👋 Взаимодействие с Роскомнадзором при инцидентах ПДн

Друзья, ежедневно нам приходят десятки вопросов о том, как сообщить в РКН об утечке ПДн. Размещаем подробную инструкцию в серии постов.

🔍 При возникновении инцидентов, связанных с конфиденциальностью, в частности, при утечке данных и попадании в открытый доступ или к третьим лицам, с с 01.03.2023 вступил в силу Приказ Роскомнадзора от 14.11.2022 № 187.

Ведомство необходимо уведомлять (ч. 3.1 ст. 21 Закона № 152-ФЗ):
✔️ в течение 24 часов – о произошедшем инциденте (первичное уведомление);
✔️ в течение 72 часов – о результатах внутреннего расследования инцидента (дополнительное уведомление).

1️⃣ В первичном уведомлении указываются сведения:
🔵 о произошедшем инциденте - дата и время выявления, характеристики ПДн, которые стали доступны третьим лицам, количество записей в скомпрометированной базе данных;

*дополнительно можно сообщить об актуальности базы данных, а также о периоде, в течение которого были собраны персональные данные;

🔵 о предполагаемых причинах, которые привели к нарушению прав субъектов персональных данных;

🔵 о предполагаемом вреде, нанесенном правам субъектов ПДн;

🔵 о принятых мерах по устранению последствий инцидента;

🔵 о лице, уполномоченном оператором ПДн на взаимодействие с РКН;

🔵 иные сведения и материалы, в том числе об источнике получения информации об инциденте, а также подтверждающие принятие мер по устранению последствий инцидента (при наличии).

❗️ В уведомлении приводятся данные направившего его оператора:
🟡 ФИО гражданина или ИП;
🟡 полное и сокращенное наименование организации;
🟡 ИНН организации, ИП или физлица;
🟡 адрес регистрации по месту жительства (пребывания) физлица или ИП;
🟡 адрес организации в пределах его местанахождения;
🟡 адрес электронной почты для направления информации (рекомендуется указывать этот адрес, поскольку в дальнейшем Роскомнадзор может направлять на него важную информацию).

🔽 Далее расскажем всё о дополнительном (в течение 72 часов) уведомлении.

📍 Получив первичное уведомление, РКН направляет на указанный адрес электронной почты письмо с датой и временем передачи уведомления, а также его ключ и номер.

Номер и ключ первичного уведомления нужно указать при подаче дополнительного уведомления.

2️⃣ В дополнительном уведомлении указываются сведения:

🔴 о результатах внутреннего расследования выявленного инцидента (о причинах и нанесенном вреде, о дополнительно принятых мерах по устранению последствий инцидента (при наличии), о решении оператора о проведении внутреннего расследования с указанием его реквизитов);

🔴 о лицах, действия которых стали причиной инцидента (ФИО. физлица или ИП, наименование юрлица, IP-адрес компьютера или устройства и их предполагаемое местонахождение, иные сведения).

📱 Уведомления можно направить на бумажном носителе или в форме электронного документа:
🟢 на бумаге направляется по адресу места нахождения РКН;
🟢 в электронном виде направляется путем заполнения формы на портале ПДн РКН (после прохождения идентификации и аутентификации через ЕСИА) и подписывается электронной подписью.

⚖️ Ответственность за утечку ПДн (обработку без согласия субъектов) установлена ч. 2 ст. 13.11 КоАП РФ, предусматривающей штраф:

- на граждан – от 6 000 до 10 000 рублей;
- на должностных лиц и ИП – от 20 000 до 40 000 рублей;
- на организации – от 30 000 до 150 000 рублей.

Повторное нарушение влечет наказание в виде штрафа (ч. 2.1 ст. 13.11 КоАП РФ):
- на граждан – от 10 000 до 20 000 рублей;
- на должностных лиц – от 40 000 до 100 000 рублей;
- на предпринимателей – от 100 000 до 300 000 рублей;
- на организации – от 300 000 до 500 000 рублей.

📃 5 "ЕСЛИ" Роскомнадзора

1️⃣ Если в уведомлении РКН обнаружит неполные или некорректные сведения, то в течение 3 рабочих дней направит по адресу электронной почты запрос о предоставлении недостающих сведений или пояснений. Предоставить их нужно в течение 3 рабочих дней после получения запроса.

2️⃣ Если оператор не предоставил дополнительное уведомление в установленные сроки, РКН вправе потребовать сведения о результатах внутреннего расследования выявленного инцидента. Ответ нужно предоставить в течение 1 рабочего дня после получения.

3️⃣ Если РКН самостоятельно выявит факт утечки базы ПДн, содержание которой указывает на принадлежность к конкретному оператору, ему направляется требование о предоставлении первичного или дополнительного уведомления. Предоставить их нужно в обычные сроки - 24 и 72 часа.

4️⃣ Если оператор, получив требование РКН, выяснит, что скомпрометированная база ПДн ему не принадлежит, то направляет дополнительное уведомление, к которому прикладывает акт о внутреннем расследовании, подтверждающий отсутствие факта неправомерной передачи или распространения ПДн.

5️⃣ Если оператор выяснит, что сведения об утечке базы данных ранее уже направлялись в РКН, то направляет уведомление с датой и номером ранее направленного.