Приказ № 187
Приказ Роскомнадзора от 14.11.2022 N 187
«Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных»
Кого касается
Оператора осуществляющего обработку персональных данных
Когда применяется
При возникновении инцидента в области персональных данных
Самое главное
Приказ устанавливает порядок и условия взаимодействия Роскомнадзора с операторами в рамках ведения реестра учета инцидентов в области персональных данных.
Сокращения и термины, используемые в НПА
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Краткое изложение
Взаимодействие Роскомнадзора с операторами в случае инцидентов в области персональных данных информации о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, осуществляется в форме направления операторами в Роскомнадзор уведомления о таких фактах.
Уведомление в Роскомнадзор должно содержать:
- информацию о произошедшем инциденте (первичное уведомление) – направить в течение 24 часов;
- о произошедшем инциденте (дату и время выявления инцидента, характеристику персональных данных, количество содержащихся в ней записей;
- о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных (предварительные причины неправомерного распространения персональных данных, повлекшего нарушение прав субъектов персональных данных);
- о предполагаемом вреде, нанесенном правам субъектов персональных данных (результаты предварительной оценки вреда);
- о принятых мерах по устранению последствий соответствующего инцидента (перечень принятых оператором организационных и технических мер по устранению последствий инцидента);
- о лице, уполномоченном оператором на взаимодействие с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, по вопросам, связанным с выявленным инцидентом.
- фамилию, имя и отчество (при наличии) гражданина, индивидуального предпринимателя;
- полное и сокращенное (при наличии) наименование юридического лица;
- идентификационный номер налогоплательщика юридического лица, индивидуального предпринимателя, физического лица;
- адрес регистрации по месту жительства (пребывания) физического лица, индивидуального предпринимателя;
- адрес юридического лица в пределах места нахождения юридического лица;
- адрес электронной почты (при наличии) для направления информации.
- информацию о результатах внутреннего расследования выявленного инцидента (дополнительное уведомление) – направить в течение 72 часов.
- о результатах внутреннего расследования выявленного инцидента (информация о причинах, повлекших нарушение прав субъектов персональных данных, и вреде, нанесенном правам субъектов персональных данных, о дополнительно принятых мерах по устранению последствий соответствующего инцидента (при наличии), а также о решении оператора о проведении внутреннего расследования с указанием его реквизитов);
- о лицах, действия которых стали причиной выявленного инцидента (при наличии) (фамилия, имя, отчество (при наличии) должностного лица оператора с указанием должности (если причиной инцидента стали действия сотрудника оператора), фамилия, имя, отчество (при наличии) физического лица, индивидуального предпринимателя или полное наименование юридического лица, действия которых стали причиной выявленного инцидента, IP-адрес компьютера или устройства, предполагаемое местонахождение таких лиц и (или) устройств (если причиной инцидента стали действия посторонних лиц) и иные сведения о выявленном инциденте, имеющиеся в распоряжении оператора).
Уведомление можно направить несколькими способами:
- В виде документа на бумажном носителе или в форме электронного документа по адресу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.
- Уведомление в форме электронного документа направляется оператором посредством заполнения специализированной формы, размещенной на Портале персональных данных Роскомнадзора pd.rkn.gov.ru, после прохождения процедуры идентификации и аутентификации.
Если оператор направил неполные или некорректные сведения Роскомнадзор не позднее трех рабочих дней со дня получения первичного или дополнительного уведомления направляет запрос оператору о представлении недостающих сведений и пояснений относительно некорректности представленных в уведомлении сведений.
Оператор персональных данных должен в течение 3 рабочих дней со дня получения запроса, предоставить актуальную информацию.