С 1 марта 2023 года требования к обработке персональных данных меняются. Изменения затронут трансграничную передачу, порядок уничтожения, сроки уведомления Роскомнадзора. О ключевых изменениях, которые повлияют на работу операторов, читайте в статье.
Уведомление в Роскомнадзор
С 1 марта скорректировали срок уведомления Роскомназора, если изменились сведения, ранее представленные в уведомлении об обработке персональных данных. Проинформировать нужно не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения (ч. 7 ст. 22 Закона 152-ФЗ).
С 1 сентября 2022 года большинство операторов должны подавать такое уведомление. Исключение: данные обрабатывают в целях защиты безопасности государства и общественного порядка, транспортной безопасности или оператор обрабатывает данные исключительно без средств автоматизации. С 26 декабря 2022 года уведомления подаются по новым формам (Приказ Роскомнадзора от 28.10.2022 № 180).
Подробнее о порядке заполнения форм и подаче уведомлений читайте в КонсультантПлюс: Путеводитель по госуслугам для юридических лиц. Представление уведомления об обработке персональных данных.
Уничтожение персональных данных
С 1 марта 2023 года начинают действовать новые требования к подтверждению уничтожения персональных данных (Приказ Роскомнадзора от 28.10.2022 № 179).
Определили, какими документами подтверждается уничтожение. К ним относят:
- акт об уничтожении персональных данных, если данные обрабатывает оператор без использования средств автоматизации;
- акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных ‒ при автоматизированной обработке.
Установлены перечни сведений, которые должны содержать указанные документы. В том числе они должны содержать фамилию, имя, отчество субъекта или другую информацию, относящуюся к определенному физическому лицу, чьи данные были уничтожены.
Также установлен срок хранения документов, подтверждающих уничтожение, – 3 года с момента уничтожения личных сведений. В каких случаях нужно прекратить обработку персональных данных и о других обязанностях оператора читайте в КонсультантПлюс:
Готовое решение: Каковы обязанности оператора персональных данных.
Трансграничная передача
С 1 марта 2023 года оператор до начала деятельности по трансграничной передаче персональных данных обязан уведомить Роскомнадзор о своем намерении. Уведомление направляют в виде документа на бумажном носителе или в форме электронного документа отдельно от уведомления о намерении осуществлять обработку персональных данных. Ведомство, в свою очередь, может запретить или ограничить предоставление персональной информации в другие страны (ст. 12 Закона 152-ФЗ).
Операторы, которые уже осуществляют трансграничную передачу персональных данных, должны уведомить об этом Роскомнадзор до 1 марта 2023 года (ч. 5 ст. 6 Федерального закона от 14.07.2022 № 266-ФЗ).
Передавать персональные данные запретят, если:
- страна, иностранные физлица или организации, которым оператор хочет направлять сведения, не защищают эту информацию, а также не определены условия прекращения их обработки;
- суд запретил деятельность в РФ зарубежного юридического лица и это решение вступило в силу;
- иностранную организацию включили в список нежелательных в РФ;
- трансграничная передача и дальнейшая обработка персональных данных не отвечают целям их сбора;
- данные, которые планируют направить, нельзя обрабатывать.
Передачу могут ограничить в следующих случаях:
- содержание и объем личных сведений не соответствуют цели такой передачи;
- категории физлиц, данные которых хотят направить, не отвечают этой цели.
Критерии, по которым контролирующий орган может запретить или ограничить такую передачу, утверждены Постановлением Правительства РФ от 16.01.2023 № 24.
Определение степени угроз
1 марта 2023 года начинают действовать требования к тому, как оценивать вред, который оператор может причинить физлицам, если нарушит Закон «О персональных данных» (Приказ Роскомнадзора от 27.10.2022 № 178).
Оператор определяет одну из степеней вреда:
- высокая – оператор обрабатывает информацию о несовершеннолетних, например, чтобы исполнять договоры, по которым они контрагенты, выгодоприобретатели либо поручители;
- средняя – оператор продвигает товары, работы и услуги через прямые контакты с потенциальными потребителями с помощью хранилищ (баз персональных данных) другого лица;
- низкая – оператор назначил ответственным за обработку персональных данных внештатного сотрудника.
Если гражданину могут причинить вред разных степеней, необходимо учитывать более высокую из них. Вред оценивает ответственный за организацию обработки персональных данных либо комиссия, которую создал оператор. Степень вреда и ряд других сведений отражают в акте.
Утечка персональных данных
С 1 марта 2023 года вступает в силу Приказ Роскомнадзора от 14.11.2022 № 187, устанавливающий порядок и условия взаимодействия с Роскомнадзором в случае утечки персональных данных, в том числе закреплены требования к первичному и дополнительному уведомлениям об инциденте.
Напоминаем, в случае утечки персональных данных оператор обязан в течение 24 часов зафиксировать инцидент и направить первичное уведомление. Затем нужно провести внутреннее расследование и отчитаться о его результатах перед госорганом (ст. 21 Закона 152-ФЗ).
Законодательство в области персональных данных постоянно изменяется, появляются новые требования, госорганы дают важные разъяснения. Оставаться в курсе последних событий и не упустить самое важное помогут экспертные материалы КонсультантПлюс:
