Операторы должны уведомлять Роскомнадзор об инцидентах в области персональных данных

Роскомнадзор ведет реестр учета инцидентов в области персональных данных. Речь идет о случаях неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов. В связи с этим регламентированы порядок и условия взаимодействия с операторами в рамках ведения реестра.

Операторы направляют в Роскомнадзор первичное уведомление с информацией о произошедшем инциденте в течение 24 часов. Дополнительное уведомление с результатами внутреннего расследования представляется в течение 72 часов. При пропуске этого срока Роскомнадзор направит требование о предоставлении сведений. Ответить на него надо в течение одного рабочего дня.

Если Роскомнадзор выявит факт неправомерного распространения скомпрометированной базы данных, указывающей на ее принадлежность к конкретному оператору, направляется требование о предоставлении уведомления.

Уведомление направляется на бумаге или в электронной форме через портал персональных данных.

Приказ вступает в силу с 1 марта 2023 г.