Порядок и условия взаимодействия Роскомнадзора с операторами в рамках ведения реестра учета инцидентов в области персональных данных

Роскомнадзор приказом от 14 ноября 2022 года №187 утвердил «Порядок и условия взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных». Приказ вступил в силу с 1 марта 2023 года.

Взаимодействие Роскомнадзора с операторами в целях учета в реестре учета инцидентов в области персональных данных информации о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных (ПДн), повлекшей нарушение прав субъектов ПДн, осуществляется в форме направления операторами в Роскомнадзор уведомления, содержащего (п.1):

• Информацию о произошедшем инциденте (первичное уведомление);
  
  
• Информацию о результатах внутреннего расследования выявленного инцидента (дополнительное уведомление).

В случае, если оператор на момент направления первичного уведомления располагает сведениями о результатах внутреннего расследования выявленного инцидента, то он вправе в нём указать такие сведения (п.4).

Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа (п.5). В виде документа на бумажном носителе оно направляется по адресу Роскомнадзора (п.6). В форме электронного документа оно направляется оператором посредством заполнения специализированной формы, размещенной на Портале персональных данных Роскомнадзора в сети Интернет (Портал ПДн), после прохождения процедуры идентификации и аутентификации посредством Единой системы идентификации и аутентификации (ЕСИА) и подписывается электронной подписью (п.7)

После поступления уведомления в Роскомнадзор оператору ПДн по указанному в уведомлении адресу электронной почты направляется информационное письмо, содержащее сведения о дате и времени передачи уведомления, а также его номер и ключ (п.8). При направлении дополнительного уведомления посредством Портала оператор должен указать полученные ранее номер и ключ (п.9).

В случае направления оператором неполных или некорректных сведений Роскомнадзор по адресу электронной почты направляет запрос о представлении недостающих сведений и (или) пояснений (п.10). Недостающие сведения и (или) пояснения предоставляются оператором в течение трёх рабочих дней со дня получения запроса (п.11).

В случае, если по истечении сроков дополнительное уведомление в адрес Роскомнадзора не поступило, то оператору направляется требование о необходимости представить сведения о результатах внутреннего расследования выявленного инцидента (п.12). Ответ на требование о предоставлении сведений направляется оператором в течение одного рабочего дня со дня его получения (п.13).

В случае, если Роскомнадзором выявлен факт неправомерного распространения скомпрометированной базы данных, содержание которой указывает на её принадлежность к конкретному оператору, такому оператору направляется требование о необходимости представить уведомление (п.14).

В случае неподтверждения оператором факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов персональных данных, и (или) неустановления принадлежности оператору скомпрометированной базы данных, оператором направляется уведомление, предусмотренное частью 3.1 статьи 21 федерального закона «О персональных данных» (п.16).

В указанном случае к дополнительному уведомлению оператором прикладывается акт о проведенном внутреннем расследовании, подтверждающий отсутствие факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных в деятельности такого оператора, повлекшей нарушение прав субъектов персональных данных, и (или) неустановления принадлежности соответствующему оператору скомпрометированной базы данных, содержащей ПДн.

В случае установления оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, содержащихся в базе данных, характеристики которых полностью соответствуют ранее скомпрометированной базе данных, оператором направляется уведомление, предусмотренное частью 3.1 статьи 21 федерального закона «О персональных данных».

При направлении уведомления оператором указывается дата и номер ранее направленного уведомления, содержащего сведения о ранее скомпрометированной базе данных, содержащей ПДн.

В случае если посредством Портала поступила информация, не относящаяся к факту неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, такое уведомление не подлежит рассмотрению Роскомнадзором (п.18).

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=435840