Утечка персональных данных: что фиксировать и что делать по процедуре
Любая компания, которая работает с клиентами или сотрудниками, может столкнуться с утечкой персональных данных.
Это может быть:
— доступ к базе клиентов
— утечка из CRM
— отправка базы подрядчику
— взлом почты или сервера
— случайная рассылка данных.
Главная ошибка бизнеса — пытаться “просто замолчать” ситуацию.
По требованиям законодательства у компании должна быть процедура реагирования на утечку данных.
📌 Шаг 1. Зафиксировать инцидент
Нужно документально зафиксировать:
• дату и время обнаружения
• какие данные могли быть раскрыты
• сколько пользователей затронуто
• где произошла утечка (CRM, сайт, почта и т.д.).
Это делается через внутренний акт или журнал инцидентов.
📌 Шаг 2. Ограничить доступ к данным
Следующий шаг — остановить дальнейшую утечку.
Например:
• изменить пароли
• закрыть доступы
• отключить сервис или интеграцию
• ограничить доступ сотрудников.
📌 Шаг 3. Провести внутреннюю проверку
Нужно понять:
— как произошла утечка
— какие процессы были нарушены
— кто имел доступ к данным.
Это помогает предотвратить повторение ситуации.
📌 Шаг 4. Уведомить Роскомнадзор
В ряде случаев оператор персональных данных обязан сообщить об инциденте в Роскомнадзор.
Поэтому важно иметь подготовленную процедуру реагирования.
📌 Шаг 5. Усилить защиту данных
После инцидента обычно пересматривают:
• доступ сотрудников к данным
• порядок хранения информации
• договоры с подрядчиками
• внутренние регламенты по ПДн.
Это снижает риск повторных утечек.
⚠️ Важно понимать:
компании оценивают не только по факту утечки, но и по тому, как она реагирует на инцидент.
Если процедуры нет, это может привести к дополнительным рискам.
📌 Поэтому лучше заранее проверить, как в компании организована обработка и защита персональных данных.
👉 Аудит сайта и процессов обработки персональных данных
