Что предпринять в случае «утечки» персданных по вине работника

Вопрос. В компании произошла утечка переданных по вине работника. Что предпринять в этом случае?

Рекомендация эксперта ИПК. В связи с утечкой персональных данных работников рекомендуем провести:

комиссионное расследование, чтобы установить факт неправомерной передачи (предоставления, распространения, доступа) персональных данных или его опровержения;
аудит внутренних положений относительно достаточности предпринятых мер для предотвращения незаконной передачи (предоставления, распространения, доступа) персональных данных.

Кроме того, в случае установления факта неправомерной передачи (предоставления, распространения, доступа) персданных оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (п. 3.1 ст. 21 ФЗ от 27.07.2006 N 152-ФЗ):

1. В течение 24 часов:

о произошедшем инциденте;
предполагаемых причинах, повлекших нарушение прав субъектов персональных данных;
предполагаемом вреде, нанесенном правам субъектов персональных данных;
принятых мерах по устранению последствий соответствующего инцидента.

Предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом.

2. В течение 72 часов – о результатах внутреннего расследования выявленного инцидента и предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

Рекомендуем проанализировать, нанесен ли действиями работника ущерб работодателю. В этом случае работодатель вправе обратиться в суд с иском о возмещении ущерба.