Каждый работник Организации обязан незамедлительно уведомить лицо, ответственное за организацию обработки персональных данных, о ставшем ему известном готовящемся или свершившемся инциденте в отношении персональных данных (далее — ПДн) установленным в Организации способом.

Уведомление о свершившемся инциденте в отношении ПДн должно содержать следующую информацию: источник получения информации, дату и время инцидента с ПДн, информацию о категориях ПДн и информационных системах персональных данных (далее — ИСПДн), в отношении которых произошел инцидент, и иные обстоятельства, известные работнику.

Ответственное лицо незамедлительно осуществляет предварительный анализ обстоятельств, сообщенных работником на основании п. 2, и в случае, если факт инцидента подтвержден, незамедлительно:

1. информирует руководство Организации о случившемся факте;

2. инициирует проведение внутреннего расследования с обязательным привлечением заинтересованных подразделений Организации;

3. выявляет предполагаемые причины инцидента;

4. проводит оценку предполагаемого вреда, нанесенного правам субъектов ПДн.

В срок не позднее 24 часов с момента выявления инцидента ответственное лицо уведомляет Роскомнадзор о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Организацией на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом.

При получении от ответственного лица информации об инциденте руководитель Организации незамедлительно осуществляет внутреннее расследование инцидента в рамках предусмотренных процедур Организации с привлечением заинтересованных подразделений.
По результатам расследования руководитель направляет ответственному лицу информацию о результатах расследования, но не позднее 60 часов с момента выявления инцидента.

По факту получения информации ответственное лицо незамедлительно, но не позднее 72 часов с момента выявления инцидента уведомляет Роскомнадзор о результатах внутреннего расследования инцидента, а также предоставляет сведения о лицах, действия которых стали его причиной (при наличии).