Что делать, если в вашей организации произошла неправомерная или случайная передача персональных данных, повлекшая нарушение прав граждан? Вы как оператор персональных данных должны подать два уведомления в Роскомнадзор:
👉 Первичное — в течение 24 часов. Направьте основные сведения об инциденте. 👉 Дополнительное — в течение 72 часов. Укажите результаты внутреннего расследования оператора.
💡 Дополнительное уведомление нужно направлять в любом случае. Даже если результаты расследования уже были направлены в первичном уведомлении.
За непредставление или представление неполной или недостоверной информации предусмотрена административная ответственность (ст. 19.7 КоАП РФ).
Типовые ошибки, которые совершают операторы при подаче уведомления:
✖️ Уполномоченное должностное лицо подает уведомление об утечке с использованием личного профиля на Госуслугах, а не от организации. При этом в уведомлении отсутствует наименование организации. ✖️ При подаче уведомления оператор сообщает о том, что получен доступ к персональным данным пользователей сайта. Но при этом не указывает название сайта и ссылку. ✖️ Оператор не указывает объем или количество скомпрометированных данных.
❗️ Обратите внимание, если инцидент произошел со стороны подрядной организации, действующей по поручению оператора, направить уведомление должен сам оператор.