Найти тему

Введение новых требований к обработке персональных данных с 1 марта 2023 года

Оглавление

В новых изменениях к обработке персональных данных затронуты вопросы связанные с трансграничной передачей, утечкой и уничтожением персональных данных. Мы подробно рассмотрим эти изменения и расскажем о том, как теперь следует обращаться с персональными данными (ПД) в соответствии с новыми правилами в 2023 году.

В 2023 году в законе 152-ФЗ «О персональных данных» внесены основные изменения, которые вводят новые правила в следующих областях:

  1. Сокращены сроки подачи уведомлений в Роскомнадзор.
  2. Установлены новые правила уничтожения персональных данных.
  3. Роскомнадзор получил новые полномочия в отношении передачи персональных данных за границу.
  4. Введена система оценки вреда от утечки персональных данных.

Все эти нововведения вступили в силу с 1 марта 2023 года. Мы рассмотрим каждый пункт подробнее.

Новые сроки уведомления Роскомнадзора при изменении персональных данных

Операторы персональных данных, которые обрабатывают персональные данные, обязаны предоставлять уведомление в Роскомнадзор о сборе персональных данных, а также уведомление об изменении представленной информации.

Роскомнадзор ведёт реестр операторов персональных данных на основе уведомлений от операторов персональных данных.

Данные, которые нужно сообщать:

  • О смене наименования, адреса оператора;
  • Об изменении целей обработки персональных данных, составе ПД;
  • О начале или прекращении ТППД.

Ознакомиться с полным перечнем информации можно в ч.3 ст.22.1 закона №152-ФЗ.

Ранее операторам требовалось отправлять уведомление об изменении персональных данных в течение 10 дней после их корректировки. С 1 марта 2023 года срок для этого уведомления был увеличен.

Теперь, если произошли изменения в ПД, оператору разрешается отправлять уведомление в Роскомнадзор не позднее 15-го числа следующего месяца после месяца, в котором произошли изменения.

Для представления уведомления используется форма, указанная в приложении № 2 к приказу Роскомнадзора от 28.10.2022 № 180.

Новые правила для уничтожения персональных данных

В соответствии с Приказом № 179 от 28.10.2022 года, Роскомнадзор установил новые правила для уничтожения персональных данных. Операторы обязаны подтверждать уничтожение информации о персональных данных и выполнять прописанные требования к данной процедуре.

  • Отсутствие согласия на обработку персональных данных со стороны субъекта;
  • Достижение поставленных целей, по которым была собрана личная информация, как, например, закрытие вакансии и прекращение необходимости хранения резюме соискателей;
  • Заявление субъекта ПД о отзыве своего согласия на обработку данных или требование об прекращении обработки.

Уничтожение персональных данных, содержащихся на бумажных носителях, должно быть задокументировано актом. В этом акте указываются категория уничтожаемых персональных данных, Ф.И.О. и должности всех участников процедуры, их подписи, а также причины и методы уничтожения и тому подобное.

Если электронные ПД удаляются из хранилища информационной системы, достаточно сохранить журнал, в котором регистрируются все события.

Подтверждение уничтожения компьютерной информации осуществляется путем выгрузки из журнала регистрации событий в соответствующей информационной системе ПД. Автоматически формируется выгрузка в соответствии с установленным алгоритмом для каждого программного продукта. Требования к содержанию выгрузки указаны в пункте 5 приложения к приказу № 179. При необходимости дополнительная информация, которая отсутствует в выгрузке, вносится в акт.

Для обеспечения единообразия процесса рекомендуется издать приказ о порядке уничтожения ПД, в котором следует предусмотреть формы акта и выгрузки. Также необходимо ознакомить работников с данным приказом и получить их личную подпись в качестве подтверждения ознакомления. При этом акт должен храниться в течение 3 лет.

Передача ПД за границу

Когда компания передаёт персональные данные за границу, она обязана уведомить Роскомнадзор. Такое требование было установлено Федеральным законом от 14.07.2022 № 266-ФЗ и действует с 1 марта 2022 года. Происходит передача персональных данных, когда компания сотрудничает с иностранными партнёрами, отправляет своих сотрудников за рубеж в командировку или на обучение.

Уведомление о передаче персональных данных за границу должно быть направлено в Роскомнадзор:

  1. Однократно, до того, как ПД будут отправлены за рубеж.
  2. Отдельно от других уведомлений о обработке ПД.
  3. Уведомление должно содержать информацию о всех странах, в которые оператор уже передает ПД.

Отправка ПД до 1 марта 2023 года

До 1 марта 2023 года, перед отправкой ПД за пределы Российской Федерации, оператор обязан провести проверку получателя на безопасность. Целью этой проверки является удостовериться, что иностранный партнёр соблюдает конфиденциальность ПД и обеспечивает их защиту при обработке.

  • Однако следует учесть, что этот требование не распространяется на страны, входящие в Конвенцию Совета Европы и на страны, указанные в перечне Роскомнадзора.
  • После проведения анализа и получения положительного решения, оператор ПД должен подать уведомление о том, что осуществляет передачу данных за рубеж.

