Действия компании при утечке персональных данных

Что предпринять, если произошла утечка

Уведомить Роскомнадзор

Это можно сделать в электронном виде на сайте https://pd.rkn.gov.ru/incidents/form/. Не нужно придумывать собственную форму, так как утвержденной формы нет. Это позволит сэкономить время на отправке уведомления по почте.

В уведомлении следует указать следующую информацию:

  • какие и чьи данные утекли;

  • из каких информационных систем произошла утечка; предполагаемые причины инцидента;

  • вред, нанесенный утечкой;

  • меры, принятые для устранения последствий;

  • указать Ф.И. О., адрес электронной почты, адрес и номер телефона контактного лица, которое будет взаимодействовать с Роскомнадзором по поводу утечки.

Провести внутреннее расследование

Его необходимо инициировать в течение первых 24 часов после обнаружения утечки. На само расследование у компании есть трое суток.

Для проведения расследования обычно создают рабочую группу сотрудников и руководителей, которые непосредственно используют утекшие данные в своей работе и несут за них ответственность.

Результаты работы рабочей группы необходимо зафиксировать в акте.

Отчитаться о результатах расследования в течение 72 часов

После того как компания уведомит Роскомнадзор об утечке персональных данных, ей также необходимо будет направить ещё одно уведомление  — о результатах проведенного внутреннего расследования. Это нужно сделать в течение 72 часов после выявления инцидента.

К уведомлению рекомендуется приложить все имеющиеся доказательства, например, копию акта или протокола о результатах расследования, а также выгрузки из информационных систем. Документы можно направить как в бумажном, так и в электронном виде.

Чтобы избежать потери времени на организацию расследования и своевременное уведомление Роскомнадзора, компании рекомендуется принять регламент, определяющий порядок действий при утечке персональных данных. Такой регламент также продемонстрирует регулятору, что компания предприняла все необходимые меры после инцидента. В регламенте следует чётко определить зоны ответственности между различными подразделениями компании.

Были ли сведения полезными?
Просмотров: 61 / Полезно: нет голосов