Утечка данных: как ее предотвратить и что делать, если она произошла
Рассказываем, какие меры профилактики позволяют избежать утечки персональных данных и объясняем, что надо делать, если негативный сценарий все же случился
Специалист в области трудового права и воинского учета. Имеет многолетний опыт урегулирования внутренних трудовых конфликтов, разработки локальных нормативных правовых актов с учетом специфики бизнеса.
Профилактические меры
Самая лучшая защита — заранее ввести в компании комплаенс-механизмы, которые не позволят случиться утечке персональных данных (ПД) или, хотя бы, снизят риски того, что такое происшествие произойдет.
Для этого нужно сначала определить цели работы с данными и оформить это в специальные положения на обработку ПД. Далее определяем перечень контрагентов, с которых необходимо получить согласие на обработку подобных сведений и четко следуем этому руководству. Кроме того, положения об обработке и защите ПД придется указать в трудовых договорах и соглашениях с контрагентами.
Не менее важно назначить ответственных за обработку ПД и ознакомить их под роспись с приказом о возложении на них этих полномочий.
Еще постарайтесь обязательно убедиться в том, что каждый человек в вашей базе данных подтвердил и одобрил: он знает, какие сведения и для чего вы собираете, храните и обрабатываете.
Информацию по обработке ПД надо не забыть отправить в Роскомнадзор, если обрабатываемые сведения меняются — госорган придется об этом уведомлять.
Нужно следовать и более простым мерам профилактики:
- Установить антивирус и другие технические средства защиты от причинения вреда ПД и их возможных утечек.
- Обязать работников использовать в работе сложные логины и пороли, провести инструктаж о защите паролей от передачи их третьим лицам.
- Соблюдать сроки хранения ПД, нельзя хранить ПД бессрочно.
- Своевременно уничтожать ПД после достижения целей их обработки.
Что делать, если утечка случилась
Вы как оператор должны в течение суток сообщить в Роскомнадзор о случившемся. Госоргану нужно рассказать о предполагаемых причинах ЧП, его последствиях и принятых вами мерах по их устранению.
Далее надо инициировать внутреннее расследование в компании, чтобы выяснить причины утечки и определить обстоятельства инцидента. О его результатах в течение 72 часов тоже придется сообщить в Роскомнадзор. В отчете нужно будет указать данные лиц, из-за которых все произошло.
Что еще необходимо сделать при утечке данных? Уведомить субъекта ПД о произошедшем, так как по закону он вправе получать информацию, касающуюся его данных. Уведомления можно направить на бумаге или электронным документом.
P.S. Согласно п. 5 ст. 6 Федерального закона № 152-ФЗ, если оператор поручает обработку персональных данных другому лицу, то отвечать все равно придется оператору.