Обработка ПД после 1 марта 2023 года

Оператору ПД необходимо проводить процедуры проверки защиты иностранного получателя при каждой новой отправке ПД за границу или при внесении изменений в существующий процесс передачи данных. Например, при заключении договора с новым зарубежным партнёром или при использовании иностранного облачного сервиса для обработки ПД. После проведения проверки и получения положительного результата, оператор может отправить уведомление о трансграничной передаче данных и начать их обработку.

С 1 марта 2023 года, при запуске нового процесса, связанного с передачей ПД за границу, необходимо проводить процедуры проверки защиты иностранного получателя. Например, при заключении договора с новым зарубежным партнёром или при использовании иностранного облачного сервиса для обработки ПД. После проведения проверки и получения положительного результата, можно отправить уведомление о трансграничной передаче данных и начать их обработку. Это требование также распространяется на изменения в существующем процессе ПД, например, когда компания начинает обрабатывать данные своих клиентов, а не только данных своих сотрудников после 1 марта 2023 года.

Оператор ПД отправляет уведомление о трансграничной передаче и может начать обрабатывать данные.

  • В течение 10 дней Роскомнадзор проводит проверку иностранного получателя. После этого ведомство может запретить или ограничить передачу данных без обращения в суд.

Оператор может осуществлять трансграничную передачу ПД только после получения подтверждения от Роскомнадзора через 10 дней. Однако ведомство может повторно наложить запрет.

Также Роскомнадзор может запретить всем операторам отправлять ПД в определенную страну или установить ограничения для отдельного оператора данных.

Какие еще изменения пришли с 1 марта 2023 года

В соответствии с поправками к ст.12 152-ФЗ, форма уведомления о намерении трансграничной передачи ПД осталась без изменений. Однако, до этой даты Роскомнадзор не имел права запрещать или ограничивать передачу ПД. С 1 марта 2023 года Роскомнадзор получил полномочие принимать решение о возможности обеспечения должной защиты ПД в зарубежных странах.

  • Важно отметить, что операторам, которые успели подать уведомление о трансграничной передаче до 1 марта 2023 года, не требуется подавать новое уведомление, пока в их деятельности не произойдут изменения, которые приведут к созданию новых потоков передачи данных.

Утечка персональных данных выдача уведомления

При возникновении утечки персональных данных, оператору персональных данных требуется сообщить об этом органам исполнительной власти путем отправки специального уведомления в Роскомнадзор.

С 1 марта 2023 года вступил в силу Приказ Роскомнадзора от 27.10.2022 № 178, который обязывает операторов персональных данных разработать акт, в котором определяются возможные уровни риска в рамках обработки персональных данных. Следовательно, компания должна провести оценку потенциального вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального Закона №152 "О персональных данных". Эта оценка может проводиться ответственным лицом за организацию обработки персональных данных или комиссией, назначенной оператором. Формат акта не определен.

Необходимо оценить потенциальный ущерб, который может быть нанесен лицам, чьи персональные данные обрабатываются.

Приказом Роскомнадзора от 27.10.2022 года № 178, который вступил в силу 1 марта 2023 года, операторам ПД требуется составить документ, в котором определены возможные уровни риска при обработке ПД. Суть данного документа заключается в оценке потенциального вреда для субъектов персональных данных в случае нарушения Федерального закона "О персональных данных". Оценку указанного вреда проводит либо ответственное лицо, отвечающее за организацию обработки персональных данных, либо специально созданная комиссия оператором. Формат данного документа не определен.

Существуют три степени вреда:

Высокая степень вреда

  • Обработка биометрических персональных данных или работу с данными несовершеннолетних;
  • Хранение баз данных с персональными данными российских граждан на территории другого государства.

Средняя степень вреда

  • Размещение персональных данных на официальном сайте оператора, доступных неограниченному кругу лиц;
  • Прямой контакт компании с гражданами для продвижения своих услуг, притом что данные граждан хранятся в базе данных другого оператора.

Низкая степень вреда

  • Обработка персональных данных из общедоступных источников.

Оператор должен провести оценку степени вреда, выполняющуюся либо специальной комиссией, назначенной оператором, либо лицом, ответственным за организацию обработки ПД. Результаты оценки необходимо оформить в акт, соответствующим требованиям, указанным в пунктах 4-5 приложения к приказу № 178. С начала марта 2023 года оператор должен будет хранить ещё один документ, который может быть запрошен Роскомнадзором во время проверки.

Штрафы

Нарушения закона № 152-ФЗ могут привести к штрафам для СМИ даже без проведения проверки Роскомнадзором.

В соответствии с пунктом 3.5 статьи 28.1 Кодекса об административных правонарушениях РФ, указывается перечень ситуаций, в которых ведомство возбуждает дело об административном правонарушении без проведения проверки. Одним из примеров является не опубликованная политика обработки ПД в СМИ. Роскомнадзор напомнил об этом в письме № 09-6488 от 31.01.2023 года.

Согласно статье 13.11 КоАП РФ, ответственность за нарушение закона № 152-ФЗ устанавливается в общем порядке.

В случае невыполнения требований по уничтожению ПД предусмотрены следующие штрафы:

  • Индивидуальный предприниматель может быть оштрафован на сумму от 20 000 до 40 000 руб.
  • Юридическое лицо – на сумму от 50 000 до 90 000 руб.