Тема «Персональные данные 2023» всё больше интересует читателей. Дело в том, что в этой области произошли изменения в законодательстве, которые вступили в силу 1 марта этого года.
В статье подробно расскажем, что изменилось и как работать с персональными данными (ПД) по новым правилам в 2023 году.
Обработка персональных данных в 2023 году
Основные изменения в законе 152-ФЗ «О персональных данных» в 2023 году вводят новые правила, которые касаются:
- сроков подачи уведомлений в Роскомнадзор;
- уничтожения персональных данных;
- новых полномочий Роскомнадзора при передаче ПД за границу;
- оценки вреда утечки персональных данных.
Все нововведения вступили в силу 1 марта 2023 года. Рассмотрим каждый пункт по отдельности.
Уведомление об изменении персональных данных: новый срок
Все, кто обрабатывает персональные данные, являются операторами персональных данных. Такие организации отправляют в Роскомнадзор уведомление о сборе персональных данных и уведомление об изменении представленной информации.
Ранее отправлять уведомление об изменении представленных персональных данных операторам нужно было в течение 10 дней с момента их корректировки. С 1 марта 2023 года этот срок увеличен. Теперь, если ПД изменились, оператору можно отправить соответствующее уведомление в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. При представлении используется форма из приложения № 2 приказа Роскомнадзора от 28.10.2022 № 180.
Уничтожение персональных данных: новые правила
Согласно Приказу Роскомнадзора от 28.10.2022 № 179, операторам ПД нужно подтверждать уничтожение сведений о персональных данных. В документе прописаны порядок и требования к данной процедуре.
Уничтожение персональных данных на бумажных носителях должны фиксироваться актом. В нём указывают категорию уничтожаемых ПД, Ф.И.О. и должности участников процедуры, их подписи, причины и способы уничтожения и т.п.
Если электронные персональные данные удаляют из хранилища информационной системы, то достаточно выгрузки журнала, где зарегистрированы все события. Если в выгрузке какие-либо сведения не будут указаны, их дополняют бумажным актом. В нём дописывают недостающую информацию. Срок хранения акта 3 года.
Передача персональных данных за границу
Основные моменты, которые важно знать
Если компания осуществляет трансграничную передачу персональных данных, то она обязана уведомить об этом Роскомнадзор. Данное правило введено Федеральным законом от 14.07.2022 № 266-ФЗ и действует с 1 марта 2022 года. ПД отправляются, когда компания сотрудничает с заграничными партнёрами, отправляет работников в командировку или на обучение за рубеж.
Уведомление о трансграничной передаче направляется в Роскомнадзор:
- единоразово, до осуществления отправки ПД за рубеж;
- отдельно от других уведомлений об обработке персональных данных;
- с указанием всех стран, куда оператор ПД уже передаёт персональные данные.
До 1 марта 2023 года
Перед отправкой персональных данных за пределы РФ оператор должен проверить получателя на безопасность. Необходимо убедиться, сможет ли иностранный партнёр соблюдать конфиденциальность ПД и обеспечивать их защиту при обработке.
Важно! Данные действия не касаются стран Конвенции Совета Европы и стран, включённых в перечень Роскомнадзора.
После анализа и положительного решения, оператор ПД должен подать уведомление о том, что он осуществляет передачу персональных данных за рубеж.
После 1 марта 2023 года
Вышеописанные процедуры по проверке защиты иностранного получателя оператору ПД необходимо делать каждый раз, когда он хочет осуществить:
- запуск нового процесса, связанного с отправкой персональных данных за границу. Пример: заключение договора с новым зарубежным партнёром;
- изменения в текущем процессе передачи ПД. Пример: Компания использует иностранный облачный сервис для обработки персональных данных. После 1 марта 2023 года она начала обрабатывать не только данные своих сотрудников, но и данные клиентов.
Оператор ПД отправляет уведомление о трансграничной передаче персональных данных и может сразу приступать к их обработке.
