Законом Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (абзац восьмой пункта 1 статьи 16) на оператора возложена обязанность уведомлять Национальный центр защиты персональных данных о нарушениях систем защиты персональных данных.
Принимая во внимание, что такие нарушения могут привести к значительным последствиям для прав и свобод физических лиц, а также потребовать принятия оперативных мер для их устранения – это уведомление необходимо отправить незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о нарушениях.
Важно!
Согласно части второй пункта 1 приказа директора Национального центра защиты персональных данных от 15 ноября 2021 г. № 13 ”Об уведомлении о нарушениях систем защиты персональных данных“ уведомление не направляется, если нарушение систем защиты не привело к:
- незаконному распространению, предоставлению персональных данных;
- изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним.
Уведомление направляется в письменной форме или в виде электронного документа, излагается на белорусском или русском языке и должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется), адрес места жительства (места пребывания) оператора (физического лица) или полное наименование и место нахождения оператора (государственного органа, юридического лица Республики Беларусь, иной организации), а также номер телефона, адрес электронной почты (при наличии) оператора;
- фамилию, собственное имя, отчество (если таковое имеется), должность лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных оператора либо наименование соответствующего структурного подразделения (в отношении государственного органа, юридического лица Республики Беларусь, иной организации), его номер телефона и адрес электронной почты (при наличии);
- дату и время нарушения системы защиты персональных данных;
- дату и время, когда стало известно о произошедшем нарушении системы защиты персональных данных;
- описание нарушения системы защиты персональных данных;
- примерное количество субъектов персональных данных, затронутых нарушением;
вероятные неблагоприятные последствия нарушения системы защиты персональных данных (потеря контроля над персональными данными, их хищение, нарушение прав и свобод субъектов персональных данных, чести, достоинства или деловой репутации, наступление убытков, разглашение охраняемой законом тайны, наступление иного существенного имущественного или иного вреда у субъектов персональных данных); - меры, принятые или предлагаемые оператором для устранения нарушения системы защиты персональных данных.
Изменение уведомления или его отзыв также направляется незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о нарушениях.
Уведомление, его изменение или отзыв направляются в Национальный центр защиты персональных данных:
- в письменном виде по адресу: ул. К. Цеткин, 24-3, 220004, г. Минск.
- в виде электронного документа.
Важно!
Уведомление в виде электронного документа должно быть удостоверено электронной цифровой подписью, выработанной с использованием личного ключа, сертификат открытого ключа которого издан в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь.