Напомним, какие изменения в обработке персональных данных (ПДн) вступают с 1 марта 2023 года.

Изменения затрагивают:

1. трансграничную передачу ПДн;
2. порядок уничтожения ПДн;
3. сроки уведомления Роскомнадзора;
4. обязанность информирования в случае утечки ПДн;
5. порядок оценки вреда субъекту ПДн.

Трансграничная передача ПДн

В соответствии со ст. 12 Закона 152-ФЗ оператор до начала трансграничной передачи ПДн обязан уведомить Роскомнадзор о своем намерении. Уведомление направляют в виде документа на бумажном носителе или в форме электронного документа отдельно от уведомления о намерении осуществлять обработку персональных данных. Роскомнадзор, в свою очередь, оставляет за собой право запретить или ограничить предоставление ПДн в другие страны.

Операторы, которые уже осуществляют трансграничную передачу ПДн, должны уведомить об этом Роскомнадзор до 1 марта 2023 года (ч. 5 ст. 6 Федерального закона от 14.07.2022 № 266-ФЗ

Передавать персональные данные запретят, если:

• страна, иностранные физлица или организации, которым оператор хочет направлять сведения, не защищают эту информацию, а также не определены условия прекращения их обработки;
• суд запретил деятельность в РФ зарубежного юридического лица и это решение вступило в силу;
• иностранную организацию включили в список нежелательных в РФ;
• трансграничная передача и дальнейшая обработка персональных данных не отвечают целям их сбора;
• данные, которые планируют направить, нельзя обрабатывать.

Передачу могут ограничить в следующих случаях:

• содержание и объем личных сведений не соответствуют цели такой передачи;
• категории физлиц, данные которых хотят направить, не отвечают этой цели.

Уничтожение персональных данных

Начинают действовать новые требования к подтверждению уничтожения персональных данных.

Документами, подтверждающими факт уничтожения ПДн являются:

• в случае обработки ПДн без использования средств автоматизации – факт уничтожения ПДн подтверждается актом об уничтожении персональных данных;
• в случае обработки ПДн автоматизированным способом - факт уничтожения ПДн подтверждается актом об уничтожении ПДн и выгрузкой из журнала регистрации событий в информационной системе персональных данных.

Требования к составу и содержанию документов подтверждающим факт уничтожения ПДн определены в приказе Роскомнадзора от 28.10.2022 № 179.

Уведомление в Роскомнадзор

Изменён срок уведомления Роскомназора, если изменились сведения, указанные ранее в уведомлении об обработке ПДн. В соответствии со ч. 7 ст. 22 Закона 152-ФЗ уведомить Роскомнадзор об изменениях нужно не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения. Требования к форме уведомления указаны в приказе Роскомнадзора от 28.10.2022 № 180.

Утечка персональных данных

Вступает в силу приказ Роскомнадзора от 14.11.2022 № 187, который определяет порядок и условия взаимодействия операторов ПДн с Роскомнадзором в случае утечки ПДн, так же, в приказе закреплены требования к первичному и дополнительному уведомлениям об инциденте.

В соответствии со ст. 21 Закона 152-ФЗ, в случае утечки ПДн оператор обязан в течение 24 часов зафиксировать инцидент и направить первичное уведомление. Затем нужно провести внутреннее расследование и отчитаться о его результатах.

Определение вреда

Начинают действовать требования к порядку оценки потенциального вреда субъекту ПДн утверждённые приказом Роскомнадзора от 27.10.2022 № 178, который оператор может причинить, в случае нарушения Закона «О персональных данных».

Оператор определяет одну из степеней вреда:

• высокая – оператор обрабатывает информацию о несовершеннолетних, например, чтобы исполнять договоры, по которым они контрагенты, выгодоприобретатели либо поручители;
• средняя – оператор продвигает товары, работы и услуги через прямые контакты с потенциальными потребителями с помощью хранилищ (баз персональных данных) другого лица;
• низкая – оператор назначил ответственным за обработку персональных данных внештатного сотрудника.

Если субъекту может быть причинён вред разных степеней, необходимо учитывать более высокую из них. Вред оценивает ответственный за организацию обработки ПДн либо комиссия, которую создал оператор. Результаты оценки вреда фиксируются актом.