Если в компании произошла утечка персональных данных, важно не только локализовать инцидент, но и вовремя уведомить Роскомнадзор. Ошибка в сроках или порядке сообщения может привести к дополнительным рискам и штрафам.
Когда нужно уведомлять РКН
Уведомление подается, если выявлен инцидент, связанный с неправомерной передачей, доступом, уничтожением, изменением, блокированием, копированием или распространением персональных данных.
Речь идет не только о «взломе». Основанием может стать и:
- ошибка сотрудника при отправке данных
- открытый доступ к базе
- утрата носителя с персональными данными
- компрометация учетных записей
- действия подрядчика, повлекшие утечку
Порядок уведомления
Оператор персональных данных должен действовать поэтапно:
Шаг 1. Зафиксировать инцидент
Нужно определить, что произошло, какие системы затронуты, есть ли признаки утечки и какие данные могли быть скомпрометированы.Шаг 2. Направить первичное уведомление в РКН
Оно подается в течение 24 часов с момента выявления инцидента.
В уведомлении обычно указывают:- сведения об операторе
- описание инцидента
- предполагаемые причины
- категории затронутых данных
- принятые меры реагирования
Шаг 3. Провести внутреннее расследование
Компания выясняет масштаб, источник, последствия и причины утечки, а также оценивает ущерб и уязвимости.Шаг 4. Направить дополнительное уведомление
Оно подается в течение 72 часов с момента выявления инцидента.
В нем отражают:- результаты внутреннего расследования
- уточненные данные о причинах и последствиях
- сведения о лицах, действия которых стали причиной инцидента, если это установлено
- меры по устранению последствий
Что важно учесть ⚠️
- Отсчет идет не с момента реальной утечки, а с момента ее выявления
- Лучше фиксировать время обнаружения документально: актом, служебной запиской, записью в журнале ИБ
- Первичное уведомление можно подать даже при неполной информации — уточнения направляются позже
- Уведомление РКН не заменяет техническое расследование и меры по защите инфраструктуры
Практический минимум для компании 🛡️
Чтобы не терять время при инциденте, заранее подготовьте:
- регламент реагирования на утечки
- шаблон уведомления в РКН
- список ответственных лиц
- журнал регистрации инцидентов
- порядок взаимодействия ИБ, юристов и руководства
Итог
Ключевые сроки простые: 24 часа на первичное уведомление и 72 часа на уточняющее. Чем быстрее компания фиксирует инцидент и запускает процесс уведомления, тем ниже правовые и репутационные риски. ⏱️
Подборку полезных каналов про IT, безопасность и практику работы с данными — стоит посмотреть ниже.