ЦЕНТР БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ

Разрабатываем документацию в соответствии с №152-ФЗ «О персональных данных»

 

Электронная почта: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Приказом Роскомнадзора от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных» утверждён порядок и условия взаимодействия с операторами персональных данных при возникновении инцидентов, связанных с конфиденциальностью, в частности, при их утечке и попадании в открытый доступ или к третьим лицам.

Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – 152-ФЗ) обязывает операторов персональных данных уведомлять Роскомнадзор о случаях неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов таких данных. В частности, необходимо сообщать в ведомство (ч. 3.1 ст. 21 Закона № 152-ФЗ):

  • в течение 24 часов – первичное уведомление о произошедшем инциденте;
  • в течение 72 часов – дополнительное уведомление о результатах внутреннего расследования инцидента.

В первичном уведомлении указываются сведения:

  • о произошедшем инциденте (дата и время его выявления, характеристики персональных данных, которые стали доступны третьим лицам, количество записей в базе данных, которая была скомпрометирована);
  • о предполагаемых причинах, которые привели к нарушению прав субъектов персональных данных;
  • о предполагаемом вреде, нанесенном правам субъектов персональных данных;
  • о принятых мерах по устранению последствий инцидента;
  • о лице, уполномоченном оператором персональных данных на взаимодействие с Роскомнадзором;
  • иные сведения и материалы, в том числе об источнике получения информации об инциденте, а также подтверждающие принятие мер по устранению последствий инцидента (при наличии таких сведений).

Кроме того, в уведомлении приводятся данные направившего его оператора:

  • Ф.И.О. гражданина или ИП;
  • полное и сокращенное наименование организации;
  • ИНН организации, ИП или физического лица;
  • адрес регистрации по месту жительства (пребывания) физического лица или ИП;
  • адрес организации в пределах его места нахождения;
  • адрес электронной почты (при наличии) для направления информации (рекомендуется указывать этот адрес, поскольку в дальнейшем Роскомнадзор может направлять на него важную информацию).

В дополнительном уведомлении указываются сведения:

  • о результатах внутреннего расследования выявленного инцидента (о причинах, повлекших нарушение прав субъектов персональных данных и нанесенном им вреде, о дополнительно принятых мерах по устранению последствий инцидента (при наличии), а также о решении оператора о проведении внутреннего расследования с указанием его реквизитов);
  • о лицах, действия которых стали причиной инцидента.

Уведомления можно направить на бумажном носителе или в форме электронного документа:

  • уведомление на бумаге направляется по адресу места нахождения Роскомнадзора;
  • уведомление в электронном виде направляется путем заполнения формы на портале персональных данных Роскомнадзора.

Получив первичное уведомление оператора, Роскомнадзор направляет на указанный в уведомлении адрес электронной почты информационное письмо, в котором называет дату и время передачи уведомления, а также его ключ и номер. Номер и ключ первичного уведомления нужно указать при подаче дополнительного уведомления.

Если в представленном уведомлении Роскомнадзор обнаружит неполные или некорректные сведения, в течение трех рабочих дней он направит по адресу электронной почты из первичного уведомления запрос о предоставлении недостающих сведений или пояснений. Предоставить такие сведения или пояснения нужно в течение трех рабочих дней со дня получения запроса от Роскомнадзора.

Если оператор не предоставил дополнительное уведомление в установленные сроки, Роскомнадзор вправе потребовать сведения о результатах внутреннего расследования выявленного инцидента. Ответ на такое требование нужно представить в течение одного рабочего дня со дня его получения.

В случае если Роскомнадзор самостоятельно выявит факт утечки базы персональных данных, содержание которой указывает на ее принадлежность к конкретному оператору, такому оператору направляется требование о необходимости предоставить первичное или дополнительные уведомления. Предоставить их нужно в обычные сроки (24 часа для первичного уведомления, 72 часа – для дополнительного).

Ответственность за утечку персональных данных (обработку без согласия субъектов персональных данных) установлена ч. 2 ст. 13.11 КоАП РФ, предусматривающей штраф:

  • на граждан – от 6 000 до 10 000 рублей;
  • на должностных лиц и ИП – от 20 000 до 40 000 рублей;
  • на организации – от 30 000 до 150 000 рублей.

Повторное нарушение влечет наказание в виде штрафа (ч. 2.1 ст. 13.11 КоАП РФ):

  • на граждан – от 10 000 до 20 000 рублей;
  • на должностных лиц – от 40 000 до 100 000 рублей;
  • на предпринимателей – от 100 000 до 300 000 рублей;
  • на организации – от 300 000 до 500 000 рублей.
   
 

Политика конфиденциальности Карта сайта

С целью персонализации сервисов, повышения удобства пользования веб-сайтом и проведения статистических исследований мы используем файлы «cookie». «Cookie» представляют собой небольшие файлы, содержащие информацию о настройках браузера. Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie, если вы не хотите использовать файлы «cookie», измените настройки браузера.

© 2012-2024, «Центр безопасности персональных данных».