Приказ № 13 (Приказ Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. №13 «Об уведомлении о нарушениях систем защиты персональных данных.»)

ПРИКАЗ НАЦИОНАЛЬНОГО ЦЕНТРА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ РЕСПУБЛИКИ БЕЛАРУСЬ

15 ноября 2021 г. № 13

Об уведомлении о нарушениях систем защиты персональных данных

На основании абзаца восьмого пункта 1 статьи 16 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» и абзаца восьмого пункта 7 Положения о Национальном центре защиты персональных данных Республики Беларусь, утвержденного Указом Президента Республики Беларусь от 28 октября 2021 г. № 422, ПРИКАЗЫВАЮ:

1. Уведомление Национального центра защиты персональных данных о нарушениях систем защиты персональных данных (далее – уведомление) направляется оператором в Национальный центр защиты персональных данных при нарушении систем защиты персональных данных, за исключением случаев, указанных в части второй настоящего пункта.

Уведомление не направляется, если нарушение систем защиты не привело к:

незаконному распространению, предоставлению персональных данных;

изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним.

2. Определить, что:

2.1. уведомление направляется оператором незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях, в письменной форме или в виде электронного документа;

2.2. уведомление излагается на белорусском или русском языке и должно содержать:

фамилию, собственное имя, отчество (если таковое имеется), адрес места жительства (места пребывания) оператора (физического лица) или полное наименование и место нахождения оператора (государственного органа, юридического лица Республики Беларусь, иной организации), а также номер телефона, адрес электронной почты (при наличии) оператора;

фамилию, собственное имя, отчество (если таковое имеется), должность лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных оператора либо наименование соответствующего структурного подразделения (в отношении государственного органа, юридического лица Республики Беларусь, иной организации), его номер телефона и адрес электронной почты (при наличии);

дату и время нарушения системы защиты персональных данных;

дату и время, когда стало известно о произошедшем нарушении системы защиты персональных данных;

описание нарушения системы защиты персональных данных;

примерное количество субъектов персональных данных, затронутых нарушением;

вероятные неблагоприятные последствия нарушения системы защиты персональных данных (потеря контроля над персональными данными, их хищение, нарушение прав и свобод субъектов персональных данных, чести, достоинства или деловой репутации, наступление убытков, разглашение охраняемой законом тайны, наступление иного существенного имущественного или иного вреда у субъектов персональных данных);

меры, принятые или предлагаемые оператором для устранения нарушения системы защиты персональных данных;

2.3. изменение или отзыв уведомления направляются по правилам, определенным в подпункте 2.1 настоящего пункта.

 

Директор

А.А.Гаев