Вопрос:
Нужно ли уведомлять Роскомнадзор о выявлении случая утечки персональных данных?
Ответ:
Да. Если вы, Роскомнадзор или другое заинтересованное лицо выявите неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, которая повлекла нарушение прав субъектов персональных данных, вы обязаны в течение 24 часов с момента выявления уведомить Роскомнадзор (п. 1 ч. 3.1 ст. 21 Закона о персональных данных):
- о произошедшем инциденте и его предполагаемых причинах;
- предполагаемом вреде, нанесенном правам субъектов персональных данных;
- принятых мерах по устранению последствий;
- лице, которое вы уполномочили взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.
Кроме того, в течение 72 часов с момента выявления инцидента вы должны сообщить в Роскомнадзор о результатах внутреннего расследования инцидента, а также предоставить сведения о лицах, действия которых стали его причиной (при их наличии) (п. 2 ч. 3.1 ст. 21 Закона о персональных данных).
Электронные формы уведомлений об утечке персональных данных размещены на сайте Роскомнадзора (Информация Роскомнадзора).
Ответ подготовил эксперт «Альвенты» с использованием системы КонсультантПлюс. Информация актуальна на 21.12.2022.
Полезные документы:
- Готовое решение: Каковы обязанности оператора персональных данных (КонсультантПлюс, 2022) {КонсультантПлюс};
- часть 3.1 ст. 21, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 14.07.2022) "О персональных данных" {КонсультантПлюс};
- <Информация> Роскомнадзора "На сайте Роскомнадзора доступны формы для подачи уведомлений от операторов персональных данных" {КонсультантПлюс}.
Подобрать комплект КонсультантПлюс вы можете на нашем сайте.