Приказом Заместителя Премьер-Министра — Министра искусственного интеллекта и цифрового развития от 30 апреля 2026 года №232/НК внесены изменения в Правила осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных. Правила изложены в новой редакции.
Согласно Правилам, уведомление (оповещение) о нарушении безопасности персональных данных направляется уполномоченному органу письменно или в форме электронного документа либо способом с применением элементов защитных действий. В течение одного рабочего дня с момента обнаружения нарушения безопасности персональных данных собственник или оператор уведомляют уполномоченный орган о данном нарушении с указанием следующей информации:
контактные данные лица, ответственного за организацию обработки персональных данных (при наличии);
меры, предпринятые для устранения нарушения;
персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество, индивидуальный идентификационный номер и абонентский номер сотовой связи.
Центр обеспечения кибербезопасности, служба реагирования на инциденты кибербезопасности, национальный координационный центр кибербезопасности, отраслевой центр кибербезопасности, национальная служба реагирования на компьютерные инциденты кибербезопасности, государственный оперативный центр кибербезопасности в пределах своей компетенции в течение трех часов c момента обнаружения ими нарушения безопасности персональных данных оповещают уполномоченный орган о данном нарушении с указанием следующей информации:
персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество, индивидуальный идентификационный номер и абонентский номер сотовой связи;
необходимые меры для защиты персональных данных, в том числе правовые, организационные и технические.
Уполномоченный орган в течение одного дня с момента получения уведомления о нарушении безопасности персональных данных направляет оператору «цифрового правительства» следующую информацию:
возможные риски нарушения прав и законных интересов субъектов;
меры, рекомендуемые субъектам для защиты своих персональных данных;
персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество, индивидуальный идентификационный номер и абонентский номер сотовой связи;
контактные данные лица, ответственного за организацию обработки персональных данных (при наличии).
Оператор «цифрового правительства» на основании информации, полученной от уполномоченного органа, осуществляет уведомление субъектов о нарушении безопасности персональных данных либо об обработке персональных данных путем направления информации в личный кабинет на веб-портале «цифрового правительства», мобильное приложение «цифрового правительства» или на их абонентский номер сотовой связи в виде короткого текстового сообщения.
Приказ вводится в действие с 12 июля 2026 года.