В России введут реестр инцидентов операторов персональных данных

Роскомнадзор разместил для общественного обсуждения проект приказа, который определяет правила работы операторов персональных данных при их неправомерной или случайной передаче (для обозначения такой ситуации используется слово "инцидент").

Напомним, что 1 марта 2023 года будет запущен реестр инцидентов в области персональных данных, куда будут стекаться сведения обо всех подобных нарушениях (статья 23 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" дополнена новыми пунктами 10 и 11). Все операторы персональных данных будут обязаны пополнять этот реестр по установленным правилам.

При возникновении утечки персональных данных операторы должны будут предоставить два документа: первичное уведомление (информация об инциденте) и дополнительное уведомление (информация о результатах внутреннего расследования). В первом документе содержатся такие сведения, как:

  • дата и время выявления инцидента;
  • содержание скомпрометированной базы данных, количество содержащихся в ней записей, ее актуальность;
  • период, в течение которого собраны персональные данные;
  • возможные причины инцидента;
  • предполагаемый вред субъектам персональных данных;
  • принятые меры по устранению последствий инцидента.

Дополнительное уведомление должно давать итоговую информацию о причинах случившегося, виновных (при их наличии), дополнительно принятых мерах и т. д.

Роскомнадзор сможет сам затребовать от оператора уведомления, если станет известно о неправомерном распространении той или иной базы данных. Оператор должен будет представить первичное уведомление в течение 24 часов, а дополнительное – в течение 72 часов.

Проект приказа Роскомнадзора "Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных" 

Читайте также: Закон принят: 18 млн рублей - такой максимальный штраф теперь грозит за утечку персональных данных


Несомненно, данные нововведения, прежде всего, каснутся  владельцев мест размещения, но персональные данные собирают и туроператоры и на транспорте при перевозках, была также инициатива по переходу на систему электронного бронирования билетов в музеи по паспорту и другим документам, удостоверяющим личность.

В этой связи эксперты в сфере безопасности предупреждают, что персональные данные, полученные от клиента должны обрабатываться с использованием всех необходимых организационно-технических мер по обеспечению безопасности во избежание любых изменений, утраты, незаконного использования и несанкционированного доступа.  Утеря персональных данных таит в себе реальные риски, и угрозы - человек может лишиться денежных средств, имущества или быть втянутым в различного рода негативные истории. Да, собственно, просто не попасть на рейс, вследствие чего может сорваться, например, значимая финансовая сделка. И недооценивать данные риски не стоит.

Наш канал Telegram посвящен вопросам безопасности туризма. Это агрегатор новостей, позиций, мнений, комментариев и руководящих документов!  Подписывайтесь и будьте всегда в курсе всех новых событий отрасли!
Перейти на канал и подписаться >


Фото pixabay.com