Утечка данных: как ее предотвратить и что делать, если она произошла

Профилактические меры

Самая лучшая защита — заранее ввести в компании комплаенс-механизмы, которые не позволят случиться утечке персональных данных (ПД) или, хотя бы, снизят риски того, что такое происшествие произойдет.

Для этого нужно сначала определить цели работы с данными и оформить это в специальные положения на обработку ПД. Далее определяем перечень контрагентов, с которых необходимо получить согласие на обработку подобных сведений и четко следуем этому руководству. Кроме того, положения об обработке и защите ПД придется указать в трудовых договорах и соглашениях с контрагентами.

Не менее важно назначить ответственных за обработку ПД и ознакомить их под роспись с приказом о возложении на них этих полномочий.

Еще постарайтесь обязательно убедиться в том, что каждый человек в вашей базе данных подтвердил и одобрил: он знает, какие сведения и для чего вы собираете, храните и обрабатываете. 

Информацию по обработке ПД надо не забыть отправить в Роскомнадзор, если обрабатываемые сведения меняются — госорган придется об этом уведомлять. 

Нужно следовать и более простым мерам профилактики:

• Установить антивирус и другие технические средства защиты от причинения вреда ПД и их возможных утечек.
• Обязать работников использовать в работе сложные логины и пороли, провести инструктаж о защите паролей от передачи их третьим лицам.
• Соблюдать сроки хранения ПД, нельзя хранить ПД бессрочно.
• Своевременно уничтожать ПД после достижения целей их обработки.

Что делать, если утечка случилась

Вы как оператор должны в течение суток сообщить в Роскомнадзор о случившемся. Госоргану нужно рассказать о предполагаемых причинах ЧП, его последствиях и принятых вами мерах по их устранению.

Далее надо инициировать внутреннее расследование в компании, чтобы выяснить причины утечки и определить обстоятельства инцидента. О его результатах в течение 72 часов тоже придется сообщить в Роскомнадзор. В отчете нужно будет указать данные лиц, из-за которых все произошло.

Что еще необходимо сделать при утечке данных? Уведомить субъекта ПД о произошедшем, так как по закону он вправе получать информацию, касающуюся его данных. Уведомления можно направить на бумаге или электронным документом.

P.S. Согласно п. 5 ст. 6 Федерального закона № 152-ФЗ, если оператор поручает обработку персональных данных другому лицу, то отвечать все равно придется оператору.