Дорогие читатели и уважаемые коллеги!
В современном мире где правит бал цифровизация вопрос защиты персональных данных является приоритетным, а в случае их утечки - встает ребром.
Ни для кого уже не секрет, а для многих головная боль, случаи слива персональных данных в интернет, звонки мошенников, а для компаний - существенный ущерб репутации в случае таких неблаговидных действий даже среди собственных сотрудников.
Юридические лица, являясь априори операторами обработки персональных данных как своих работников, так и клиентов, иных физических лиц, которые предоставили им свое согласие на обработку своих данных, несут существенную ответственность за сохранность персональных данных, однако никто не защищен от их несанкционированной утечке. Как быть в этом случае, читайте в данной статье.
Что является утечкой персональных данных?
Если персональные данные стали по какой-либо причине доступны любому третьему лицу по любому несанкционированному основанию, даже если попали к нему по нелепой случайности, либо если такая утечка повлекла нарушение прав человека, чьи персональные данные оказались раскрыты.
Возникает вопрос: что же делать в такой неприятной ситуации?
На этот случай законодателем разработан простой и понятный механизм действий, которые необходимо предпринять для минимизации негативных последствий.
Не буду перегружать Вас нормативно-правовой базой (но для справки, данный вопрос находится в поле действия Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных", Приказа Роскомнадзора от 14 ноября 2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных»), приведу сам алгоритм действий:
- в течение 24 часов с момента обнаружения факта (в том числе предположительного) утечки персональных данных уведомить Роскомнадзор, можно письменно путем направления письма по почте либо электронно с использованием данного сервиса
- если случай утечки произошел в компании, то необходимо в тот же срок инициировать внутреннее расследование, общий срок которого трое суток. Необходимо создать рабочую группу, в которую будут входить лица, ответственные за утечку персональных данных в компании, а также юрист, специалист по кадрам. Результаты внутреннего расследования оформляются в виде акта, подписанного всеми участвующими в ней лицами и руководителем организации. Предоставить документы о результатах внутреннего расследования в Роскомнадзор необходимо в течение 72 часов с момента его начала.
- уведомить Роскомнадзор необходимо даже в случае если об утечке персональных данных Вы узнали уже из СМИ или других источников! Это необходимо условие для реабилитации
Ряд важных нюансов, которые необходимо учесть при обнаружении факта утечки персональных данных
- Срок для уведомления Роскомнадзора (напоминаю, 24 часа) начинает течь с того момента когда о данной утечке узнал оператор обработки персональных данных либо любое третье лицо.
- Отсрочки для уведомления Роскомнадзора закон не предоставляет! А вот меры ответственности в данном случае с большей долей вероятности наступят.
- Крайне рекомендуется в компании оформить локальный нормативный акт, например Регламент, регулирующий порядок действий работников в случае утечки персональных данных, наличие данного документа в компании наравне с осуществлением действий в установленном им порядке в случае фактической утечки данных существенно увеличит шансы на выигрыш дела в суде, в том числе по репутационным искам и компенсации вреда пострадавшим субъектам, чьи персональные данные оказались под угрозой.
Не могу не напомнить про негативные последствия утечки персональных данных:
В соответствии со ст. 19.7 КоАП РФ за неуведомление уполномоченного органа об утечке персональных данных влечет наложение административного штрафа для юридических лиц до 5.000 рублей, однако готовятся поправки в данной части, которые буду предусматривать штраф за утечку персональных данных (а не только за неуведомление об этом) - до 3 процентов от годового оборота компании, в связи с чем к вопросу о защите персональных данных необходимо серьезно отнестись уже сегодня!