С 1 марта 2023 года вступает в силу новая редакция Федерального закона от 27.07.2006 № 152-ФЗ “О персональных данных”. Это значит, что для операторов ПД появится ряд новых требований.
Вас касаются эти нововведения ЕСЛИ:
- Вы являетесь оператором персональных данных. То есть организуете или самостоятельно осуществляете обработку ПД. При этом под персональными данными понимается любая информация, к физическому лицу (субъекту ПД), на основании которой его можно идентифицировать. (например, email, моб. телефон)
CHECK-LIST соответствия вашей деятельности как оператора ПД новым требованиям:
- Трансграничная передача: направляйте уведомление в Роскомнадзор.
Не позднее 1 марта 2023 года операторы должны уведомить Роскомнадзор о намерении осуществлять трансграничную передачу ПД. Обратите внимание, что такой документ подается отдельно от уведомления о намерении осуществлять обработку ПД.
Сразу же после направления уведомления можно осуществлять передачу в страны, которые обеспечивают адекватную защиту ПД:
В остальных же случаях для осуществления передачи необходимо дождаться решения Роскомнадзора (10-25 рабочих дней).
Кроме того, нужно помнить, что трансграничную передачу теперь могут запретить или ограничить.
- Оценка вероятного вреда субъекту ПД: определяйте его степень.
В процессе обработки ПД так или иначе может быть причинен вред субъекту ПД. Роскомнадзор объяснил, что оператор должен определять степень такого вреда. Например:
- высокая степень вреда: при поручении иностранному лицу осуществлять обработку ПД граждан РФ; при обработке сведений, которые характеризуют физиологические или биологические особенности человека; и др.;
- средняя степень вреда: при публикации ПД на сайте; при продвижении товаров/услуг через прямой контакт с пользователями с использованием их ПД; и др.;
- низкая степень вреда: при ведении справочников, адресных книг и других общедоступных источников ПД; при назначении внештатного сотрудника лицом, ответственным за обработку ПД.
Результаты оценки оформляются в акт оценки вреда.
- Подтверждение уничтожения ПД: составляйте документы.
Роскомнадзор уточнил, посредством чего должно подтверждаться уничтожение ПД:
- если ПД обрабатываются вручную: акт об уничтожении ПД;
- если ПД обрабатываются с помощью вычислительной техники: акт об уничтожении ПД и выгрузка из журнала регистрации событий в информационной системе ПД.
Такие документы должны храниться в течение трех лет с момента уничтожения ПД.
- Срок уведомления об изменениях сведений: уведомляйте не позднее 15-го числа следующего месяца.
Как известно, до начала обработки ПД оператор направляет в Роскомнадзор соответствующее уведомление о намерении ее осуществлять. Если ранее поданные сведения изменились, оператор должен уведомить об этом не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения.
- Порядок взаимодействия при утечке ПД: направляйте два уведомления в течение 24 и 72 часов соответственно.
Роскомнадзор определил порядок взаимодействия с операторами в случае утечки ПД. Теперь запускается специальный реестр утечек, который операторы будут пополнять по установленным правилам.
Если имела место утечка ПД, оператор должен предоставить два документа:
- первичное уведомление: включает в себя информацию о самой утечке и предоставляется в течение 24 часов;
- дополнительное уведомление: включает в себя информацию о результатах внутреннего расследования, которое оператору необходимо провести, и предоставляется в течение 72 часов.
Если у вас возникли вопросы по работе с персональными данными в РФ и за рубежом, подготовке внутренних документов организации по обработке персональных данных, аудиту соответствия GDPR, то в GMT Legal помогут разобраться.