Время от времени приходится слышать о нарушениях защиты данных, когда личные данные отправляются по электронной почте не тому получателю, которому они предназначались. Возникает вопрос: что делать в таких случаях?

Поэтапные действия, которые необходимо предпринять, если личные данные отправлены не по адресу

Прежде чем начать действовать, важно определить, подвергает ли нарушение данных высокому риску права и свободы физического лица. Общий регламент о защите данных (ОРЗД) предусматривает, что для личных данных, которые по своей сути особенно чувствительны в связи с основными правами и свободами, полагается особая защита, поскольку контекст их обработки может подвергнуть серьезному риску основные права и свободы. Например, это личные данные особых категорий, содержащие сведения о здоровье человека. В таком случае необходимо:

• обратиться к лицам, получившим эти личные данные, с просьбой удалить их и не передавать дальше;
• обратиться к субъекту данных и разъяснить произошедшее нарушение либо провести публичное информирование;
• немедленно, но не позднее 72 часов с момента, когда администратор узнал о нарушении, сообщить о нем учреждению по защите данных. Если происходит задержка, нужно указать ее причину;
• подготовить внутреннюю документацию о произошедшем нарушении данных¹.

Администратор не обязан сообщать субъекту данных о произошедшем нарушении данных, если приняты соответствующие меры предосторожности, включая шифрование личных данных и другие мероприятия, предотвращающие неразрешенный доступ².

Если нарушение данных не причинило вреда и маловероятно, что оно может подвергнуть риску права и свободы физических лиц, необходимо:

• обратиться к лицам, получившим эти личные данные, с просьбой удалить их и не передавать дальше;
• подготовить внутреннюю документацию о произошедшем нарушении данных.

При обращении к лицу, чьи данные были отправлены не по адресу, и к получившему их лицу необходимо соблюдать принцип прозрачности. Это значит, что вся информация, адресованная получателю личных данных, обществу или субъекту данных, должна быть емкой, легко доступной и понятной. При этом используемый язык должен быть ясным и простым.

Как избежать нарушений защиты данных?

Чтобы предотвратить нарушения защиты данных и их повторение, рекомендуется внедрить требования относительно защиты данных:

• подготовить стандарты рассылки писем и сообщений по электронной почте;
• обучить персонал отправлению писем и сообщений по электронной почте;
• подготовить учебные материалы и руководства о том, как действовать в случаях, вызывающих нарушение защиты личных данных, и кому о них сообщать;
• способствовать пониманию наиболее распространенных ошибок, которые могут привести к нарушениям защиты данных;
• отключить автоматическое завершение ввода электронных адресов;
• принять другие соответствующие меры, которые могут помочь защитить личные данные и предотвратить нарушения³.