Штрафы за утечку персональных данных — серьезный риск для компаний, но наличие эффективного комплаенса может его снизить. Суды оценивают не только сам факт утечки, но и то, насколько организация была готова к инциденту: выстроены ли процессы, назначены ли ответственные лица, документированы ли внутренние процедуры. Это особенно важно в свете перевода дел об утечках в арбитражные суды, где внимание к корпоративным регламентам и комплаенсу повышается.
ComNews опубликовал материал о практике судов и роли комплаенса в делах об утечках. В нем Кирилл Ляхманов, советник, руководитель практики IP/IT, дал экспертный комментарий:
◾Оценка, что чуть больше 10% утечек не влекут за собой штраф, выглядит достоверно. Суд оценивает не сам факт утечки, а то, действовала ли организация добросовестно: была ли выстроена система защиты, назначены ответственные лица, работали ли внутренние процедуры. Если компания способна доказать, что предпринимала разумные меры и выполняла требования закона, суд может прийти к выводу, что оснований для штрафа нет.
◾Перевод дел об утечках данных в арбитражные суды повышает качество и предсказуемость рассмотрения. Арбитражные суды чаще оценивают корпоративные регламенты и комплаенс, поэтому способны глубже понять, насколько компания действительно внедрила режим защиты персональных данных. В то же время это повышает нагрузку на суды и требует от малого бизнеса повышать стандарты подготовки к процессу.
◾На практике решение суда зависит от того, насколько тщательно оператор уделял внимание вопросам безопасности данных. Каждый оператор должен, как минимум: – внедрить формализованную систему защиты данных: политика, ответственные лица, матрица доступов, учет носителей, процедуры реагирования; – задокументировать технические и организационные меры: шифрование, разграничение прав, регулярные проверки, аудиты; – утвердить план реагирования на инциденты и готовность уведомлять регулятора и устранять последствия; – выполнить обязательные требования об уведомлении регулятора об обработке данных.