Роскомнадзор уточнил порядок уведомления об утечках ПДн

В последних числах декабря был опубликован приказ №187 Роскомнадзора об утверждении порядка взаимодействия операторов ПДн с регулятором при выявлении инцидентов. Требование уведомлять Роскомнадзор об утечках появилось с прошлогодним изменением законодательства, и вступит в силу 1 марта. Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT, комментирует новый приказ.

Итак, пройдёмся по требованиям приказа. Первое — документ уточняет содержание уведомлений об утечке, которые оператор должен направить в Роскомнадзор. Напомним, обновленный ФЗ-152 предусматривает два таких уведомления:

• Первичное — сообщение о самом факте утечки, которое нужно отправить в течение 24 часов после её обнаружения.

• Дополнительное — отчёт о результатах внутреннего расследования, который следует провести в течение 72 часов после инцидента.

Приказ описывает, какие сведения должны содержаться в обоих уведомлениях. Так, в первичном - нужно указать дату выявления утечки (не путать с датой самого инцидента), охарактеризовать скомпрометированные данные, перечислить предположительные причины, предварительно оценить вред правам субъектов и сообщить о принятых мерах. Кроме того, необходимо уточнить, какой сотрудник уполномочен коммуницировать с Роскомнадзором по данному инциденту — очевидно, это должен быть тот же человек, который отвечает в компании за процессы обработки и защиты ПДн.

Форма первичного уведомления достаточно простая — предлагаем вам скачать её здесь. Только не забудьте добавить свои реквизиты и проверить состав данных по п.3 приказа.

Содержание дополнительного уведомления в приказе уместилось в два пункта. Во-первых, нужно отчитаться о результатах внутреннего расследования: каковы причины инцидента, какой вред понесли субъекты ПДн, какие меры принял оператор, чтобы устранить последствия. 

Во-вторых, необходимо подробно описать, по чьей вине произошла утечка. Здесь регулятору требуется довольно большой набор данных — от ФИО виновника до IP-адреса компьютера, который использовал виновник (работник или внешний злоумышленник).

Эту форму также можно скачать здесь.

Описанный порядок можно практически в оригинальном виде внести в инструкцию для ответственного сотрудника по работе с ПДн.

«Хочется отметить, что приказ №187 касается не только операторов ПДн, — подчеркивает Роман Писарев. — В тексте прописаны действия всех участников, включая и регулятора. Предусмотрены самые разные ситуации, например, что делать, если утечку обнаружил сам регулятор или если оператор не предоставляет уведомления в срок. Такое внимание к деталям говорит о том, что процессы глубоко проработаны, а значит, компаниям будет проще взаимодействовать с Роскомнадзором».