РБК Компании
РБК Компании
Телеканал
Pro
Инвестиции
Мероприятия
Отрасли
Недвижимость
Autonews
Спорт
РБК Компании
РБК Вино
РБК Life
Тренды
Визионеры
Национальные проекты
Город
Стиль
Крипто
РБК+
Дискуссионный клуб
Исследования
Кредитные рейтинги
Франшизы
Газета
Спецпроекты СПб
Конференции СПб
Спецпроекты
Проверка контрагентов
ESG-индекс
Политика
Экономика
Бизнес
Технологии и медиа
Финансы
Экономика образования
Здоровье
Коллегия адвокатов «Плесовских и партнеры» 7 августа 2024

Утечка данных: как ее предотвратить и что делать, если она произошла

Рассказываем, какие меры профилактики позволяют избежать утечки персональных данных и объясняем, что надо делать, если негативный сценарий все же случился

Дарья Плесовских
Советник Московской коллегии адвокатов «Плесовских и партнеры»

Специалист в области трудового права и воинского учета. Имеет многолетний опыт урегулирования внутренних трудовых конфликтов, разработки локальных нормативных правовых актов с учетом специфики бизнеса.

Профилактические меры

Самая лучшая защита — заранее ввести в компании комплаенс-механизмы, которые не позволят случиться утечке персональных данных (ПД) или, хотя бы, снизят риски того, что такое происшествие произойдет.

Для этого нужно сначала определить цели работы с данными и оформить это в специальные положения на обработку ПД. Далее определяем перечень контрагентов, с которых необходимо получить согласие на обработку подобных сведений и четко следуем этому руководству. Кроме того, положения об обработке и защите ПД придется указать в трудовых договорах и соглашениях с контрагентами.

Не менее важно назначить ответственных за обработку ПД и ознакомить их под роспись с приказом о возложении на них этих полномочий.

Еще постарайтесь обязательно убедиться в том, что каждый человек в вашей базе данных подтвердил и одобрил: он знает, какие сведения и для чего вы собираете, храните и обрабатываете. 

Информацию по обработке ПД надо не забыть отправить в Роскомнадзор, если обрабатываемые сведения меняются — госорган придется об этом уведомлять. 

Нужно следовать и более простым мерам профилактики:

  • Установить антивирус и другие технические средства защиты от причинения вреда ПД и их возможных утечек.
  • Обязать работников использовать в работе сложные логины и пороли, провести инструктаж о защите паролей от передачи их третьим лицам.
  • Соблюдать сроки хранения ПД, нельзя хранить ПД бессрочно.
  • Своевременно уничтожать ПД после достижения целей их обработки.

Что делать, если утечка случилась

Вы как оператор должны в течение суток сообщить в Роскомнадзор о случившемся. Госоргану нужно рассказать о предполагаемых причинах ЧП, его последствиях и принятых вами мерах по их устранению.

Далее надо инициировать внутреннее расследование в компании, чтобы выяснить причины утечки и определить обстоятельства инцидента. О его результатах в течение 72 часов тоже придется сообщить в Роскомнадзор. В отчете нужно будет указать данные лиц, из-за которых все произошло.

Что еще необходимо сделать при утечке данных? Уведомить субъекта ПД о произошедшем, так как по закону он вправе получать информацию, касающуюся его данных. Уведомления можно направить на бумаге или электронным документом.

P.S. Согласно п. 5 ст. 6 Федерального закона № 152-ФЗ, если оператор поручает обработку персональных данных другому лицу, то отвечать все равно придется оператору.