С 1 марта 2023 года вступили в силу изменения в Федеральный закон от 27 июля 2006 № 152-ФЗ «О персональных данных», предусмотренные отложенными положениями Закона № 266-ФЗ от 14 июля 2022, а также ряд приказов Роскомнадзора.
С 1 марта 2023 года вступили в силу изменения в Федеральный закон от 27 июля 2006 № 152-ФЗ «О персональных данных», предусмотренные отложенными положениями Закона № 266-ФЗ от 14 июля 2022, а также ряд приказов Роскомнадзора.
С 1 марта 2023 года вступили в силу изменения в Федеральный закон от 27 июля 2006 № 152-ФЗ «О персональных данных», предусмотренные отложенными положениями Закона № 266-ФЗ от 14 июля 2022, а также ряд приказов Роскомнадзора.
В частности, новшества коснулись ограничений при передаче ПДн за рубеж, оценки ущерба субъектов ПДн от утечки, уничтожения данных.
Изменения необходимо учесть операторам по работе с персональными данными. В их числе любые организации и ИП, получающие и использующие ПДн граждан.
Под обработкой персональных данных понимают работу с личной информацией граждан — сведениями, которые прямо или косвенно относящиеся к определённому физическому лицу. К ним относятся ФИО, адрес, информация о дате и месте рождения, социальном и имущественном положении, образовании, профессии, доходах, биометрические данные (фото, отпечатки пальцев, запись голоса). Граждане предоставляют ПД при трудоустройстве работодателю, при участии в договорных отношениях в качестве потребителя различных услуг (медуслуг, услуг связи, банковских продуктов и т.п.).
Обработка персональных данных включает их сбор, запись, накопление, хранение, использование, передачу, уничтожение и другие действия (п. 3 ст. 3 № 152-ФЗ от 27 июля 2006).
За рядом исключений работодатель может обрабатывать персональные данные только с согласия сотрудника (п. 1 ч. 1 ст. 6, абз. 1 ч. 4 ст. 9 № 152-ФЗ).
Согласие не требуется, если в организации действует пропускной режим, или информацию о работнике необходимо сообщить третьей стороне в целях предотвращения угрозы его жизни и здоровью, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами. (ст. 88 ТК РФ; п. 4, п.5 Разъяснений Роскомнадзора от 4 декабря 2012 года).
Главные изменения в сфере обработки персональных данных приведены в таблице 1.
Таблица 1. Что изменилось в обработке ПДн с 1 марта 2023
Изменение |
Как было |
Как стало |
Статья |
Уведомления в Роскомнадзор |
|||
Изменился срок подачи уведомления по ПДн в РКН. |
Операторы должны уведомлять РКН о начале обработки и об изменениях в персональных данных. Уведомление отправлялось в течение 10 рабочих дней по каждой корректировке. |
Уведомлять РКН об изменениях нужно не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения. По всем изменениям, которые произошли за месяц, оператор оформляет одно уведомление. Информировать о каждой корректировке отдельно больше не нужно. |
ч. 7 ст. 22 Закона № 152-ФЗ. |
Если ПДн обрабатываются без средств автоматизации, если обработка данных необходима для защиты госбезопасности, общественного порядка, транспортной безопасности, уведомление в РКН подавать не нужно. |
|||
Трансграничная передача данных |
|||
Введён новый порядок информирования РКН о передаче персональных данных за рубеж. |
Оператору, занимающемуся трансграничной передачей данных, требовалось отправить специальное уведомление по утверждённой форме. Достаточно было одного уведомления с указанием всех стран, куда оператор передаёт ПДн. Порядок не предусматривал получение разрешения на трансграничную передачу или принятие решения о запрете или ограничении на передачу. |
РКН рассматривает уведомления операторов и разрешать, ограничивать или запрещать трансграничную передачу ПДн в другие страны. Пока не пройдёт 10 рабочих дней после отправки уведомления в РКН, передавать ПДн в страны, которые не обеспечивают их защиту, нельзя. Для трансграничной передачи ПДн оператору нужно запросить у иностранных органов власти сведения о физлицах или юрлицах, которым предполагается передавать данные, информацию о мерах защиты и правовом регулировании ПДн в стране, куда отправляются сведения. Предоставить сведения по запросу РКН нужно в течение 10 рабочих дней после получения такого запроса. На бумаге или в электронном виде направить уведомление о трансграничной передаче данных, указав название оператора, ФИО ответственного за работу с ПДн, цель трансграничной передачи, категории и перечень передаваемых данных, категории субъектов передачи сведений, список стран, дату проведения оценки по конфиденциальности и