Если персональные данные теряют свою конфиденциальность и это приводит к нарушению прав их владельца, компания обязана в течение 24 часов уведомить об этом Роскомнадзор и начать внутреннее расследование.

Примеры ситуаций, требующих реакции

• взлом информационных систем, в результате которого злоумышленники получили доступ к базе клиентов компании;

• неосторожность сотрудников, приведшая к попаданию копии базы данных клиентов в интернет;

• оставление сотрудником документов со сканами паспортов клиентов на рабочем столе, что позволило следующим посетителям их сфотографировать;

• случайная отправка кадровиком справки о размере заработной платы по ошибочному адресу электронной почты.

Независимо от количества людей, чьи данные были разглашены, компания обязана уведомить Роскомнадзор, если произошло нарушение прав хотя бы одного субъекта персональных данных. Это касается даже случаев, когда информация стала доступна ограниченному кругу лиц.

Однако не каждый инцидент, связанный с безопасностью персональных данных, считается утечкой. Например, если сотрудник намеренно удалил базу данных, это классифицируется как инцидент безопасности, но не требует уведомления об утечке, поскольку конфиденциальность данных не была нарушена.