Компания внедрила новейшие механизмы защиты и направила ресурсы на укрепление защиты данных. Однако злоумышленники нашли брешь и взломали систему. Или другая ситуация — по вине нового сотрудника непреднамеренно произошла утечка персональных данных клиентов. Как быть в такой ситуации? Нужно ли вообще сообщать о факте утечки? Давайте разбираться.
Однозначно, обе ситуации требуют оповещения государственных контролирующих органов.
1. В случае обнаружения утечки данных, необходимо уведомить Роскомнадзор в течение суток с момента ее выявления. Для этого можно воспользоваться сайтом РКН и оставить заявку в соответствующем разделе под названием «Инциденты (утечки ПД)».
Здесь нужно будет указать вероятные причины утечки данных. Если оператор не обеспечивает необходимый уровень защищенности информации, ему грозит штраф за неправомерные действия с этими данными.
Однако когда оператор защищал персональные данные, но этого оказалось недостаточно, то он не будет считаться нарушителем. В уведомлении можно указать причины, которые не поддавались контролю.
2. При условии, что системы оператора подверглись кибератаке и данные были украдены, следует также оставить уведомление не только в РКН, но и в ГосСОПКА.
Оператором этой системы является структура при ФСБ — Национальный координационный центр по компьютерным инцидентам (НКЦКИ). В течение 24 часов после получения сведений о разглашении персональных данных, НКЦКИ подтвердит получение информации и назначит идентификатор для компьютерного инцидента.
3. Далее необходимо провести внутреннее расследование на предмет выявления причин, повлекших за собой утечку персональных данных. Они могут иметь случайный или намеренный характер. Утечку данных можно выявить с помощью отчетов DLP-системы, бесед с персоналом или просмотра камер слежения.
В течение 72 часов на сайте РКН необходимо поделиться результатами аудита и списком виновных лиц.
Сталкивались ли Вы когда-либо с утечкой персональных данных?
ГК Финрул