В России есть требования уведомления клиентов об утечке их ПДн

Вот иногда читаешь-читаешь документы и думаешь, что знаешь их наизусть, ан нет... при очередном прочтении выясняются новые и новые нюансы и факты. Вот, например, закон о персданных. Раньше считалось (я, по крайней мере), что он не предусматривает обязанности оператора ПДн уведомлять клиентов об утечке их ПДн. Ан нет... Предусматривает. Читаем: "В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган". Правда ответственности за неисполнение этого пункта почти никакой - та же статья 13.11, т.е. пшик.