Фото: Роскомнадзор

Что делать, если в вашей организации произошла неправомерная или случайная передача персональных данных, повлекшая нарушение прав граждан? Вы как оператор персональных данных должны подать два уведомления в Роскомнадзор:

1. Первичное — в течение 24 часов. Направьте основные сведения об инциденте.

2. Дополнительное — в течение 72 часов. Укажите результаты внутреннего расследования оператора.

Подать уведомление можно через электронную форму: https://pd.rkn.gov.ru/incidents/

Дополнительное уведомление нужно направлять в любом случае. Даже если результаты расследования уже были направлены в первичном уведомлении.

За непредставление или представление неполной или недостоверной информации предусмотрена административная ответственность (ст. 19.7 КоАП РФ).

Типовые ошибки, которые совершают операторы при подаче уведомления:

— Уполномоченное должностное лицо подает уведомление об утечке с использованием личного профиля на Госуслугах, а не от организации. При этом в уведомлении отсутствует наименование организации.

— При подаче уведомления оператор сообщает о том, что получен доступ к персональным данным пользователей сайта. Но при этом не указывает название сайта и ссылку.

— Оператор не указывает объем или количество скомпрометированных данных.

Обратите внимание, если инцидент произошел со стороны подрядной организации, действующей по поручению оператора, направить уведомление должен сам оператор.

Источник: Роскомнадзор