В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, которая повлекла нарушение прав субъектов персональных данных, оператор обязан уведомить об этом Роскомнадзор (ч. 3.1 ст. 21 Закона № 152-ФЗ):
в течение 24 часов:
о произошедшем инциденте;
предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных;
принятых мерах по устранению последствий соответствующего инцидента.
Также нужно предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором по вопросам, связанным с выявленным инцидентом;
в течение 72 часов:
о результатах внутреннего расследования выявленного инцидента.
Также нужно предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).