Начало статьи ⬆️ 6. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, организация должна в течение 24 часов с момента происшествия сообщить в РКН: - об инциденте; - его предполагаемой причине и вреде, причиненном субъектам ПД; - мерах по устранению последствий инцидента; - представителе организации, который уполномочен взаимодействовать с РКН по вопросам, связанным с происшествием. В течение 72 часов с момента выявления инцидента провести внутреннее расследование и сообщить в РКН о его результатах, а также о виновниках (при наличии). Кроме того, организация обязана взаимодействовать с госсистемой обнаружения компьютерных атак (ГосСОПКА), в том числе направлять сообщения об утечке данных. Механизм взаимодействия определит ФСБ. 7. В поручении обработки ПД другому лицу нужно дополнительно отразить: - перечень ПД; - обязанность использовать для записи и хранения ПД базы данных на территории РФ; - меры, которые должен предпринять исполнитель для выполнения требований Закона о ПД; - обязанность по запросу предоставлять в течение срока действия поручения информацию о соблюдении условий обработки ПД; - обязанность уведомить о случаях компрометации обрабатываемых ПД. 8. В число требований к согласию на дачу ПД включили то, что оно должно быть предметным и однозначным. Если получение согласия обязательно, организация должна разъяснить физлицу последствия не только отказа в предоставлении ПД, но и отказа дать согласие на их обработку. Надо перепроверить свое согласие на обработку данных и сделать его более понятным. То есть, простым текстом написать какие данные обрабатываются и зачем. 9. Организация обязана в течение 10 рабочих дней с момента получения требования физлица о прекращении обработки ПД о нем, прекратить обработку ПД или обеспечить прекращение обработки (если ее ведет другое лицо). Срок можно продлить в пределах 5 рабочих дней на основании мотивированного уведомления. 10. Договор, для исполнения которого нужны ПД не может содержать положения: - ограничивающие права и свободы физлица; - устанавливающие случаи обработки ПД несовершеннолетних (если иное не предусмотрено законом); - позволяющие заключать договор при бездействии физлица. 11. Положения Закона о персональных данных распространили на иностранные компании и физлиц, которые используют данные российских физлиц (например, по договору). Если организация передала ПД иностранной организации для обработки, ответственность перед физлицом несут обе организации. @tklaw