На вашем сайте произошла утечка персональных данных: объясняем, как превентивно снизить ответственность

Если идти на поводу у страха, можно прямо сегодня закрыть свой бизнес: до конца рабочего дня времени еще достаточно – что-то сделать успеете.

Всем страшно, что персональные данные клиентов утекут в неизвестном направлении: с одной стороны, и людям не хочется лишних проблем и сложностей создавать, с другой – еще и платить штраф придется. Неприятно со всех сторон. Согласны.

Тем не менее это наши реалии, и если вы уже дочитали до этого момента, значит, скорее всего, передумали закрывать бизнес из-за страха утечки сведений. Одобряем!

Теперь давайте разберемся, как минимизировать риски наступления этого неприятного события и как вести себя, если все уже случилось.

Не будем читать длинных лекций на тему того, как правильно обрабатывать, хранить и передавать персональные данные клиентов: об этом было много сказано и об этом будет много сказано – просто проверьте подписку на канал. Предлагаем запомнить, что все перечисленное действительно важно, и идти дальше.

Итак, персональные данные пользователей вашего ресурса утекли или оказались украдены. Вы это поняли: отрицать и делать вид, что ничего не случилось, смысла не имеет. Как себя вести?

Отложить эмоции и переживания и понять, что сейчас ваш главный ресурс – время. Терять его никак нельзя:

В течение 24 часов после обнаружения утечки персональных данных сформировать и подать уведомление в Роскомнадзор.

Уведомление должно содержать информацию о предполагаемых причинах утечки, о предполагаемом вреде, нанесенном утечкой лицам, чьи данные обрабатываются, о принятых мерах по устранению последствий утечки, а также включать сведения о лице, уполномоченном на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом.

В течение 72 часов после обнаружения утечки персональных данных необходимо провести внутреннее расследование: приложить максимум усилий, чтобы разобраться, как и почему это могло случиться, в чем состоит недоработка, кто виноват и т.п. Провести расследование не равно погуглить, почему утечка данных произошла, и почитать подборки, наподобие «ТОП-5 причин утечек персональных данных». Нет. Придется издать соответствующий указ, собрать квалифицированную комиссию, которая будет проводить детальное расследование и буквально по ниточке восстанавливать ход событий и искать первопричину.

Завершили расследование – направляйте в Роскомнадзор уведомление о его результатах. Помните, что сделать это необходимо в рамках по-прежнему длящихся 72 часов с момента инцидента.

В сообщении для Роскомнадзора не забудьте указать, что вами были соблюдены требования по уведомлению и своевременному пресечению нарушения. Обязательно пропишите, что незамедлительно ограничили доступ к Интернет-ресурсу, из которого утекли данные, обновили версию программного обеспечения, усилили защиту административных доступов, привлекли консультантов по информационной безопасности, если вы действительно все это выполнили. Роскомнадзор примет во внимание и, скорее всего, учтет в качестве смягчающих обстоятельств – назначит не самый высокий из возможных штрафов.

Уведомления в Роскомнадзор (как первое, так и второе) можно направить через официальный сайт Роскомнадзора: главное – правильно заполнить формы. Разумеется, подача уведомлений требует времени и знания того, как грамотно вносить данные - допустить ошибки проще простого, поэтому рекомендуем детально разбираться в этом самостоятельно до того, как утечка данных произошла (потому что потом времени может на хватить) либо делегировать дело специалисту, имеющему опыт подачи таких уведомлений.

Уведомить Роскомнадзор об утечке или хищении персональных данных пользователей сайта – ваша прямая обязанность, а не жест доброй воли. Оставайтесь добросовестным, ведите бизнес в рамках действующего законодательства и старайтесь прилагать максимум усилий для того, чтобы минимизировать все возможные риски. Делать это более чем реально – нужно периодически убеждаться, что юридическая обвязка вашего онлайн-ресурса соответствует требованиям действующего законодательства.

Если вы давно (или никогда) не выполняли подобный чеп-ап своего сайта, то смело обращайтесь к нам. Проверим, чтобы все документы, связанные с персональными данными, являлись корректными, заполним пробелы и исправим нарушения.

Подпишитесь на Телеграм-канал Юристы о бизнесе, где мы с командой помогаем внедрять право в бизнес-процессы безболезненно и делать бизнес безопасным.