Операторы должны уведомлять Национальный центр защиты персональных данных о нарушениях систем защиты персональных данных, сообщили БЕЛТА в центре.
Примерами таких нарушений могут быть пренебрежение внутренними регламентами при работе с конфиденциальной информацией. В частности, речь идет о нарушении порядка доступа к персональным данным, в том числе когда с такими данными ознакомились люди, которые не имеют на это прав.
Сообщить в Национальный центр нужно и в том случае, когда произошел технический сбой в информационной системе, в том числе в результате внешнего воздействия, повлекший за собой потерю персональных данных, их целостность или достоверность. Утрата внешних носителей, содержащих персональные данные (USB-флешки, внешние HDD, SSD, другие носители), также требует уведомления.
Такие нарушения могут привести к значительным последствиям для прав и свобод граждан, могут понадобиться оперативные меры для их устранения. Поэтому сообщить о них необходимо незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о нарушениях.
Вместе с тем есть ряд исключений, когда уведомлять Национальный центр защиты персональных данных о нарушениях систем защиты персональных данных не нужно. Это касается тех случаев, когда произошедшее не привело к незаконному распространению, предоставлению персональных данных, изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним.
Своевременное реагирование и принятие необходимых мер по устранению имеющихся нарушений систем защиты персональных данных помогут предотвратить иные неблагоприятные последствия, резюмировали в центре.