Уведомление Роскомнадзора об утечке персональных данных — это отдельная обязанность оператора. Ее нельзя заменить внутренней служебной запиской, письмом клиенту или последующим исправлением уязвимости. Если произошел инцидент, который повлек или мог повлечь нарушение прав субъектов персональных данных, оператор должен действовать быстро и документально.
Сложность в том, что в первые часы компания часто не знает всех деталей. Но закон устроен так, что первичное уведомление направляется быстро, а подробные сведения предоставляются после внутреннего расследования. Поэтому нужен заранее подготовленный алгоритм: кто принимает решение, кто собирает техническую информацию, кто готовит юридический текст, кто отправляет уведомление и кто взаимодействует с Роскомнадзором.
Когда уведомление обязательно
Поводом может быть неправомерная или случайная передача, предоставление, распространение или доступ к персональным данным. Это не только крупный взлом. Ошибочная отправка файла не тому адресату, открытая ссылка на документы, выгрузка базы подрядчиком, доступ бывшего сотрудника, публикация таблицы с клиентами или письмо с открытой копией адресатов тоже могут быть инцидентом.
Первичное уведомление за 24 часа
В первичном уведомлении нужно указать сведения о произошедшем инциденте, предполагаемые причины, предполагаемый вред, меры по устранению последствий и лицо, уполномоченное взаимодействовать с Роскомнадзором. На этом этапе не всегда возможно точно определить количество субъектов или окончательную причину, но важно дать добросовестную предварительную информацию и показать, что оператор начал реагирование.
Дополнительные сведения за 72 часа
После первичного уведомления проводится внутреннее расследование. По его результатам нужно предоставить дополнительные сведения: уточненные причины инцидента, последствия, объем затронутых данных, принятые меры, результаты анализа и меры по предотвращению повторения. Если к расследованию привлекается подрядчик или IT-специалист, его выводы должны быть оформлены документально.
Что подготовить для уведомления
- описание инцидента и дата его выявления;
- предварительный перечень затронутых систем;
- категории персональных данных;
- предполагаемое количество субъектов;
- меры, уже принятые оператором;
- сведения о лице для связи;
- план внутреннего расследования;
- документы, подтверждающие ограничение доступа и устранение причины.
Как не навредить себе уведомлением
Уведомление должно быть точным, но не избыточным. Не стоит указывать неподтвержденные выводы как факт. Если причина еще проверяется, лучше написать, что причина устанавливается. Если объем данных предварительный, это нужно отметить. Но нельзя скрывать уже известные обстоятельства или искусственно занижать масштаб инцидента.
Роль юриста
Юрист помогает определить, является ли событие инцидентом, какие сроки применяются, как сформулировать уведомление, какие документы собрать, как выстроить взаимодействие с IT и подрядчиками, какие меры описать и как подготовиться к возможному запросу Роскомнадзора после уведомления.
Что сделать после уведомления
После направления уведомлений работа не заканчивается. Нужно устранить уязвимость, ограничить доступ, обновить пароли, провести аудит прав пользователей, проверить договоры с подрядчиками, пересмотреть регламент реагирования на инциденты и обучить сотрудников. Если инцидент связан с подрядчиком, нужно отдельно оценить договорную ответственность и возможность предъявления требований.
Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.
"