Обязательно ли иметь план действий при утечке ПДн?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, план действий при утечке персональных данных обязателен для каждой организации, обрабатывающей ПДн. Его наличие подтверждает выполнение оператором требований ФЗ-152 по предотвращению и устранению последствий инцидентов. Отсутствие такого документа трактуется как отсутствие организационных мер защиты и является основанием для штрафов со стороны Роскомнадзора.

Что включает план действий при утечке:

- порядок фиксации инцидента (кто и как сообщает об утечке);
- классификацию утечек (потеря бумажных носителей, компрометация электронной базы, несанкционированная рассылка и пр.);
- последовательность действий сотрудников и ответственного за ПДн;
- меры по ограничению ущерба (отключение доступа, блокировка системы, отзыв рассылки);
- порядок уведомления Роскомнадзора и субъектов ПДн (если права граждан нарушены);
- сроки восстановления систем и обновления документов безопасности.

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан принимать меры, направленные на предотвращение и выявление нарушений законодательства о ПДн.
• Ст. 19 ФЗ-152 — в числе мер защиты названы выявление неправомерного доступа и принятие мер по реагированию.
• Приказ ФСТЭК № 21 от 18.02.2013 — обязывает операторов документировать меры реагирования на инциденты безопасности.
• Ст. 13.11 КоАП РФ — нарушение требований защиты ПДн, включая отсутствие реагирования на утечки, влечёт административную ответственность.

Позиция и практика Роскомнадзора

Роскомнадзор прямо указывает, что у организаций должны быть разработаны планы реагирования на инциденты с ПДн. В ходе проверок этот документ входит в число запрашиваемых. Например, в одной компании произошла рассылка клиентской базы по ошибочному адресу, но порядок действий не был прописан — РКН зафиксировал нарушение. В другой организации план был утверждён приказом и сотрудники знали, что делать — проверка не выявила нарушений.

Что важно учитывать

• План должен быть закреплён приказом руководителя.
• В документе следует прописать ответственного за реагирование на инциденты.
• Обязательно включить порядок уведомления Роскомнадзора, если произошла серьёзная утечка.
• План нужно пересматривать и актуализировать при изменениях в процессах или технологиях.
• Ведение журнала инцидентов и актов расследования также должно быть предусмотрено.

Рекомендации и выводы

Да, план действий при утечке ПДн обязателен и проверяется Роскомнадзором. Без него компания не сможет доказать готовность к реагированию и рискует штрафами. Чтобы соответствовать закону:

1. Разработайте и утвердите план приказом.
2. Назначьте ответственного за регистрацию и устранение утечек.
3. Опишите алгоритм действий для всех сотрудников.
4. Внедрите систему журналов и актов по инцидентам.

Компания ICTech подготовит для вашей организации план действий при утечке ПДн и встроит его в комплект документов по ФЗ-152. Это позволит пройти проверку без нарушений и реально защитить бизнес от последствий утечек.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге