Первое, что необходимо учесть, это то, что приказ вступает в силу с 01.03.2023. А это значит, что у Вас есть время изучить матчасть и внести корректировки в процессы и внутренние организационно-распорядительные документы.

Так что же, в соответствии с Приказом необходимо делать оператору в случае неправомерной
или случайно передачи (предоставления, распространения, доступа) персональных данных
(далее – ПДн), повлекшем нарушение прав субъектов ПДн. Предусмотрено направление в РКН двух типов уведомлений: первичного и дополнительного.

Направлять их можно как на бумажном носителе, так и в форме электронного документа. Уведомление на бумажном носителе направляется по адресу РКН. Электронный вид направления уведомления подразумевает заполнение специализированной формы на Портале персональных данных РКН после прохождения идентификации и аутентификации посредством ЕСИА
и подписывается электронной подписью. Подтверждением факта направления уведомления является информационное письмо, которое направляется оператору по адресу электронной почты, указанному в первичном уведомлении и содержащее номер и ключ уведомления.
При направлении дополнительного уведомления в электронной форме через Портал оператор должен указать этот номер и ключ (пп. 5-9 Порядка).

А теперь более подробно о том, какие сведения должны содержаться в уведомлениях.

Первичное уведомление:

Сведения:

о произошедшем инциденте (дата и время выявления, характеристики ПДн, содержание скомпрометированной базы данных, количество содержащихся
в ней записей; дополнительно можно представить информацию об актуальности скомпрометированной базы данных, периоде, в течение которого собраны ПДн;

о предполагаемых причинах неправомерной или случайной передачи ПДн;

– о предполагаемом вреде, нанесенном правам субъектов ПДн;

– о принятых мерах по устранению последствий инцидента;

– о лице, уполномоченном оператором на взаимодействие с РКН по вопросам, связанным
с выявленным инцидентом.

Данные оператора, направившего уведомление:

ФИО гражданина, индивидуального предпринимателя/ полное и сокращенное наименование юридического лица;

– ИНН юридического или физического лица, ИП;

– адрес регистрации физлица или ИП/ юридического лица;

– адрес электронной почты.

1. Иные сведения и материалы, находящиеся в распоряжении оператора,
   в том числе об источнике получения информации об инциденте, а также подтверждающие принятие мер по устранению последствий инцидента (при наличии).
2. Если на момент направления первичного уведомления оператор располагает сведениями
   о результатах внутреннего расследования, он вправе указать
   их в первичном уведомлении.

Дополнительное уведомление должно содержать сведения:

• о результатах внутреннего расследования выявленного инцидента – причины, повлекшие нарушение прав субъектов ПДн; вред, нанесенный правам субъектов ПДн; дополнительно принятые меры по устранению последствий инцидента (при наличии); решение оператора
  о проведении внутреннего расследования инцидента (с реквизитами);
• о лицах, действия которых стали причиной выявленного инцидента
  (при наличии) – ФИО должностного лица оператора с указанием должности (если действия сотрудника оператора стали причиной инцидента); ФИО физического лица или ИП/полное наименование юрлица, действия которых стали причиной инцидента; IP-адрес компьютера или устройства, предполагаемое местонахождение лиц или устройств (если причиной инцидента стали действия посторонних лиц); иные сведения о выявленном инциденте.

В случае направления оператором неполных или некорректных сведений РКН не позднее 3-х рабочих дней со дня получения уведомления направляет запрос о предоставлении недостающих сведений и/или пояснений относительно некорректности представленных сведений.

Недостающие сведения/пояснение следует направить в РКН в течение 3-х рабочих дней со дня получения запроса.

NB. Напоминаем, что в соответствии с ч. 3.1. Закона 3 152-ФЗ, оператор обязан уведомить РКН:

– об инциденте (первичное уведомление) в течение 24-х часов с момента выявления инцидента оператором;

– о результатах внутреннего расследования – в течение 72-х часов.

В случае, если по истечении 72 часов дополнительное уведомление в РКН не поступило, оператору направляется требование представить сведения о результатах внутреннего расследования. Ответ на это требование необходимо направить в течение 1 (одного) рабочего дня со дня получения.

Если РКН самостоятельно выявлен факт неправомерного распространения скомпрометированной базы данных, содержание которой указывает на ее принадлежность конкретному оператору, такому оператору направляется требование о представлении уведомления об инциденте. Такое уведомления направляется в предусмотренные ч. 3.1. ст. 21 Закона № 152-ФЗ сроки. В случае не подтверждения оператором факта неправомерной или случайной передачи ПДн, к уведомлению прикладывается акт о проведенном внутреннем расследовании с обоснованием.

В случае, если выявленная РКН скомпрометированная база данных полностью совпадает со скомпрометированной ранее базой данных, оператором направляется уведомление, предусмотренное ч. 3.1. ст. 21 Закона № 152-ФЗ. Также в этом случае необходимо указать дату и номер направленного ранее уведомления (по старому инциденту).