Названы причины утечек персональных данных россиян

Юрист Сафиуллина: данные утекают из-за использования личных устройств для работы
«Газета.Ru»

Часто утечки персональных данных происходят из-за использования сотрудниками личных устройств для работы, передачи данных через незащищенные каналы связи и сохранения доступа к данным после увольнения работников. Об этом «Газете.Ru» рассказала бизнес-юрист, руководитель частной юридической практики, эксперт по персональным данным, интеллектуальной собственности и цифровым продуктам Нина Сафиуллина.

По ее словам, тема утечек персональных данных уже несколько лет остается одной из самых обсуждаемых: по данным Роскомнадзора, в 2025 году было зафиксировано 118 случаев компрометации баз персональных данных, в результате которых в открытый доступ попало более 52 млн записей. Кроме того, за 2025 год и первый квартал 2026 года ведомство получило более 100 тыс. жалоб граждан, связанных с обработкой персональных данных.

«При этом эксперты рынка отмечают, что реальные масштабы утечек могут быть значительно выше официальной статистики. Когда речь заходит об утечках персональных данных, многие представляют себе сложную хакерскую атаку. Однако на практике причиной инцидента нередко становятся внутренние проблемы компании: отсутствие разграничения прав доступа, использование сотрудниками личных устройств для работы, передача данных через незащищенные каналы связи, сохранение доступа к данным после увольнения работников. Чем больше людей имеют доступ к персональным данным без четких ограничений и контроля, тем выше риск утечки», — отметила Сафиуллина.

По ее словам, обычно бизнес начинает задумываться о защите персональных данных уже после инцидента, но наличие политики обработки персональных данных на сайте само по себе не защищает от утечек. Ключевое значение имеют внутренние регламенты, распределение ответственности, порядок предоставления доступа к данным и процедуры реагирования на инциденты, сказала юрист.

Она добавила, что не каждая утечка данных создает одинаковые риски для граждан — например, утечка обезличенных технических данных и утечка базы клиентов с именами, телефонами, адресами электронной почты или паспортными данными будут иметь принципиально разные последствия. Именно поэтому при расследовании инцидента значение имеет не только количество утекших записей, но и потенциальный ущерб для граждан, подчеркнула Сафиуллина. Как правило, в публичное поле попадают именно те утечки, которые способны создать существенные риски для большого количества людей, уточнила юрист.

Она рассказала, что делать бизнесу после обнаружения утечки персональных данных. Первый шаг — зафиксировать обстоятельства инцидента и ограничить дальнейшее распространение данных. Нужно определить время обнаружения утечки, категории затронутых данных, предполагаемые причины инцидента, а также незамедлительно ограничить несанкционированный доступ. Следует сохранить доказательства и провести внутреннее расследование. Журналы событий, технические логи и иные материалы потребуются для установления причин утечки, оценки ее масштаба и подтверждения принятых мер. Далее необходимо уведомить Роскомнадзор. По общему правилу информация об инциденте направляется в течение 24 часов с момента выявления признаков утечки. В течение последующих 72 часов оператор должен провести расследование и направить результаты проверки регулятору. Следует оценить риски для субъектов персональных данных и при необходимости принять меры по минимизации возможного вреда. Стоит проверить внутренние документы, процессы и меры защиты, чтобы устранить причины инцидента и снизить риск его повторения.

По словам Сафиуллиной, утечка персональных данных показывает реальное состояние системы защиты данных в компании. Если до инцидента не были выстроены внутренние процессы, распределена ответственность и ограничен доступ к информации, устранить эти недостатки после утечки уже невозможно, констатировала юрист.

Поэтому готовность к инциденту определяется не количеством документов на сайте, а тем, насколько эффективно в компании выстроены процессы обработки и защиты персональных данных, заключила юрист.

Ранее россиян предупредили об активности мошенников в день зарплаты.