безопасности данных в другой стране. Уведомление подписывается уполномоченным лицом. После отправки уведомления о трансграничной передаче оператор может передавать информацию в страны, которые участвуют в Конвенции Совета Европы о защите физлиц при автоматизированной обработке ПДн или включены в Перечень иностранных государств, обеспечивающих защиту данных (ч. 10, 11 ст. 12 № 152-ФЗ). Передавать данные можно до тех пор, пока РКН не решит запретить или ограничить передачу. Если страна не обеспечивает адекватный уровень защиты ПДн, оператору нельзя передавать сведения в течение 10 рабочих дней после подачи уведомления. Не дожидаться решения РКН можно в случаях, когда трансграничная передача данных необходима для защиты жизни, здоровья или других жизненно важных целей. Решение о запрете или ограничении РКН принимает после рассмотрения уведомления. Если передачу ограничат или запретят, оператор должен проконтролировать, чтобы лица за рубежом уничтожили полученную информацию. |
ст. 12 Закона № 152-ФЗ. Постановление Правительства № 24 от 16.01.2023. |
Утечка персональных данных и ведение реестра инцидентов |
|||
Появился реестр РКН по учёту инцидентов в области ПДн. |
Операторам, допустившим утечку ПДн, следовало проинформировать РКН, подав первичное уведомление об инциденте в течение 24 часов. В течение 72 часов следовало отправить дополнительное уведомление о результатах внутреннего расследования. |
Операторы должны уведомлять РКН о произошедших инцидентах и итогах расследований. На основании уведомлений РКН вносит запись в реестр учёта инцидентов в области ПДн. Первичные и дополнительные уведомления направляются в РКН в бумажной или электронной форме. В первичном уведомлении нужно указать информацию о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесённом правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с РКН по вопросам, связанным с выявленным инцидентом. В дополнительном уведомлении указывают результаты внутреннего расследования и устанавливают виновных лиц. Исполнитель указывает ФИО физлица или ИП, название юрлица, IP-адрес устройства, предполагаемое местонахождение виновных лиц и их устройств, другую информацию по расследованию. Если оператор не предоставит дополнительное уведомление, РКН сам потребует результаты внутреннего расследования инцидента. На такое требование нужно ответить в течение одного рабочего дня. Если РКН самостоятельно выявит утечку базы ПДн и принадлежность базы к конкретному оператору, организация получит требование о необходимости предоставить первичное и дополнительное уведомления. Сроки отправки уведомлений прежние: первичное уведомление — в течение 24 часов, дополнительное — в течение 72 часов. |
п.3.1 ст.21 Закона № 152-ФЗ. п.10 ст.23 Закона № 152-ФЗ. Приказ Роскомнадзора № 187 от 14.11.2022. |
Что относится к инцидентам в области ПДн: неправомерная или случайная передача информации, повлекшая нарушение прав гражданина. |
|||
Оценка потенциального вреда при обработке персональных данных |
|||
Для операторов установлено новое требование — оценка вероятного вреда при обработке ПДн. |
Ранее требования не предъявлялись. |
РКН утвердил требования к оценке вреда, который оператор может причинить субъектам ПДн, нарушив закон «О персональных данных». Ответственный сотрудник оператора должен оценить степень угроз в зависимости от качества обрабатываемых данных. Степеней угроз — три
Степень угроз оценивает формируемая оператором комиссия или ответственный за обработку ПДн сотрудник. Результат оценки и присвоенную степень вреда указывают в акте. Правила ввели на 6 лет — до 1 марта 2029 года. |
Приказ Роскомнадзора № 178 от 27.10.2022. |
Уничтожение персональных данных |
|||
Ввели новые требования к подтверждению уничтожения данных. РКН обновил порядок хранения документов, подтверждающих уничтожение ПДн. |
Ранее закон не устанавливал требований к подтверждению уничтожения ПДн. Операторы сами разрабатывали и закрепляли порядок в локальных нормативных документах. |
РКН ввёл требования к подтверждению уничтожения ПДн Требования должны применять все операторы. Подтверждение зависит от способа обработки ПДн.
Акт можно составить как на бумаге, так и в электронной форме. Хранить акт и выгрузку из журнала нужно в течение трёх лет с момента уничтожения ПДн. |
Приказ Роскомнадзора № 179 от 28.10.2022. |
Обязанность по уничтожению персональных данных возникает в случаях, предусмотренных ч.ч. 3−5 ст. 21 Закона № 152-ФЗ:
|
Вы сможете выбрать только актуальные для вас темы.