В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, которая повлекла нарушение прав субъектов персональных данных, оператор обязан уведомить об этом Роскомнадзор (ч. 3.1 ст. 21 Закона № 152-ФЗ):
- в течение 24 часов:
- о произошедшем инциденте;
- предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных;
- принятых мерах по устранению последствий соответствующего инцидента.
Также нужно предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом;
- в течение 72 часов:
- о результатах внутреннего расследования выявленного инцидента.
Также нужно предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Источник: Информационная система 1С: ИТС
