С 1 марта 2023 года вступил в силу Порядок и условия взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения Реестра учета инцидентов в области персональных данных (утв. приказом Роскомнадзора от 14.11.2022 № 187).
Итак, Роскомнадзор ведет Реестр учета инцидентов в области персональных данных. Операторы ПДн должны сами направлять уведомления в Роскомнадзор о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекших нарушение прав субъектов ПДн. Такое уведомление должно содержать:
- информацию о произошедшем инциденте (первичное уведомление);
- информацию о результатах внутреннего расследования выявленного инцидента (дополнительное уведомление).
Уведомление может направляться:
- в бумажном виде по адресу Роскомнадзора или
- в электронном виде посредством заполнения специализированной формы на Портале персональных данных Роскомнадзора в сети Интернет.
В ответ Роскомнадзор направляет оператору ПДн по указанному им в уведомлении адресу электронной почты информационное письмо со сведениями о полученном им уведомлении: дата и время передачи, номер и ключ. При направлении дополнительного уведомления посредством Портала оператор должен будет указывать эти номер и ключ.
Роскомнадзор может запросить по электронной почте предоставить недостающие сведения и (или) пояснения по инциденту, на что оператору отводится 3 рабочих дня со дня получения запроса.
Если по истечении сроков дополнительное уведомление в адрес Роскомнадзора не поступило, то оператору направляется требование о необходимости представить сведения о результатах внутреннего расследования выявленного инцидента. Ответ на такое требование должен быть направлен оператором в течение 1 рабочего дня со дня его получения.
Роскомнадзор может и сам выявить факт неправомерного распространения скомпрометированной базы данных, содержание которой указывает на ее принадлежность к конкретному оператору. Такому оператору Роскомнадзор направляет требование о необходимости представить уведомление. Если оператор не подтверждает факт данного нарушения со своей стороны, то он должен направить в Роскомнадзор:
- уведомление, предусмотренное ч. 3.1 ст. 21 Федерального закона «О персональных данных»;
- приложив к нему акт о проведении внутреннего расследования, подтверждающий отсутствие факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшего нарушение прав субъектов персональных данных.
Если выявляются новые сведения в отношении ранее скомпрометированной базы данных с ПДн, то при их направлении в Роскомнадзор следует указывать дату и номер ранее направленного уведомления.
Наталья Храмцовская,
к.и.н., ведущий эксперт по управлению документацией
компании «ЭОС», эксперт ИСО, член Международного совета архивов
