Уведомление о утечке персональных данных в России

Новые правила оповещения субъектов персональных данных о случаях утечки информации начнут действовать с 26 августа 2024 года.

В соответствии с этими правилами, уведомления о нарушениях безопасности будут передаваться через личный кабинет пользователя на портале «электронного правительства» или направляться на их мобильный телефон в виде SMS-сообщений.
Однако, прежде чем это произойдет, владелец базы данных, в которой хранятся персональные данные (государственное учреждение, физическое или юридическое лицо), обязан уведомить уполномоченный орган (Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан) о любом инциденте, связанном с утратой защиты данных, приводящем к их несанкционированному распространению, изменению, уничтожению или доступу, в течение 1 (одного) рабочего дня после обнаружения проблемы.

Сообщение о нарушении может быть направлено уполномоченному органу в письменной форме, как электронный документ, или с использованием безопасных методов, соответствующих законодательству. Также важно указать в сообщении информацию о характере нарушения, количестве пострадавших, а также предпринятых мерах для устранения последствий инцидента.

После получения уведомления о нарушении безопасности, уполномоченный орган должен в течение 1 (одного) рабочего дня сообщить оператору информационно-коммуникационной инфраструктуры «электронного правительства», чтобы обеспечить уведомление заинтересованного физического лица, чьи персональные данные были затронуты. Вместе с уведомлением, рекомендуется предоставить советы по минимизации последствий утечки, например, изменение паролей к аккаунтам или мониторинг подозрительной активности.

Существующие рекомендации по защите персональных данных также будут обновлены в соответствии с новыми правилами, и каждая организация будет обязана пересмотреть свои внутренние политики и практики в области обработки данных, чтобы обеспечить соответствие новым требованиям.