В цифровую эпоху каждая единица личной информации о человеке имеет вполне осязаемое материальное воплощение. На сегодняшний день в мире известно немало случаев, которые привели к утечке персональных данных. Нередко распространение конфиденциальной информации происходит по неосторожности или умыслу сотрудников организаций. Ущерб от таких действий исчисляется не только финансовыми потерями компаний, но и их репутационными рисками. Кроме того, персональные данные в руках злоумышленников – это еще и угроза безопасности личности.
Утечка персональных данных подразумевает под собой незаконное попадание какой-либо личной информации в открытый доступ или в руки других людей, что, в свою очередь, может вызывать целый ряд негативных последствий.
Статьей 16 Закона ”О защите персональных данных“ на операторов возложена обязанность уведомлять Национальный центр защиты персональных данных о нарушениях систем защиты персональных данных.
Примерами нарушений систем защиты персональных данных являются:
- пренебрежение внутренними регламентами при работе с конфиденциальной информацией (К примеру, нарушение порядка доступа к персональным данным, в том числе влекущее ознакомление с персональными данными лиц, которые не имеют на это прав);
- технический сбой в информационной системе, в том числе в результате внешнего воздействия, повлекший за собой потерю персональных данных, их целостности или достоверности;
- утрата внешних носителей, содержащих персональные данные (USB-флешки, внешние HDD, SSD, другие носители).
Принимая во внимание, что такие нарушения могут привести к значительным последствиям для прав и свобод граждан, а также потребовать принятия оперативных мер для их устранения, уведомление необходимо отправить незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о нарушениях.
Вместе с тем, существует ряд исключений, когда уведомлять Национальный центр защиты персональных данных о нарушениях систем защиты персональных данных не нужно. Согласно приказу директора Национального центра защиты персональных данных от 15 ноября 2021 г. № 13 ”Об уведомлении о нарушениях систем защиты персональных данных“ уведомление не направляется, если нарушение систем защиты не привело к:
- незаконному распространению, предоставлению персональных данных;
- изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним.
Порядок подачи уведомления о нарушениях систем защиты в Национальный центр защиты персональных данных подробно изложен в специальном разделе на нашем сайте.
Своевременное реагирование и принятие необходимых мер по устранению имеющихся нарушений систем защиты персональных данных помогут предотвратить иные неблагоприятные последствия.