определить какие данные были скомпрометированы, оценить потенциальные последствия утечки;
4. уведомить РКН (на сайте есть форма) о «произошедшем инциденте, о предполагаемых причинах… и предполагаемом вреде…, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом…, по вопросам, связанным с выявленным инцидентом». пп. 1 п. 3.1. ст. 21 152-ФЗ.

На это уведомление у компании всего 24 часа. Если пропустить срок — штрафы за неизвещение либо несвоевременное извещение об утечке персданных по п. 11 ст. 13.11 КоАП РФ: до 800 тыс. руб. — для должностного лица, до 3 млн руб. — для компании.

3. Проведение расследования и подача второго уведомления (на это есть еще 48 часов):

• ИБ-специалисты и, при наличии, DPO должны успеть провести внутреннее расследование хотя бы в общем и понять, кто виноват — (внешние или внутренние нарушители) и что стало причиной инцидента (умышленные действия, сбой, иное).
• Подать в РКН второе уведомление— о «результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии)» — пп. 2 п. 3.1. ст. 21 152-ФЗ.
• по результатам этого «обязательного» внутреннего экспресс-расследования понять, нужно ли начинать «расширенное»? И, если да, то какие у него цели?

1. Понять, нужно ли вам проводить расследование («расширенное» при утечке ПДн или «первоначальное» при утечке комтайны) и зачем

• Реалистично оценить в каком состоянии в компании ЛНА и договорная база. Если в плохом — ИБ, возможно, и найдет следы, только превратить их в доказательства (легализовать) может не получиться.
• Нанять подрядчика. И, возможно, лучше, чтобы подрядчика выбирало не ИБ-подразделение, а комплаенс/СБ/ГД/СД/собственник. Потому что:

1. свои ИБ-специалисты — хорошо. Тренированные на регулярных киберучениях — еще лучше.
2. но ИБ — это чаще всего про защиту, а не про расследование;
3. расследоваться будет в том числе и то, почему защита не сработала и ИБ пропустило атаку;
4. расследоваться могут в том числе и действия топ-менеджмента, которому подчиняется ИБ.

2. Документирование и оформление процесса внутреннего расследования.
Не существует единых стандартов для юридических документов при проведении внутреннего расследования инцидента ИБ. Однако крайне желательно учесть следующее:

• Факт инцидента должен быть официально доведен до руководства компании по форме согласно Политики ИБ. Если конкретной формы нет, то в форме служебной записки ответственного за ИБ работника на имя генерального директора. Даже если ему уже позвонили, написали в мессенджер — документ все равно лучше иметь.
• Выпустить Приказ генерального директора «О проведении внутреннего расследования инцидента», с указанием конкретных участвующих лиц — ИБ, юрист. Опционально (от вашей адм. структуры) — представители СБ/ЭБ, комплаенс, DPO, кадровой службы.
• Все действия (осмотр, изъятие, копировании информации и т. п.) — оформляются протоколом, с подписями участвующих. В форме, привычной и понятной для правоохранительный органов и суда. Даже если в моменте еще не принято решение о переходе на эту стадию.
• Если требуются пояснения работников — они отбираются в форме объяснительной, письменно.
• Крайне не рекомендуется изымать, осматривать, копировать информацию, производить иные принудительные действия с личными устройствами (смартфоны, ноутбуки, прочее) работников, если в Политике ИБ не предусмотрено в явном виде использование этих устройств, но на практике они активно используются и это не запрещается. Любые действия — только с письменного разрешения владельца. Но стоит иметь в виду, что такое разрешение может быть дано под угрозой.
• Действовать только в рамках правового поля, не использовать угроз и т. п. (диктофоны и свидетелей никто не отменял).
• Также стоит помнить, что работник, особенно топ-уровня, может привлечь адвоката. Это нормально и само по себе еще не значит, что этот работник в чем-то виновен.