Кто отвечает за утечку персональных данных в компании — ИТ-специалист или руководитель?
Каждый год СМИ сообщают о новых утечках персональных данных: в открытый доступ попадают базы клиентов банков, медицинских учреждений, образовательных учреждений, операторов связи и др. Для компаний это — не только миллионы рублей штрафов, но и подорванное доверие клиентов, а значит — прямые убытки.
Масштабы утечек
Возникает закономерный вопрос: кто отвечает за такие инциденты — ИТ-специалист или руководитель?
Что говорит закон
По закону персональные данные — особая категория информации, и ответственность за их защиту несёт организация в целом. Это закреплено и в российском 152-ФЗ «О персональных данных», и в международной практике (GDPR).
На деле штрафы и санкции применяются к компании и её руководству, даже если ошибку допустил конкретный сотрудник.
Роль ИТ-специалистов
ИТ-специалисты отвечают за техническую сторону безопасности: настраивают системы, обновляют ПО, контролируют доступ и реагируют на инциденты. Но они не принимают решений о бюджете и стратегическом подходе к защите данных.
Иными словами, ИТ-специалист отвечает за качество исполнения, но не за выбор направления и уровень инвестиций.
Роль руководителей
Руководители отвечают за организацию процессов: выделение ресурсов, утверждение правил и обучение сотрудников. Если компания экономит на безопасности или игнорирует требования закона, вина ложится именно на менеджмент.
Если отсутствуют правила работы с данными, сотрудники не обучены основам кибербезопасности, а защита строится «по остаточному принципу», то даже самые талантливые ИТ-специалисты не смогут гарантировать защиту.
Кто виноват на самом деле?
На практике нельзя выделить одного виновного. Это командная работа:
Как наладить работу команды для предотвращения ошибок
Главный способ снизить риски утечек — наладить эффективное взаимодействие между руководством и ИТ-специалистами. Несколько ключевых шагов:
Решение от МАСО
Обучение по информационной безопасности в МАСО — это практические знания, официальные документы и доступная цена. Наши программы соответствуют требованиям ФСТЭК, аккредитованы и вносятся в ФИС ФРДО.
В МАСО доступно 10 программ по информационной безопасности, и мы поможем выбрать именно ту, которая подходит под задачи вашей компании. Оставьте заявку на сайте и менеджер свяжется с вами для уточнения деталей.
Масштабы утечек
- В 2024 году Роскомнадзор зафиксировал 135 утечек, в результате которых в сеть попало более 710 миллионов записей о россиянах. ТадвизорРоссийская газета
- Лидеры по количеству утечек — торговля и сфера услуг, включая медицинские учреждения и образовательные организации. HabrРоскомсвободаАСН
- Авторы небанковских отчетов, например Сбербанк, подтверждают: основными источниками утечек являются интернет-магазины и медицинские учреждения, а не банки. РБК
- В январе–феврале 2025 года — зафиксировано 19 утечек, из которых в открытый доступ попало более 24 миллионов записей. ЭкспертРБК
Возникает закономерный вопрос: кто отвечает за такие инциденты — ИТ-специалист или руководитель?
Что говорит закон
По закону персональные данные — особая категория информации, и ответственность за их защиту несёт организация в целом. Это закреплено и в российском 152-ФЗ «О персональных данных», и в международной практике (GDPR).
На деле штрафы и санкции применяются к компании и её руководству, даже если ошибку допустил конкретный сотрудник.
Роль ИТ-специалистов
ИТ-специалисты отвечают за техническую сторону безопасности: настраивают системы, обновляют ПО, контролируют доступ и реагируют на инциденты. Но они не принимают решений о бюджете и стратегическом подходе к защите данных.
Иными словами, ИТ-специалист отвечает за качество исполнения, но не за выбор направления и уровень инвестиций.
Роль руководителей
Руководители отвечают за организацию процессов: выделение ресурсов, утверждение правил и обучение сотрудников. Если компания экономит на безопасности или игнорирует требования закона, вина ложится именно на менеджмент.
Если отсутствуют правила работы с данными, сотрудники не обучены основам кибербезопасности, а защита строится «по остаточному принципу», то даже самые талантливые ИТ-специалисты не смогут гарантировать защиту.
Кто виноват на самом деле?
На практике нельзя выделить одного виновного. Это командная работа:
- юридически и стратегически ответственность несёт руководитель,
- операционно — ИТ-специалисты, отвечающие за конкретные решения и процессы.
Как наладить работу команды для предотвращения ошибок
Главный способ снизить риски утечек — наладить эффективное взаимодействие между руководством и ИТ-специалистами. Несколько ключевых шагов:
- Прозрачное распределение ролей. Руководители понимают свою юридическую и организационную ответственность, а специалисты — техническую.
- Регулярная коммуникация. Совместные встречи и отчёты помогают менеджерам вовремя узнавать о рисках, а ИТ-отделу — получать ресурсы.
- Общие правила для всех. Политика безопасности должна быть понятной каждому сотруднику компании.
- Культура обучения. Руководители повышают цифровую грамотность, а специалисты — профессиональную экспертизу.
Решение от МАСО
Обучение по информационной безопасности в МАСО — это практические знания, официальные документы и доступная цена. Наши программы соответствуют требованиям ФСТЭК, аккредитованы и вносятся в ФИС ФРДО.
В МАСО доступно 10 программ по информационной безопасности, и мы поможем выбрать именно ту, которая подходит под задачи вашей компании. Оставьте заявку на сайте и менеджер свяжется с вами для уточнения деталей.