Что считается утечкой

С правовой точки зрения утечка персональных данных — это любая ситуация, когда данные стали доступны лицам, которые не имеют права на их обработку. Это не обязательно громкий взлом базы. К утечке могут привести ошибки доступа, неправильно настроенные сервисы, фишинг сотрудника, потерянный ноутбук или флешка, неверная адресация рассылки и даже скриншот с экрана, отправленный не тому адресату.

Важно различать два смежных понятия: инцидент и утечка. Инцидент — это любое событие безопасности, которое может потенциально привести к нарушению. Утечка — это уже подтверждённое нарушение конфиденциальности данных. На практике в первые часы часто непонятно, к какому из этих сценариев относится конкретное событие — и именно от качества первоначальной фиксации зависит, насколько корректно потом будет квалифицирована ситуация.

Первые часы: что делать

Сценарий рабочего первого часа для бизнеса обычно состоит из четырёх параллельных потоков: техническая локализация, фиксация фактов, коммуникация внутри компании и правовая оценка. Ни один из них нельзя пропускать.

1. Зафиксировать факт и ограничить распространение

Первым делом — заморозить ситуацию: ограничить доступ, отключить скомпрометированные учётные записи, отозвать ключи, остановить уязвимые сервисы. Параллельно нужно зафиксировать момент обнаружения, источник сообщения, всех, кто был вовлечён, и любые технические артефакты — логи, скриншоты, копии писем.

2. Собрать рабочую группу

Минимальный состав — IT-безопасность, юрист, ответственный за работу с персональными данными, и коммуникации (PR). При значимом масштабе подключаются руководство, поддержка клиентов и внешние специалисты по форензике. Все ключевые решения должны фиксироваться: кто, когда, на основании чего принял решение, какие альтернативы рассматривались.

3. Оценить масштаб и характер данных

Юридическая квалификация инцидента зависит от того, какие категории данных затронуты — простые, специальные, биометрические, — сколько субъектов задето и были ли данные опубликованы или только потенциально доступны. От этого зависят сроки и объём уведомлений.

4. Уведомить регулятора в установленные сроки

Закон обязывает оператора уведомить уполномоченный орган об инциденте с персональными данными в установленные сроки и по утверждённой форме. Конкретные сроки и состав сведений установлены законодательством, и их нарушение само по себе может быть отдельным основанием для административной ответственности.

Чего не стоит делать в первые часы

  • удалять логи и зачищать следы инцидента в надежде, что не заметят;
  • обещать пользователям и партнёрам конкретные результаты расследования до того, как они получены;
  • делать публичные заявления о масштабе утечки до окончательной оценки;
  • отвечать журналистам и контролирующим органам по шаблонам, не согласованным с юристом;
  • откладывать уведомление регулятора в надежде сначала разобраться, потом сообщать.

Как снизить ответственность

Полностью исключить ответственность за утечку через действия после инцидента нельзя. Но на её объём заметно влияет несколько факторов, которые контролирующий орган и суд оценивают при квалификации:

  • добросовестное и своевременное уведомление регулятора и субъектов данных;
  • наличие до инцидента документально оформленных мер защиты — политик, регламентов, технических средств;
  • оперативность локализации инцидента и принятых мер по его устранению;
  • сотрудничество с регулятором и готовность предоставить запрашиваемые сведения;
  • отсутствие повторяющихся однотипных нарушений и явных признаков халатности.

Заранее подготовленный сценарий

Самая сильная позиция у бизнеса, который описал порядок действий при инциденте до того, как он произошёл. Это может быть простой внутренний регламент: кто отвечает за коммуникацию, по какому каналу собирается рабочая группа, у кого есть полномочия принимать решения о временной остановке сервиса, кто связывается с внешним юристом. Наличие такого документа и следов его применения само по себе работает как аргумент о разумной заботливости.

Хорошо работает также периодическая репетиция — разбор условной утечки в формате настольной игры или короткой тренировки. Это не юридическое требование, но именно такие репетиции показывают, кто не знает свою роль, у кого нет нужных доступов, какие контакты устарели. Лучше столкнуться с этими пробелами в учебной ситуации, чем в момент реального инцидента.

Коммуникация с пользователями

Уведомление субъектов данных о факте утечки — отдельный, чувствительный шаг. С одной стороны, прозрачность снижает претензии и показывает добросовестность оператора. С другой — преждевременное или некорректное сообщение усиливает резонанс, привлекает дополнительный интерес со стороны мошенников и может стать самостоятельным основанием для претензий, если в нём окажутся неточности.

Базовый ориентир — сообщать пользователям тогда, когда уже понятно, какие данные затронуты, какие риски возникают для конкретного человека и какие шаги пользователь может предпринять сам (сменить пароль, проверить выписку и т. п.). Сообщение готовится совместно командой коммуникаций и юристом, согласованно с позицией, заявленной регулятору.

Отдельный пласт — коммуникация с партнёрами и подрядчиками, у которых тоже могут оказаться затронутые данные. Их нужно информировать в объёме, согласованном договором, и фиксировать факт уведомления — это пригодится при последующих разбирательствах о том, кто что знал и когда. Если в цепочке участвуют операторы и обработчики, важно сразу определить, чьи действия привели к инциденту, и как это распределяет ответственность согласно договору и закону.