Роскомнадзор разработал порядок ведения реестра инцидентов, связанных с незаконным распространением персональных данных. В частности, ведомство установило, какие документы оператор персданных должен подать в случае инцидента.
Роскомнадзор разработал и опубликовал для общественного обсуждения проект документа, регулирующего порядок действий оператора персональных данных в случае их незаконного распространения. Утечку персданных, намеренную или случайную, ведомство обозначает как «инцидент».
Напомним, с 1 марта 2023 года начинает работу единый реестр инцидентов с персданными. Все организации, собирающие личные сведения, обязуются публиковать в нем информацию о произошедших у них утечках.
Предлагаемый Роскомнадзором порядок работы с этим реестром предполагает, что организация, допустившая слив личных сведений, обязана составить и подать два документа:
- первичное уведомление о произошедшем, в котором она сообщит, в частности, когда случилось происшествие, какие базы данных оказались слитыми, за какой период они собраны, предполагаемые причины и потенциальный ущерб для владельцев этих данных, а также перечень мер, которые она намерена предпринять в связи с этим;
- второе, дополнительное уведомление, необходимо подать по результатам внутреннего расследования. В нем предстоит сообщить установленные причины утечки и перечислить ответственных лиц.
Эти уведомления организация обязана заявить в случае распространения личных данных, первое – в течение 24 часов, второе – 72 часов. Если Роскомнадзор выявит утечку, то он вправе затребовать эти документы у оператора, который сам их не подал.
По этой теме:
- согласие на обработку персональных данных: оформляем правильно;
- как стать оператором персональных данных в реестре Роскомнадзора.
