Роскомнадзор утвердил порядок и условия взаимодействия с операторами персональных данных при возникновении инцидентов, связанных с конфиденциальностью, в частности, при их утечке и попадании в открытый доступ или к третьим лицам. Документ вступит в силу с 01.03.2023.

Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее – Закон № 152-ФЗ) обязывает операторов персональных данных уведомлять Роскомнадзор о случаях неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов таких данных. В частности, необходимо сообщать в ведомство (ч. 3.1 ст. 21 Закона № 152-ФЗ):

• в течение 24 часов – о произошедшем инциденте (первичное уведомление),
• в течение 72 часов – о результатах внутреннего расследования инцидента (дополнительное уведомление).

В первичном уведомлении указываются сведения:

• о произошедшем инциденте (дата и время его выявления, характеристики персональных данных, которые стали доступны третьим лицам, количество записей в базе данных, которая была скомпрометирована). Дополнительно можно сообщить об актуальности этой базы данных, а также о периоде, в течение которого были собраны персональные данные;
• о предполагаемых причинах, которые привели к нарушению прав субъектов персональных данных;
• о предполагаемом вреде, нанесенном правам субъектов персональных данных;
• о принятых мерах по устранению последствий инцидента;
• о лице, уполномоченном оператором персональных данных на взаимодействие с Роскомнадзором;
• иные сведения и материалы, в том числе об источнике получения информации об инциденте, а также подтверждающие принятие мер по устранению последствий инцидента (при наличии таких сведений).

Кроме того, в уведомлении приводятся данные направившего его оператора:

• Ф. И. О. гражданина или ИП;
• полное и сокращенное наименование организации;
• ИНН организации, ИП или физического лица;
• адрес регистрации по месту жительства (пребывания) физического лица или ИП;
• адрес организации в пределах его места нахождения;
• адрес электронной почты (при наличии) для направления информации (рекомендуется указывать этот адрес, поскольку в дальнейшем Роскомнадзор может направлять на него важную информацию).

Если на момент направления первичного уведомления оператор располагает сведениями о результатах внутреннего расследования выявленного инцидента, он вправе указать такие сведения в первичном уведомлении.

В дополнительном уведомлении указываются сведения:

• о результатах внутреннего расследования выявленного инцидента (о причинах, повлекших нарушение прав субъектов персональных данных и нанесенном им вреде, о дополнительно принятых мерах по устранению последствий инцидента (при наличии), а также о решении оператора о проведении внутреннего расследования с указанием его реквизитов);
• о лицах, действия которых стали причиной инцидента (Ф. И. О. физического лица или ИП, наименование юридического лица, IP-адрес компьютера или устройства, предполагаемое местонахождение таких лиц и устройств, иные сведения).

Уведомления можно направить на бумажном носителе или в форме электронного документа:

• уведомление на бумаге направляется по адресу места нахождения Роскомнадзора;
• уведомление в электронном виде направляется путем заполнения формы на портале персональных данных Роскомнадзора (после прохождения идентификации и аутентификации через ЕСИА) и подписывается электронной подписью.

Получив первичное уведомление оператора, Роскомнадзор направляет на указанный в уведомлении адрес электронной почты информационное письмо, в котором называет дату и время передачи уведомления, а также его ключ и номер. Номер и ключ первичного уведомления нужно указать при подаче дополнительного уведомления.

Если в представленном уведомлении Роскомнадзор обнаружит неполные или некорректные сведения, в течение трех рабочих дней он направит по адресу электронной почты из первичного уведомления запрос о предоставлении недостающих сведений или пояснений. Предоставить такие сведения или пояснения нужно в течение трех рабочих дней со дня получения запроса от Роскомнадзора.

Если оператор не предоставил дополнительное уведомление в установленные сроки, Роскомнадзор вправе потребовать сведения о результатах внутреннего расследования выявленного инцидента. Ответ на такое требование нужно представить в течение одного рабочего дня со дня его получения.

В случае если Роскомнадзор самостоятельно выявит факт утечки базы персональных данных, содержание которой указывает на ее принадлежность к конкретному оператору, такому оператору направляется требование о необходимости предоставить первичное или дополнительные уведомления. Предоставить их нужно в обычные сроки (24 часа для первичного уведомления, 72 часа – для дополнительного).

Если оператор, получив требование Роскомнадзора, выяснит, что скомпрометированная база персональных данных ему не принадлежит, он направляет в Роскомнадзор дополнительное уведомление, к которому прикладывает акт о проведенном внутреннем расследовании, подтверждающий отсутствие факта неправомерной передачи или распространения персональных данных.

Если оператор выяснит, что сведения об утечке базы данных ранее уже направлялись в Роскомнадзор, он направляет в ведомство уведомление, в котором указывает дату и номер ранее направленного уведомления.

Ответственность за утечку персональных данных (обработку без согласия субъектов персональных данных) установлена ч. 2 ст. 13.11 КоАП РФ, предусматривающей штраф:

• на граждан – от 6 000 до 10 000 рублей;
• на должностных лиц и ИП – от 20 000 до 40 000 рублей;
• на организации – от 30 000 до 150 000 рублей.

Повторное нарушение влечет наказание в виде штрафа (ч. 2.1 ст. 13.11 КоАП РФ):

• на граждан – от 10 000 до 20 000 рублей;
• на должностных лиц – от 40 000 до 100 000 рублей;
• на предпринимателей – от 100 000 до 300 000 рублей;
• на организации – от 300 000 до 500 000 рублей.