Закон обязывает всех операторов персональных данных уведомлять Роскомнадзор о фактах утечки персональных данных. Под утечкой понимается неправомерная или случайная передача (предоставление, распространение, доступ) персональных данных, повлекшая нарушение прав субъектов персональных данных (ч. 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ , далее – Закон № 152-ФЗ). Порядок направления уведомления утвержден приказом Роскомнадзора от 14.11.2022 № 187.
Рассмотрим процедуру подачи такого уведомления.
Срок направления уведомления
Направить в Роскомнадзор необходимо (п. 1, 2 ч. 3.1. ст. 21 Закона № 152-ФЗ):
- первичное уведомление о произошедшем инциденте (в течение 24 часов);
- о результатах внутреннего расследования выявленного инцидента (дополнительное уведомление) (в течение 72 часов).
Содержание уведомления
В первичном уведомлении указываются сведения:
- о произошедшем инциденте (дата и время его выявления, характеристики персональных данных, которые стали доступны третьим лицам, количество записей в базе данных, которая была скомпрометирована). Дополнительно можно сообщить об актуальности этой базы данных, а также о периоде, в течение которого были собраны персональные данные;
- предполагаемых причинах, которые привели к нарушению прав субъектов персональных данных;
- предполагаемом вреде, нанесенном правам субъектов персональных данных;
- принятых мерах по устранению последствий инцидента;
- лице, уполномоченном оператором персональных данных на взаимодействие с Роскомнадзором;
- иные сведения и материалы, в т. ч. сведения об источнике получения информации об инциденте, а также о принятии мер по устранению последствий инцидента (при наличии таких сведений).
Кроме того, в первичном уведомлении приводятся данные направившего его оператора:
- Ф. И. О. гражданина или ИП;
- полное и сокращенное наименование организации;
- ИНН организации, ИП или физического лица;
- адрес регистрации по месту жительства (пребывания) физического лица или ИП;
- адрес организации в пределах ее места нахождения;
- адрес электронной почты (при наличии) для направления информации (рекомендуется указывать этот адрес, поскольку в дальнейшем Роскомнадзор может направлять на него важную информацию).
Если на момент направления первичного уведомления оператор располагает сведениями о результатах внутреннего расследования выявленного инцидента, он вправе указать такие сведения в первичном уведомлении.
В дополнительном уведомлении указываются сведения:
- о результатах внутреннего расследования выявленного инцидента (о причинах, повлекших нарушение прав субъектов персональных данных, и нанесенном им вреде, о дополнительно принятых мерах по устранению последствий инцидента (при наличии), а также о решении оператора о проведении внутреннего расследования с указанием его реквизитов);
- лицах, действия которых стали причиной инцидента (Ф. И. О. физического лица или ИП, наименование юридического лица, IP-адрес компьютера или устройства, предполагаемое местонахождение таких лиц и устройств, иные сведения).
Способы направления уведомления
Уведомление об утечке персональных данных в федеральный орган Роскомнадзора можно направить на бумажном носителе или в форме электронного документа.
Сформировать уведомление для последующей отправки в Роскомнадзор на бумажном носителе можно на основе электронных форм на сайте Роскомнадзора или с помощью "конструктора документов" сервиса 152DOC для 1С, который можно приобрести через партнеров "1С". Направлять его следует по адресу Роскомнадзора: 109992, г. Москва, Китайгородский пр., д.7, стр.2.
Уведомление в электронном виде направляется:
- путем заполнения формы на портале Роскомнадзора (после прохождения идентификации и аутентификации через ЕСИА) и ее подписания усиленной квалифицированной электронной подписью;
- через портал Госуслуг. Для этого необходима подтвержденная учетная запись. Если уведомление подается от имени организации, учетная запись должна быть привязана к этой организации на Госуслугах.
Уточнение сведений, указанных в уведомлении
Получив первичное уведомление, Роскомнадзор направляет на указанный в нем адрес электронной почты информационное письмо, в котором называет дату и время получения уведомления, а также его ключ и номер. Номер и ключ первичного уведомления нужно указать при подаче дополнительного уведомления.
Если в представленном уведомлении Роскомнадзор обнаружит неполные или некорректные сведения, в течение трех рабочих дней он направит по адресу электронной почты из первичного уведомления запрос о предоставлении недостающих сведений или пояснений. Предоставить такие сведения или пояснения нужно в течение трех рабочих дней со дня получения запроса от Роскомнадзора.
Если оператор не предоставил дополнительное уведомление в установленные сроки, Роскомнадзор вправе истребовать сведения о результатах внутреннего расследования выявленного инцидента. Ответ на такое требование нужно представить в течение одного рабочего дня со дня его получения.
В том случае, если Роскомнадзор самостоятельно выявит факт утечки базы персональных данных, содержание которой указывает на ее принадлежность к конкретному оператору, такому оператору направляется требование о необходимости предоставить первичное или дополнительное уведомления. Предоставить их нужно в обычные сроки (24 часа для первичного уведомления, 72 часа – для дополнительного).
Если оператор, получив требование Роскомнадзора, выяснит, что скомпрометированная база персональных данных ему не принадлежит, он направляет в Роскомнадзор дополнительное уведомление, к которому прикладывает акт о проведенном внутреннем расследовании, подтверждающий отсутствие факта неправомерной передачи или распространения персональных данных.
Если оператор выяснит, что сведения об утечке базы данных ранее уже направлялись в Роскомнадзор, он направляет в ведомство уведомление, в котором указывает дату и номер ранее направленного уведомления.
Ответственность за неподачу уведомления
Штраф за непредставление уведомления об утечке персональных данных составляет (ч. 11 ст. 13.11 КоАП РФ):
- для граждан сумму в размере от 50 000 до 100 000 руб.;
- для должностных лиц и ИП – от 400 000 до 800 000 руб.;
- для организаций – от 1 до 3 млн руб.
Административная ответственность применяется также и за сам факт утечки персональных данных.
Подробнее о мерах ответственности за нарушения, связанные с обработкой персональных данных, читайте здесь.