В течение 10 дней Роскомнадзор проводит собственную проверку иностранного получателя. После этого ведомство может запретить или ограничить передачу ПД во внесудебном порядке.
Оператор может осуществлять трансграничную передачу ПД только по истечении 10 дней с момента получения уведомления от Роскомнадзора. Однако ведомство может наложить запрет повторно.
Также Роскомнадзор может запретить всем операторам ПД отправлять персональные данные в конкретное государство. Или во внесудебном порядке установить ограничения передачи к отдельному оператору ПД.
Данные меры приняты в целях защиты нравственности, здоровья, прав и законных интересов граждан. Решение можно обжаловать в суде или у вышестоящего должностного лица Роскомнадзора.
Что изменилось с 1 марта 2023 года
Согласно тексту поправок ст.12 152-ФЗ, сама форма уведомления о намерении трансграничной передачи не изменилась. До 1 марта 2023 года Роскомнадзор не мог принимать решения о запрете или ограничении отправки ПД. После 1 марта 2023 года у ведомства такое полномочие появилось. Теперь Роскомнадзор сам принимает решение, может ли зарубежная страна обеспечить должную защиту персональных данных.
Важно! Операторам, подавшим уведомление о трансграничной передаче до 1 марта 2023 года, не нужно подавать новое уведомление до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных.
Уведомление об утечке персональных данных
При утечке персональных данных оператор ПД должен уведомить об этом органы исполнительной власти. Для этого оператор отправляет специальное уведомление в Роскомнадзор.
Оценка вреда, который может быть причинён субъектам персональных данных
1 марта 2023 года вступил в силу Приказ Роскомнадзора от 27.10.2022 № 178. Документ обязывает операторов ПД создать акт, в котором прописываются возможные степени риска при работе с персональными данными. То есть компания должна оценить, какой вред будет причинён субъекту ПД в случае нарушения Федерального закона «О персональных данных». Оценку указанного вреда проводит ответственный за организацию обработки ПД или комиссия, созданная оператором. Форма акта не установлена.
Какие бывают степени вреда
Для оценки вреда оператор определяет одну из трёх степеней: высокую, среднюю или низкую. Конкретная степень зависит от допущенных нарушений. При выявлении факторов, относящихся к разным степеням риска, выбирается более высокая степень.
Высокая
Высокая степень вреда присваивается, если:
- ведётся обработка биометрических ПД с целью установления личности субъекта, которому они принадлежат. Исключение – случаи, когда обработка таких данных прямо предусмотрена законом;
- ведётся обработка ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости. Исключение – случаи, установленные федеральными законами для специальных категорий ПД;
- ведётся обработка ПД несовершеннолетних для исполнения или заключения договора;
- обезличиваются ПД для оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также других исследований, не предусмотренных п. 9 ч. 1 ст. 6 Закона № 152-ФЗ;
- иностранному гражданину поручено вести обработку персональных данных граждан РФ;
- осуществляется сбор ПД с помощью баз данных, находящихся за пределами РФ.
Средняя
Средняя степень вреда присваивается, если:
- ПД распространяются на сайте оператора или неограниченному кругу лиц;
- цель обработки ПД отличается от первоначальной;
- используются базы персональных данных других операторов с целью продвижения своих товаров, работ, услуг;
- получено согласие на обработку ПД на сайте оператора, который не предусматривает дальнейшую идентификацию и аутентификацию субъекта персональных данных;
- осуществляется обработка персональных данных с получением согласия на передачу права их обработки третьими лицам в целях, которые несовместимы с целями сбора таких данных.
Низкая
Низкая степень вреда устанавливается, если:
- ведётся общедоступный источник персональных данных, сформированный в соответствии со ст. 8 Закона № 152-ФЗ;
- ответственным за обработку персональных данных назначается лицо, которое не является штатным сотрудником оператора ПД.
Представленные требования действуют до 1 марта 2029 года.
