Согласно приказу Роскомнадзора № 187 от 14.11.2022 г. «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных», взаимодействие Роскомнадзора с операторами в случае инцидентов в области персональных данных, с целью получения информации о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, осуществляется в форме направления операторами в Роскомнадзор уведомления о таких фактах.

В связи с этим, все операторы персональных данных должны установить соответствующими внутренними нормативными документами и выполнять предписанный данным приказом порядок уведомления Роскомнадзора об инцидентах в области персональных данных.

Рассмотрим основные положения данного внутреннего нормативного документа оператора персональных данных.

Сроки уведомления Роскомнадзора об инциденте

При возникновении инцидента в области персональных данных Ответственный за организацию обработки персональных данных должен направить в Роскомнадзор соответствующие уведомления:

• в течение 24 часов: информацию о произошедшем инциденте (первичное уведомление);
• в течение 72 часов: информацию о результатах внутреннего расследования выявленного инцидента (дополнительное уведомление).

Содержащие первичного уведомления об инциденте

Первичное уведомление об инциденте в области персональных данных должно содержать следующие сведения:

• о произошедшем инциденте (дату и время выявления инцидента, характеристику персональных данных, количество содержащихся в ней записей;
• о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных (предварительные причины неправомерного распространения персональных данных, повлекшего нарушение прав субъектов персональных данных);
• о предполагаемом вреде, нанесенном правам субъектов персональных данных (результаты предварительной оценки вреда);
• о принятых мерах по устранению последствий соответствующего инцидента (перечень принятых оператором организационных и технических мер по устранению последствий инцидента);
• о лице, уполномоченном оператором на взаимодействие с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, по вопросам, связанным с выявленным инцидентом.

данные оператора, направившего уведомление:

• фамилию, имя и отчество (при наличии) гражданина, индивидуального предпринимателя;
• полное и сокращенное (при наличии) наименование юридического лица;
• идентификационный номер налогоплательщика юридического лица, индивидуального предпринимателя, физического лица;
• адрес регистрации по месту жительства (пребывания) физического лица, индивидуального предпринимателя;
• адрес юридического лица в пределах места нахождения юридического лица;
• адрес электронной почты (при наличии) для направления информации;
• иные сведения и материалы, находящиеся в распоряжении оператора, в том числе об источнике получения информации об инциденте, а также подтверждающие принятие мер по устранению последствий инцидента (при наличии).

В случае если Ответственный за организацию обработки персональных данных на момент направления первичного уведомления располагает сведениями о результатах внутреннего расследования выявленного инцидента, то он вправе указать такие сведения в первичном уведомлении.

Содержание дополнительного уведомления об инциденте

Дополнительное уведомление (о результатах внутреннего расследования выявленного инцидента) должно содержать следующие сведения:

• о результатах внутреннего расследования выявленного инцидента (информация о причинах, повлекших нарушение прав субъектов персональных данных, и вреде, нанесенном правам субъектов персональных данных, о дополнительно принятых мерах по устранению последствий соответствующего инцидента (при наличии), а также о решении оператора о проведении внутреннего расследования с указанием его реквизитов);
• о лицах, действия которых стали причиной выявленного инцидента (при наличии) (фамилия, имя, отчество (при наличии) должностного лица оператора с указанием должности (если причиной инцидента стали действия сотрудника оператора), фамилия, имя, отчество (при наличии) физического лица, индивидуального предпринимателя или полное наименование юридического лица, действия которых стали причиной выявленного инцидента, IP-адрес компьютера или устройства, предполагаемое местонахождение таких лиц и (или) устройств (если причиной инцидента стали действия посторонних лиц) и иные сведения о выявленном инциденте, имеющиеся в распоряжении оператора).

Способы направления уведомления об инциденте

Уведомление можно направить двумя способами:

1. В виде документа на бумажном носителе или в форме электронного документа по адресу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
2. Уведомление в форме электронного документа направляется посредством заполнения специализированной формы, размещенной на Портале персональных данных Роскомнадзора по адресу: pd.rkn.gov.ru, после прохождения процедуры идентификации и аутентификации.

Предоставление в Роскомнадзор недостающих сведений об инциденте

После поступления уведомления в Роскомнадзор оператору по адресу электронной почты, направляются сведения о дате и времени передачи уведомления в информационную систему Роскомнадзор, а также номер и ключ уведомления.

Если оператор направил неполные или некорректные сведения Роскомнадзор не позднее трех рабочих дней со дня получения первичного или дополнительного уведомления направляет запрос оператору о представлении недостающих сведений и пояснений относительно некорректности представленных в уведомлении сведений.

Ответственный за организацию обработки персональных данных должен в течение 3 рабочих дней со дня получения запроса, предоставить актуальную информацию.

Порядок взаимодействия с Роскомнадзором входит в состав Комплекта типовых документов для операторов персональных данных.