Первое, что необходимо учесть, это то, что приказ вступает в силу
с 01.03.2023. А это значит, что у Вас есть время изучить матчасть и внести корректировки в процессы и внутренние организационно-распорядительные документы.
Так что же, в соответствии с Приказом необходимо делать оператору в случае неправомерной
или случайно передачи (предоставления, распространения, доступа) персональных данных
(далее – ПДн), повлекшем нарушение прав субъектов ПДн. Предусмотрено направление в РКН двух типов уведомлений: первичного и дополнительного.
Направлять их можно как на бумажном носителе, так и в форме электронного документа. Уведомление на бумажном носителе направляется по адресу РКН. Электронный вид направления уведомления подразумевает заполнение специализированной формы на Портале персональных данных РКН после прохождения идентификации и аутентификации посредством ЕСИА
и подписывается электронной подписью. Подтверждением факта направления уведомления является информационное письмо, которое направляется оператору по адресу электронной почты, указанному в первичном уведомлении и содержащее номер и ключ уведомления.
При направлении дополнительного уведомления в электронной форме через Портал оператор должен указать этот номер и ключ (пп. 5-9 Порядка).
А теперь более подробно о том, какие сведения должны содержаться
в уведомлениях.
Первичное уведомление:
- Сведения:
— о произошедшем инциденте (дата и время выявления, характеристики ПДн, содержание скомпрометированной базы данных, количество содержащихся
в ней записей; дополнительно можно представить информацию об актуальности скомпрометированной базы данных, периоде, в течение которого собраны ПДн;
— о предполагаемых причинах неправомерной или случайной передачи ПДн;
— о предполагаемом вреде, нанесенном правам субъектов ПДн;
— о принятых мерах по устранению последствий инцидента;
— о лице, уполномоченном оператором на взаимодействие с РКН по вопросам, связанным
с выявленным инцидентом.
- Данные оператора, направившего уведомление:
— ФИО гражданина, индивидуального предпринимателя/ полное и сокращенное наименование юридического лица;
— ИНН юридического или физического лица, ИП;
— адрес регистрации физлица или ИП/ юридического лица;
— адрес электронной почты.
- Иные сведения и материалы, находящиеся в распоряжении оператора,
в том числе об источнике получения информации об инциденте, а также подтверждающие принятие мер по устранению последствий инцидента (при наличии). - Если на момент направления первичного уведомления оператор располагает сведениями
о результатах внутреннего расследования, он вправе указать
их в первичном уведомлении.
Дополнительное уведомление должно содержать сведения:
- о результатах внутреннего расследования выявленного инцидента – причины, повлекшие нарушение прав субъектов ПДн; вред, нанесенный правам субъектов ПДн; дополнительно принятые меры по устранению последствий инцидента (при наличии); решение оператора
о проведении внутреннего расследования инцидента (с реквизитами); - о лицах, действия которых стали причиной выявленного инцидента
(при наличии) – ФИО должностного лица оператора с указанием должности (если действия сотрудника оператора стали причиной инцидента); ФИО физического лица или ИП/полное наименование юрлица, действия которых стали причиной инцидента; IP-адрес компьютера или устройства, предполагаемое местонахождение лиц или устройств (если причиной инцидента стали действия посторонних лиц); иные сведения о выявленном инциденте.
В случае направления оператором неполных или некорректных сведения РКН не позднее
3-х рабочих дней со дня получения уведомления направляет запрос о предоставлении недостающих сведений и/или пояснений относительно некорректности представленных сведений.
Недостающие сведения/пояснение следует направить в РКН в течение 3-х рабочих дней со дня получения запроса.
NB. Напоминаем, что в соответствии с ч. 3.1. Закона 3 152-ФЗ, оператор обязан уведомить РКН:
— об инциденте (первичное уведомление) в течение 24-х часов с момента выявления инцидента оператором;
— о результатах внутреннего расследования – в течение 72-х часов.
В случае, если по истечении 72 часов дополнительное уведомление в РКН
не поступило, оператору направляется требование представить сведения
о результатах внутреннего расследования. Ответ на это требование необходимо направить
в течение 1 (одного) рабочего дня со дня получения.
Если РКН самостоятельно выявлен факт неправомерного распространения скомпрометированной базы данных, содержание которой указывает на ее принадлежность конкретному оператору, такому оператору направляется требование о представлении уведомления
об инциденте. Такое уведомления направляется в предусмотренные ч. 3.1. ст. 21 Закона № 152-ФЗ сроки. В случае неподтверждения оператором факта неправомерной или случайной передачи ПДн, к уведомлению прикладывается акт о проведенном внутреннем расследовании
с обоснованием.
В случае, если выявленная РКН скомпрометированная база данных полностью совпадает
со скомпрометированной ранее базой данных, оператором направляется уведомление, предусмотренное ч. 3.1. ст. 21 Закона № 152-ФЗ. Также в этом случае необходимо указать дату
и номер направленного ранее уведомления (по старому инциденту).
