Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных
УТВЕРЖДЕНЫ
приказом Федеральной службы
по надзору в сфере связи,
информационных технологий
и массовых коммуникаций
от 14 ноября 2022 года N 187
Порядок и условия взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных
1. Взаимодействие Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в целях учета в реестре учета инцидентов в области персональных данных информации о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, осуществляется в форме направления операторами в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций уведомления о таких фактах (далее - уведомление), содержащего:
_______________
Часть 3.1 статьи 21 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных". Далее - Федеральный закон "О персональных данных" (Собрание законодательства Российской Федерации, 2022, N 29, ст.5233).
информацию о произошедшем инциденте
(далее - первичное уведомление);
_______________
Пункт 1 части 3.1 статьи 21 Федерального закона "О персональных данных" (Собрание законодательства Российской Федерации, 2022, N 29, ст.5233).
информацию о результатах внутреннего расследования выявленного инцидента (далее - дополнительное уведомление)
.
_______________
Пункт 2 части 3.1 статьи 21 Федерального закона "О персональных данных" (Собрание законодательства Российской Федерации, 2022, N 29, ст.5233).
2. Первичное уведомление должно содержать:
2.1. Сведения:
_______________
Пункт 1 части 3.1 статьи 21 Федерального закона "О персональных данных".
о произошедшем инциденте (дату и время выявления инцидента, характеристику (характеристики) персональных данных (содержание базы данных, ставшей доступной неограниченному кругу лиц в результате неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных (далее - скомпрометированная база данных), количество содержащихся в ней записей. Дополнительно оператор может представить информацию об актуальности скомпрометированной базы данных, а также о периоде, в течение которого собраны персональные данные);
о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных (предварительные причины неправомерного распространения персональных данных, повлекшего нарушение прав субъектов персональных данных);
о предполагаемом вреде, нанесенном правам субъектов персональных данных (результаты предварительной оценки вреда, который может быть нанесен субъектам персональных данных, в связи с неправомерным распространением персональных данных, а также последствия такого вреда, проведенной в соответствии с пунктом 5 части 1 статьи 18.1 Федерального закона "О персональных данных"
);
_______________
Собрание законодательства Российской Федерации, 2011, N 31, ст.4701; 2022, N 29, ст.5233.
о принятых мерах по устранению последствий соответствующего инцидента (перечень принятых оператором организационных и технических мер по устранению последствий инцидента в соответствии со статьями 18.1, 19 Федерального закона "О персональных данных"
);
_______________
Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2011, N 31, ст.4701; 2022, N 29, ст.5233.
о лице, уполномоченном оператором на взаимодействие с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, по вопросам, связанным с выявленным инцидентом.
2.2. Данные оператора, направившего уведомление:
фамилию, имя и отчество (при наличии) гражданина, индивидуального предпринимателя;
полное и сокращенное (при наличии) наименование юридического лица;
идентификационный номер налогоплательщика юридического лица, индивидуального предпринимателя, физического лица;