Прокуратура напоминает, что при обнаружении факта неправомерной передачи (утечки) персональных данных оператор обязан незамедлительно уведомить об этом уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) в течение 24 часов с момента выявления такого инцидента. Данное требование закреплено в статье 21.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Уведомление должно содержать информацию о факте неправомерной передачи данных, о количестве субъектов, чьи данные были скомпрометированы, о причинах утечки и принятых мерах по устранению последствий. Кроме того, оператор обязан уведомить субъектов персональных данных о факте утечки в течение 72 часов с момента обнаружения инцидента, за исключением случаев, когда уведомление не требуется в соответствии с законом (например, если приняты достаточные меры по защите данных).
Прокуратура информирует, что за нарушение установленного порядка уведомления предусмотрена административная ответственность по статье 13.11 КоАП РФ. В частности, за несообщение или несвоевременное сообщение об утечке персональных данных штраф для юридических лиц составляет до 500 тысяч рублей, для должностных лиц — до 100 тысяч рублей, для граждан — до 20 тысяч рублей. При этом если утечка повлекла тяжкие последствия или была допущена с использованием служебного положения, могут применяться меры уголовной ответственности по статье 183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну). Прокуратура также рекомендует операторам разработать внутренние регламенты реагирования на инциденты информационной безопасности, включая порядок выявления утечек, их расследования и уведомления уполномоченных органов и субъектов данных.