Произошла утечка персональных данных: что делать компании в первые 24 часа

Утечка персональных данных — одна из самых опасных ситуаций для бизнеса по 152-ФЗ. В первые часы важно не паниковать и не скрывать проблему, а быстро установить факты, ограничить последствия и выполнить обязанности оператора. Ошибки в первые 24 часа часто стоят дороже самой технической проблемы: компания пропускает срок уведомления, удаляет доказательства, дает противоречивые комментарии или не понимает, какие данные действительно раскрыты.

Утечкой может быть взлом базы, публикация файла с клиентами, отправка рассылки с открытым списком адресов, доступ бывшего сотрудника к CRM, ошибочная отправка документов чужому адресату, продажа базы подрядчиком, незащищенная ссылка на документы или выгрузка данных из облачного сервиса.

• зафиксировать время обнаружения инцидента;
• ограничить доступ к системе или файлу;
• сохранить логи, письма, скриншоты, технические следы;
• определить предварительный объем данных и категории субъектов;
• назначить ответственного за коммуникацию с Роскомнадзором;
• оценить, возникла ли обязанность уведомления;
• подготовить первичное уведомление в течение 24 часов, если инцидент подпадает под закон.

Закон предусматривает обязанность оператора уведомить Роскомнадзор об инциденте в течение 24 часов с момента выявления неправомерной или случайной передачи, предоставления, распространения или доступа к персональным данным, если это повлекло нарушение прав субъектов. В первичном уведомлении указываются сведения об инциденте, предполагаемых причинах, предполагаемом вреде, принятых мерах и лице для взаимодействия.

Не нужно ждать полного расследования, если уже понятно, что инцидент произошел. Для полного анализа есть следующий этап — дополнительные сведения по результатам внутреннего расследования.

Нужно установить хотя бы предварительно: какие системы затронуты, какие категории данных раскрыты, сколько субъектов может быть затронуто, есть ли специальные категории или данные детей, продолжается ли доступ, приняты ли меры блокировки, кто внутри компании отвечает за расследование. Если часть сведений еще неизвестна, это можно указать как предварительную информацию, но важно не пропустить срок.

После первичного уведомления компания должна провести внутреннее расследование и подготовить дополнительные сведения. Обычно проверяются логи доступа, учетные записи сотрудников, действия подрядчиков, настройки CRM, облачных сервисов, хостинга, почты, прав доступа и резервных копий. Важно установить причину: техническая уязвимость, человеческая ошибка, нарушение сотрудника, действия подрядчика, фишинг, неправильная настройка публичной ссылки.

Публичные сообщения должны быть аккуратными. Нельзя преждевременно утверждать, что «ничего страшного не произошло», если объем утечки еще не установлен. Но и не нужно раскрывать лишние детали, которые помогут злоумышленникам. Коммуникация должна быть согласована с юристом, IT и руководством.

• не фиксировать дату обнаружения инцидента;
• удалять логи и переписку;
• ждать полного расследования и пропустить 24 часа;
• уведомить слишком общими фразами без принятых мер;
• не проверить подрядчиков и бывших сотрудников;
• не ограничить доступ к системе;
• давать разные версии клиентам, СМИ и Роскомнадзору.

После инцидента нужно обновить документы и процессы: доступы, пароли, инструкции, договоры с подрядчиками, порядок резервного копирования, внутренний регламент реагирования и обучение сотрудников. Иначе даже устраненная утечка может показать, что у компании не было достаточных мер защиты.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.