Что делать, если в вашей организации произошла неправомерная или случайная передача персональных данных, повлекшая нарушение прав граждан? Вы как оператор персональных данных должны подать два уведомления в Роскомнадзор:
- Первичное — в течение 24 часов. Направьте основные сведения об инциденте.
- Дополнительное — в течение 72 часов. Укажите результаты внутреннего расследования оператора.
Подать уведомление можно через электронную форму: https://pd.rkn.gov.ru/incidents/
Дополнительное уведомление нужно направлять в любом случае. Даже если результаты расследования уже были направлены в первичном уведомлении.
За непредставление или представление неполной или недостоверной информации предусмотрена административная ответственность (ст. 19.7 КоАП РФ).
Типовые ошибки, которые совершают операторы при подаче уведомления:
- Уполномоченное должностное лицо подает уведомление об утечке с использованием личного профиля на Госуслугах, а не от организации. При этом в уведомлении отсутствует наименование организации.
- При подаче уведомления оператор сообщает о том, что получен доступ к персональным данным пользователей сайта. Но при этом не указывает название сайта и ссылку.
- Оператор не указывает объем или количество скомпрометированных данных.
Обратите внимание, если инцидент произошел со стороны подрядной организации, действующей по поручению оператора, направить уведомление должен сам оператор.