Группа компаний «АВИ-Центр»

Приказ Роскомнадзора № 187 от 14.11.2022
Информационная безопасность, Новости отраслей и продуктов

Новости

Приказ Роскомнадзора № 187 от 14.11.2022

Контур. Сайт ТБС (2)
Внедрение CRM
01 марта 2024
Наши партнеры, компания WAZZAP24, которая более шести лет интегрирует месседжеры в сервисы CRM, разместила полезную статью-сравнение 10 схожих сервисов: 
смета
Сметное дело
21 февраля 2024
Утверждено и опубликовано Изменение №9 к ФСНБ-2022 на сайте ФГИС ЦС.
Битрикс24 CoPilot
Новость компании
08 февраля 2024
Делимся содержанием выступления про CoPilot Bitrix24 нашего спикера, Владислава Ткачука, которое вызвало много откликов на мероприятии HR DAY.
Смета. Учебный центр. (2)
Сметное дело
05 февраля 2024
Битрикс24 CoPilot
Новость компании
05 февраля 2024
ГК "АВИ-Центр" уже третий год становилась участником главного HR события Крыма. Подобный опыт имеет множество плюсов, и мы решили поделиться с вами их списком.
HR диплом 2
Новость компании
29 января 2024
Этот момент настал! 26 января прошел форум HR BRAND CRIMEA, который собрал рекордное количество компаний участников, спикеров и гостей.
Битрикс24
25 января 2024
Присоединяйтесь к нам и узнайте, как CoPilot может помочь вам сократить время на выполнение задач и повысить вашу продуктивность.
новосмти сметного дела 3
Сметное дело
17 января 2024
С 17 января 2024 года правообладателем данного программного продукта внесены изменения в действующий прайс-лист на программное обеспечение «ГРАНД-Смета».
HR 4
Новость компании
17 января 2024
С 2019 года наша компания становится участником главного делового события Крыма для управленцев и HR.
Telegram Ib 7
29 декабря 2022

Первое, что необходимо учесть, это то, что приказ вступает в силу с 01.03.2023. А это значит, что у Вас есть время изучить матчасть и внести корректировки в процессы и внутренние организационно-распорядительные документы.

Так что же, в соответствии с Приказом необходимо делать оператору в случае неправомерной
или случайно передачи (предоставления, распространения, доступа) персональных данных
(далее – ПДн), повлекшем нарушение прав субъектов ПДн. Предусмотрено направление в РКН двух типов уведомлений: первичного и дополнительного.

Направлять их можно как на бумажном носителе, так и в форме электронного документа. Уведомление на бумажном носителе направляется по адресу РКН. Электронный вид направления уведомления подразумевает заполнение специализированной формы на Портале персональных данных РКН после прохождения идентификации и аутентификации посредством ЕСИА
и подписывается электронной подписью. Подтверждением факта направления уведомления является информационное письмо, которое направляется оператору по адресу электронной почты, указанному в первичном уведомлении и содержащее номер и ключ уведомления.
При направлении дополнительного уведомления в электронной форме через Портал оператор должен указать этот номер и ключ (пп. 5-9 Порядка).

А теперь более подробно о том, какие сведения должны содержаться в уведомлениях.

Первичное уведомление:

Сведения:

о произошедшем инциденте (дата и время выявления, характеристики ПДн, содержание скомпрометированной базы данных, количество содержащихся
в ней записей; дополнительно можно представить информацию об актуальности скомпрометированной базы данных, периоде, в течение которого собраны ПДн;

о предполагаемых причинах неправомерной или случайной передачи ПДн;

– о предполагаемом вреде, нанесенном правам субъектов ПДн;

– о принятых мерах по устранению последствий инцидента;

– о лице, уполномоченном оператором на взаимодействие с РКН по вопросам, связанным
с выявленным инцидентом.

Данные оператора, направившего уведомление:

ФИО гражданина, индивидуального предпринимателя/ полное и сокращенное наименование юридического лица;

– ИНН юридического или физического лица, ИП;

– адрес регистрации физлица или ИП/ юридического лица;

– адрес электронной почты.

  1. Иные сведения и материалы, находящиеся в распоряжении оператора,
    в том числе об источнике получения информации об инциденте, а также подтверждающие принятие мер по устранению последствий инцидента (при наличии).
  2. Если на момент направления первичного уведомления оператор располагает сведениями
    о результатах внутреннего расследования, он вправе указать
    их в первичном уведомлении.

Дополнительное уведомление должно содержать сведения:

  • о результатах внутреннего расследования выявленного инцидента – причины, повлекшие нарушение прав субъектов ПДн; вред, нанесенный правам субъектов ПДн; дополнительно принятые меры по устранению последствий инцидента (при наличии); решение оператора
    о проведении внутреннего расследования инцидента (с реквизитами);
  • о лицах, действия которых стали причиной выявленного инцидента
    (при наличии) – ФИО должностного лица оператора с указанием должности (если действия сотрудника оператора стали причиной инцидента); ФИО физического лица или ИП/полное наименование юрлица, действия которых стали причиной инцидента; IP-адрес компьютера или устройства, предполагаемое местонахождение лиц или устройств (если причиной инцидента стали действия посторонних лиц); иные сведения о выявленном инциденте.

В случае направления оператором неполных или некорректных сведений РКН не позднее 3-х рабочих дней со дня получения уведомления направляет запрос о предоставлении недостающих сведений и/или пояснений относительно некорректности представленных сведений.

Недостающие сведения/пояснение следует направить в РКН в течение 3-х рабочих дней со дня получения запроса.

NB. Напоминаем, что в соответствии с ч. 3.1. Закона 3 152-ФЗ, оператор обязан уведомить РКН:

– об инциденте (первичное уведомление) в течение 24-х часов с момента выявления инцидента оператором;

– о результатах внутреннего расследования – в течение 72-х часов.

В случае, если по истечении 72 часов дополнительное уведомление в РКН не поступило, оператору направляется требование представить сведения о результатах внутреннего расследования. Ответ на это требование необходимо направить в течение 1 (одного) рабочего дня со дня получения.

Если РКН самостоятельно выявлен факт неправомерного распространения скомпрометированной базы данных, содержание которой указывает на ее принадлежность конкретному оператору, такому оператору направляется требование о представлении уведомления об инциденте. Такое уведомления направляется в предусмотренные ч. 3.1. ст. 21 Закона № 152-ФЗ сроки. В случае не подтверждения оператором факта неправомерной или случайной передачи ПДн, к уведомлению прикладывается акт о проведенном внутреннем расследовании с обоснованием.

В случае, если выявленная РКН скомпрометированная база данных полностью совпадает со скомпрометированной ранее базой данных, оператором направляется уведомление, предусмотренное ч. 3.1. ст. 21 Закона № 152-ФЗ. Также в этом случае необходимо указать дату и номер направленного ранее уведомления (по старому инциденту).