Что необходимо предпринять в случае утечки персональных данных?

В современном мире, где правит бал цифровизация, вопрос защиты персональных данных является приоритетным, а в случае их утечки встает ребром.

Ни для кого уже не секрет, а для многих головная боль, случаи слива персональных данных в Интернет, звонки мошенников, а для компаний – существенный ущерб репутации в случае таких неблаговидных действий даже среди собственных сотрудников.

Юридические лица, являясь априори операторами обработки персональных данных как своих работников, так и клиентов, иных физических лиц, которые предоставили им свое согласие на обработку своих данных, несут существенную ответственность за сохранность персональных данных, однако никто не защищен от их несанкционированной утечке. Как быть в этом случае, читайте в данной статье.

Что является утечкой персональных данных?

Если персональные данные стали по какой-либо причине доступны любому третьему лицу по любому несанкционированному основанию, даже если попали к нему по нелепой случайности, либо если такая утечка повлекла нарушение прав человека, чьи персональные данные оказались раскрыты.

Что же делать в такой неприятной ситуации?

На этот случай законодателем разработан простой и понятный механизм действий, которые необходимо предпринять для минимизации негативных последствий.

Не буду перегружать Вас нормативно-правовой базой (но для справки, данный вопрос находится в поле действия Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных", Приказа Роскомнадзора от 14 ноября 2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных»), приведу сам алгоритм действий:

• в течение 24 часов с момента обнаружения факта (в том числе предположительного) утечки персональных данных уведомить Роскомнадзор, можно письменно путем направления письма по почте либо электронно с использованием данного сервиса;

• если случай утечки произошел в компании, то необходимо в тот же срок инициировать внутреннее расследование, общий срок которого трое суток. Необходимо создать рабочую группу, в которую будут входить лица, ответственные за утечку персональных данных в компании, а также юрист, специалист по кадрам. Результаты внутреннего расследования оформляются в виде акта, подписанного всеми участвующими в ней лицами и руководителем организации. Предоставить документы о результатах внутреннего расследования в Роскомнадзор необходимо в течение 72 часов с момента его начала;

• уведомить Роскомнадзор необходимо даже в случае если об утечке персональных данных Вы узнали уже из СМИ или других источников! Это необходимо условие для реабилитации.

Что необходимо учесть при обнаружении факта утечки персональных данных

• Срок для уведомления Роскомнадзора (напоминаю, 24 часа) начинает течь с того момента когда о данной утечке узнал оператор обработки персональных данных либо любое третье лицо.

• Отсрочки для уведомления Роскомнадзора закон не предоставляет! А вот меры ответственности в данном случае с большей долей вероятности наступят.

• Крайне рекомендуется в компании оформить локальный нормативный акт, например Регламент, регулирующий порядок действий работников в случае утечки персональных данных, наличие данного документа в компании наравне с осуществлением действий в установленном им порядке в случае фактической утечки данных существенно увеличит шансы на выигрыш дела в суде, в том числе по репутационным искам и компенсации вреда пострадавшим субъектам, чьи персональные данные оказались под угрозой.

Не могу не напомнить про негативные последствия утечки персональных данных: в соответствии со ст. 19.7 КоАП РФ за неуведомление уполномоченного органа об утечке персональных данных влечет наложение административного штрафа для юридических лиц до 5000 рублей, однако готовятся поправки в данной части, которые буду предусматривать штраф за утечку персональных данных (а не только за неуведомление об этом) – до 3% от годового оборота компании, в связи с чем к вопросу о защите персональных данных необходимо серьезно отнестись уже сегодня!