Что считается утечкой
С правовой точки зрения утечка персональных данных — это любая ситуация, когда данные стали доступны лицам, которые не имеют права на их обработку. Это не обязательно громкий взлом базы. К утечке могут привести ошибки доступа, неправильно настроенные сервисы, фишинг сотрудника, потерянный ноутбук или флешка, неверная адресация рассылки и даже скриншот с экрана, отправленный не тому адресату.
Важно различать два смежных понятия: инцидент
и утечка
. Инцидент — это любое событие безопасности, которое может потенциально привести к нарушению. Утечка — это уже подтверждённое нарушение конфиденциальности данных. На практике в первые часы часто непонятно, к какому из этих сценариев относится конкретное событие — и именно от качества первоначальной фиксации зависит, насколько корректно потом будет квалифицирована ситуация.
Первые часы: что делать
Сценарий рабочего первого часа
для бизнеса обычно состоит из четырёх параллельных потоков: техническая локализация, фиксация фактов, коммуникация внутри компании и правовая оценка. Ни один из них нельзя пропускать.
1. Зафиксировать факт и ограничить распространение
Первым делом — заморозить ситуацию: ограничить доступ, отключить скомпрометированные учётные записи, отозвать ключи, остановить уязвимые сервисы. Параллельно нужно зафиксировать момент обнаружения, источник сообщения, всех, кто был вовлечён, и любые технические артефакты — логи, скриншоты, копии писем.
2. Собрать рабочую группу
Минимальный состав — IT-безопасность, юрист, ответственный за работу с персональными данными, и коммуникации (PR). При значимом масштабе подключаются руководство, поддержка клиентов и внешние специалисты по форензике. Все ключевые решения должны фиксироваться: кто, когда, на основании чего принял решение, какие альтернативы рассматривались.
3. Оценить масштаб и характер данных
Юридическая квалификация инцидента зависит от того, какие категории данных затронуты — простые, специальные, биометрические, — сколько субъектов задето и были ли данные опубликованы или только потенциально доступны. От этого зависят сроки и объём уведомлений.
4. Уведомить регулятора в установленные сроки
Закон обязывает оператора уведомить уполномоченный орган об инциденте с персональными данными в установленные сроки и по утверждённой форме. Конкретные сроки и состав сведений установлены законодательством, и их нарушение само по себе может быть отдельным основанием для административной ответственности.
Чего не стоит делать в первые часы
- удалять логи и
зачищать
следы инцидента в надежде, чтоне заметят
; - обещать пользователям и партнёрам конкретные результаты расследования до того, как они получены;
- делать публичные заявления о масштабе утечки до окончательной оценки;
- отвечать журналистам и контролирующим органам по шаблонам, не согласованным с юристом;
- откладывать уведомление регулятора в надежде
сначала разобраться, потом сообщать
.
Как снизить ответственность
Полностью исключить ответственность за утечку через действия после инцидента нельзя. Но на её объём заметно влияет несколько факторов, которые контролирующий орган и суд оценивают при квалификации:
- добросовестное и своевременное уведомление регулятора и субъектов данных;
- наличие до инцидента документально оформленных мер защиты — политик, регламентов, технических средств;
- оперативность локализации инцидента и принятых мер по его устранению;
- сотрудничество с регулятором и готовность предоставить запрашиваемые сведения;
- отсутствие повторяющихся однотипных нарушений и явных признаков халатности.
Заранее подготовленный сценарий
Самая сильная позиция у бизнеса, который описал порядок действий при инциденте до того, как он произошёл. Это может быть простой внутренний регламент: кто отвечает за коммуникацию, по какому каналу собирается рабочая группа, у кого есть полномочия принимать решения о временной остановке сервиса, кто связывается с внешним юристом. Наличие такого документа и следов его применения само по себе работает как аргумент о разумной заботливости.
Хорошо работает также периодическая репетиция
— разбор условной утечки в формате настольной игры или короткой тренировки. Это не юридическое требование, но именно такие репетиции показывают, кто не знает свою роль, у кого нет нужных доступов, какие контакты устарели. Лучше столкнуться с этими пробелами в учебной ситуации, чем в момент реального инцидента.
Коммуникация с пользователями
Уведомление субъектов данных о факте утечки — отдельный, чувствительный шаг. С одной стороны, прозрачность снижает претензии и показывает добросовестность оператора. С другой — преждевременное или некорректное сообщение усиливает резонанс, привлекает дополнительный интерес со стороны мошенников и может стать самостоятельным основанием для претензий, если в нём окажутся неточности.
Базовый ориентир — сообщать пользователям тогда, когда уже понятно, какие данные затронуты, какие риски возникают для конкретного человека и какие шаги пользователь может предпринять сам (сменить пароль, проверить выписку и т. п.). Сообщение готовится совместно командой коммуникаций и юристом, согласованно с позицией, заявленной регулятору.
Отдельный пласт — коммуникация с партнёрами и подрядчиками, у которых тоже могут оказаться затронутые данные. Их нужно информировать в объёме, согласованном договором, и фиксировать факт уведомления — это пригодится при последующих разбирательствах о том, кто что знал и когда. Если в цепочке участвуют операторы и обработчики, важно сразу определить, чьи действия привели к инциденту, и как это распределяет ответственность согласно договору и закону.