Роскомнадзор осуществляет учет инцидентов с персональными данными. В связи с этим оператор персональных данных обязан сообщать о фактах самого инцидента (первичное уведомление) и о результатах внутреннего расследования выявленного инцидента (дополнительное уведомление).

Приказом уточнено, что должно содержаться в первом уведомлении и дополнительном, а также определен порядок их направления.

Операторы направляют в Роскомнадзор первичное уведомление с информацией о произошедшем инциденте в течение 24 часов. Дополнительное уведомление с результатами внутреннего расследования представляется в течение 72 часов. При пропуске этого срока Роскомнадзор направит требование о предоставлении сведений. Ответить на него надо в течение одного рабочего дня.

Приказ вступает в силу 1 марта 2023 года.

Комментарии экспертной комиссии «Акцепт Групп»:

Обязанность уведомлять об инцидентах с персональными данными (фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных) закреплена Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных». На сайте Роскомнадзора есть электронные формы уведомлений, которые можно заполнить и направить дистанционно, подписав ЭЦП.