Судебный юрист

Что делать, если персональные данные работников неправомерно переданы

Если передача данных привела к нарушению прав работников, вы обязаны в течение 24 часов с момента ее выявления уведомить Роскомнадзор (п. 1 ч. 3.1 ст. 21 Закона о персональных данных):

  • об инциденте и его предполагаемых причинах;
  • возможном вреде, причиненном правам работников;
  • принятых мерах по устранению последствий инцидента;
  • лице, которое вы уполномочили взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

По выявленному факту вы обязаны провести внутреннее расследование. О его результатах нужно уведомить Роскомнадзор в течение 72 часов с момента обнаружения передачи данных. Кроме того, надо предоставить сведения о лицах, из-за которых произошел инцидент (если такие есть) (п. 2 ч. 3.1 ст. 21 Закона о персональных данных).

Порядок и условия взаимодействия Роскомнадзора с операторами в рамках ведения реестра учета инцидентов в области персональных данных утверждены Приказом Роскомнадзора от 14.11.2022 N 187. Документом, в частности, установлены требования к содержанию первичного и дополнительного уведомлений (п. п. 2 – 3 указанного Порядка).

Отдельные операторы, например субъекты критической информационной инфраструктуры, обязаны направлять информацию о компьютерных инцидентах, руководствуясь п. 2 Порядка взаимодействия, утвержденного Приказом ФСБ России от 13.02.2023 N 77. Такие операторы вправе обратиться в НКЦКИ за содействием в реагировании на выявленный компьютерный инцидент (п. 5 названного Порядка).

Посмотрите еще темы