1 марта вступает в силу ряд изменений в Федеральный закон от 27.07.2006 № 152-ФЗ («О персональных данных»). Они касаются ограничений при передаче персональных данных (ПДн) за рубеж, оценки ущерба субъекта ПДн от утечки, а также подтверждения уничтожения данных.
Уведомление о трансграничной передаче персональных данных
Оператор, осуществляющий трансграничную передачу персональных данных, то есть за границу (например, при заключении контрактов с зарубежными партнерами, направлении сотрудников в командировки, на обучение), должен поставить об этом в известность Роскомнадзор. Для этого в ведомство нужно подать соответствующее уведомление (Федеральный закон от 14.07.2022 № 266-ФЗ).
Что важно знать:
- Уведомление подается только один раз — до того, как такая передача ПДн начнет осуществляться.
- Уведомление направляется отдельно от других уведомлений о намерении осуществлять обработку ПДн.
- В уведомлении указываются все страны, куда уже передаются ПДн.
Направить в Роскомнадзор уведомление об осуществлении трансграничной передачи данных следует до 1 марта 2023 года по специальной форме.
Ведомство приводит образец заполненного уведомления. В нем указываются:
- цели трансграничной передачи (их может быть несколько);
- правовое основание трансграничной передачи;
- категории передаваемых ПДн;
- категории субъектов ПДн, персональные данные которых передаются;
- иностранные государства, на территории которых осуществляется передача.
Ранее ведомство предупреждало, что несмотря на то, что новый порядок трансграничной передачи данных начинает применяться с 1 марта 2023 года, операторы, которые уже до этого передавали данные за границу, обязаны направить уведомление о трансграничной передаче заранее, чтобы в дальнейшем не приостанавливать свою деятельность.
Решение о запрете или ограничении передачи персональных данных в другие страны
После того, как оператор отправил уведомление, Роскомнадзор рассматривает его и может принять решение о запрете или ограничении передачи данных за рубеж — например, если это связано с безопасностью государства.
До истечения 10 рабочих дней после подачи уведомления нельзя передавать данные в страны, не обеспечивающие адекватный уровень защиты прав субъектов ПДн.
Перечень государств, обеспечивающих адекватную защиту данных, приведен в Приказе Роскомнадзора от 05.08.2022 № 128.
После направления уведомления оператор может осуществлять трансграничную передачу данных на территории указанных в уведомлении стран, которые являются сторонами конвенции Европы Совета Европы о защите физических лиц при автоматизированной обработке ПДн.
На сайте Роскомнадзора уточнятся, что операторам, подавшим уведомление о трансграничной передаче до 1 марта, не нужно подавать новое уведомление после этой даты, до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных. Это могут быть как новые страны, так и новые цели обработки.
Согласие на обработку персональных данных оформляйте в программе Контур-Персонал
Правила принятия решения об ограничении или о запрете трансграничной передачи ПДн утверждены Постановлением Правительства РФ от 10.01.2023 № 6.
Уведомление об утечке персональных данных
По прогнозам аналитика Kaspersky Digital Footprint Intelligence Игоря Фица, в 2023 году количество утечек данных вырастет на 20%. Причем эта проблема может затронуть любую компанию. Пока лидеры по объему утекшей информации — доставка (34%) и ретейл (14%).
Эксперт считает, что комплексная система защиты IT-инфраструктуры включает создание плана с последующей работой по трем основным направлениям: расследование инцидента и реагирование, грамотная и своевременная коммуникация с клиентами, партнерами и регуляторами.
С 1 марта 2023 года у бизнеса появится новая обязанность — оценивать вред от утечки ПДн, если она произошла в результате внешнего вмешательства — например, данные компании были неправомерно скопированы и размещены в интернете. В этом случае об утечке нужно предупредить Роскомнадзор посредством направления специального уведомления.
Уведомлять Роскомнадзор не нужно при случайном уничтожении базы данных внутренним пользователем, а также при несанкционированном доступе внутреннего пользователя.
Оценка вреда, который может быть причинен субъектам персональных данных
С 1 марта вступает в силу Приказ Роскомнадзора от 27.10.2022 № 178, который затрагивает вопрос определения категорий риска ПДн. Компании нужно издать приказ или какой-то другой акт, чтобы зафиксировать степени риска, то есть оценить, какой вред может быть причинен субъектам ПДн в случае нарушения закона о персональных данных.
Какие бывают степени вреда
Высокая: обработка специальных категорий персональных данных (национальность, состояние здоровья и др.), работа с биометрическими и физиологическими данными, обработка ПДн несовершеннолетних.
Средняя: предоставление ПДн неограниченному кругу лиц, обработка данных в дополнительных целях, отличных от первоначальной цели сбора, продвижение товаров путем осуществления прямых контактов с потенциальным потребителем с использованием баз ПДн, владельцем которых является иной оператор.
Низкая: ведение общедоступных источников ПДн, назначение в качестве ответственного за обработку ПДн лица, не являющегося штатным сотрудником оператора.
Требования действуют до 1 марта 2029 года.
Подтверждение уничтожения персональных данных
С марта вступает в силу Приказ Роскомнадзора от 28.10.2022 № 179, который вводит требования к подтверждению уничтожения ПДн.
Теперь уничтожение ПДн обязательно фиксируется актом. В нем указывается категория уничтожаемых данных, ФИО и должность лиц, уничтоживших ПДН, их подпись, способ и причина уничтожения и др.
Если данные уничтожаются из информационной системы ПДн, то бумажный акт можно заменить выгрузкой журнала регистрации информационных событий, то есть лог-файлом.
Если выгрузка из журнала не позволяет указать отдельные сведения, предусмотренные требованиями, то недостающие сведения вносятся в акт об уничтожении ПДн. Такой акт хранится 3 года.
