Утечка персональных данных что делать
Статья подготовлена для представителей бизнеса и руководителей, ответственных за обработку ПДн, а также для граждан, столкнувшихся с инцидентом защиты информации. В материале раскрыты правовые последствия утечки, алгоритмы реагирования и обязанности по уведомлению регулятора согласно актуальному законодательству РФ.
1. Признаки инцидента
Под утечкой понимается несанкционированное уничтожение, изменение, блокирование или копирование персональных данных (ПДн), доступ к которым получил субъект без законных оснований либо неограниченный круг лиц. Для работодателя признаком считается получение доступа к сведениям о зарплате, отпускных и стаже сотрудников третьими лицами.
В случае технической утечки фиксируется нарушение конфиденциальности при соблюдении целостности информации. Если произошла кража серверов или флешек с носителями — речь идёт о физической утрате контроля над ПДн (ст. 13.11 КоАП РФ). Согласно ч. 6 ст. 13 ФЗ-152, оператор обязан немедленно принять меры по пресечению неправомерного доступа к ПДн и уведомить Роскомнадзор в течение суток с момента обнаружения инцидента.
2. Уведомление регулятора
По закону, при выявлении утечки оператор должен направить в Роскомнадзор уведомление о факте инцидента (ст. 13.1 ФЗ-152). В уведомлении указываются дата и время обнаружения, категория ПДн, перечень нарушенных мер защиты и предполагаемые последствия.
На практике срок для направления извещения — не позднее 24 часов с момента фиксации события. С 2023 года действует обновлённая форма уведомления; отсутствие сведений о характере утечки вносится как нарушение (ч. 1 ст. 19.7 КоАП РФ). За непредоставление информации штраф на должностных лиц составляет до 50 тыс. руб., на юрлицо — до 500 тыс. руб.
3. Обязанности работодателя при выявлении утечки ПДн
Если из состава работников стало известно о неправомерной передаче сведений, организация обязана:
- Изолировать доступ к информации (блокировка доступа, смена паролей) в течение часа с момента фиксации.
- Провести внутреннее расследование: зафиксировать действия причастных сотрудников и причины сбоя по внутренним документам.
- Уведомить Роскомнадзор — срок направления не позднее суток, форма — по актуальному бланку.
Нарушение порядка уведомлений грозит штрафом по ч. 1 ст. 19.7.2 КоАП РФ на сумму до 50 тыс. руб., а также риском доначисления административных штрафов за предыдущие нарушения (п. 2 ч. 3 ст. 23.1 КоАП).
4. Рекомендации по защите данных
Для минимизации рисков рекомендуется внедрить регламенты: разграничение доступа, ротацию паролей каждые 90 дней, регулярный аудит журналов событий ИБ и использование шифрования флешек (ст. 5 ФЗ-152). При обработке ПДн по умолчанию применяется принцип недискриминационности и минимизации сведений.
Если утечка произошла из-за отсутствия договора о неразглашении с контрагентом — обязанность по возмещению ущерба лежит на самом операторе, даже если данные ушли через подрядчика. В судебной практике взыскание убытков составляет 5–10% годового оборота по соответствующему направлению (ст. 236 ГК РФ).
5. Алгоритм для пострадавшего гражданина
При обнаружении утечки персональных данных в публичном доступе:
- Зафиксируйте скриншоты или сделайте распечатку;
- Направьте заявление оператору с требованием провести расследование и компенсировать моральный вред (согласно ст. 15 ФЗ-244);
- Направьте жалобу в Роскомнадзор через портал «Госуслуги» либо по почте, приложив копии обращения к оператору;
- Подайте иск о защите чести, достоинства и деловой репутации в суд.
Срок для обращения за компенсацией морального вреда — три года с момента, когда гражданин узнал об утрате контроля. Размер компенсации определяется судом исходя из степени физических/психологических страданий и соразмерен характеру нарушения (ст. 23 ФЗ-152).
Что важно запомнить
- Оператор должен сообщить в Роскомнадзор о утечке не позднее 24 часов с момента выявления.
- Срок уведомления — 24 часа, форма — по утверждённому образцу.
- Нарушение уведомлений карается штрафом до 500 тыс. руб. и доначислением по предыдущим нарушениям.
- При выявлении внутренней утечки работодатель обязан изолировать доступ и провести внутреннее расследование в течение нескольких часов/ночи.
- Гражданин имеет право требовать компенсацию морального вреда и возмещения убытков с оператора данных, а также жаловаться на утечку в Роскомнадзор и суд.
Регулярная актуализация регламентов ИБ и своевременное информирование регулятора — ключевые условия для снижения административной и гражданско-правовой ответственности.