Обработка персональных данных: что изменилось для работодателей с 1 марта 2023

Уведомления в Роскомнадзор

Изменился срок подачи уведомления по ПДн в РКН.

Операторы должны уведомлять РКН о начале обработки и об изменениях в персональных данных.

Уведомление отправлялось в течение 10 рабочих дней по каждой корректировке.

Уведомлять РКН об изменениях нужно не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.

По всем изменениям, которые произошли за месяц, оператор оформляет одно уведомление. Информировать о каждой корректировке отдельно больше не нужно.

ч. 7 ст. 22 Закона № 152-ФЗ.

Если ПДн обрабатываются без средств автоматизации, если обработка данных необходима для защиты госбезопасности, общественного порядка, транспортной безопасности, уведомление в РКН подавать не нужно.

Трансграничная передача данных

Введён новый порядок информирования РКН о передаче персональных данных за рубеж.

Оператору, занимающемуся трансграничной передачей данных, требовалось отправить специальное уведомление по утверждённой форме.

Достаточно было одного уведомления с указанием всех стран, куда оператор передаёт ПДн.

Порядок не предусматривал получение разрешения на трансграничную передачу или принятие решения о запрете или ограничении на передачу.

РКН рассматривает уведомления операторов и разрешать, ограничивать или запрещать трансграничную передачу ПДн в другие страны.

Пока не пройдёт 10 рабочих дней после отправки уведомления в РКН, передавать ПДн в страны, которые не обеспечивают их защиту, нельзя.

Для трансграничной передачи ПДн оператору нужно запросить у иностранных органов власти сведения о физлицах или юрлицах, которым предполагается передавать данные, информацию о мерах защиты и правовом регулировании ПДн в стране, куда отправляются сведения.

Предоставить сведения по запросу РКН нужно в течение 10 рабочих дней после получения такого запроса. На бумаге или в электронном виде направить уведомление о трансграничной передаче данных, указав название оператора, ФИО ответственного за работу с ПДн, цель трансграничной передачи, категории и перечень передаваемых данных, категории субъектов передачи сведений, список стран, дату проведения оценки по конфиденциальности и безопасности данных в другой стране. Уведомление подписывается уполномоченным лицом.

После отправки уведомления о трансграничной передаче оператор может передавать информацию в страны, которые участвуют в Конвенции Совета Европы о защите физлиц при автоматизированной обработке ПДн или включены в Перечень иностранных государств, обеспечивающих защиту данных (ч. 10, 11 ст. 12 № 152-ФЗ).

Передавать данные можно до тех пор, пока РКН не решит запретить или ограничить передачу.

Если страна не обеспечивает адекватный уровень защиты ПДн, оператору нельзя передавать сведения в течение 10 рабочих дней после подачи уведомления.

Не дожидаться решения РКН можно в случаях, когда трансграничная передача данных необходима для защиты жизни, здоровья или других жизненно важных целей.

Решение о запрете или ограничении РКН принимает после рассмотрения уведомления. Если передачу ограничат или запретят, оператор должен проконтролировать, чтобы лица за рубежом уничтожили полученную информацию.

ст. 12 Закона № 152-ФЗ.

Постановление Правительства № 24 от 16.01.2023.

Утечка персональных данных и ведение реестра инцидентов

Появился реестр РКН по учёту инцидентов в области ПДн.

Операторам, допустившим утечку ПДн, следовало проинформировать РКН, подав первичное уведомление об инциденте в течение 24 часов.

В течение 72 часов следовало отправить дополнительное уведомление о результатах внутреннего расследования.

Операторы должны уведомлять РКН о произошедших инцидентах и итогах расследований.

На основании уведомлений РКН вносит запись в реестр учёта инцидентов в области ПДн.

Первичные и дополнительные уведомления направляются в РКН в бумажной или электронной форме.

В первичном уведомлении нужно указать информацию о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесённом правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с РКН по вопросам, связанным с выявленным инцидентом.

В дополнительном уведомлении указывают результаты внутреннего расследования и устанавливают виновных лиц. Исполнитель указывает ФИО физлица или ИП, название юрлица, IP-адрес устройства, предполагаемое местонахождение виновных лиц и их устройств, другую информацию по расследованию.

Если оператор не предоставит дополнительное уведомление, РКН сам потребует результаты внутреннего расследования инцидента. На такое требование нужно ответить в течение одного рабочего дня. Если РКН самостоятельно выявит утечку базы ПДн и принадлежность базы к конкретному оператору, организация получит требование о необходимости предоставить первичное и дополнительное уведомления.

Сроки отправки уведомлений прежние: первичное уведомление — в течение 24 часов, дополнительное — в течение 72 часов.

п.3.1 ст.21 Закона № 152-ФЗ.

п.10 ст.23 Закона № 152-ФЗ.

Приказ Роскомнадзора № 187 от 14.11.2022.

Что относится к инцидентам в области ПДн: неправомерная или случайная передача информации, повлекшая нарушение прав гражданина.

Оценка потенциального вреда при обработке персональных данных

Для операторов установлено новое требование — оценка вероятного вреда при обработке ПДн.

Ранее требования не предъявлялись.

РКН утвердил требования к оценке вреда, который оператор может причинить субъектам ПДн, нарушив закон «О персональных данных».

Ответственный сотрудник оператора должен оценить степень угроз в зависимости от качества обрабатываемых данных.

Степеней угроз — три

1. Высокая:
   • оператор обрабатывает биометрические данные;
   • специальные категории ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и т.п.;
   • сведения о несовершеннолетних.
2. Средняя:
   • ПДн распространяются на официальном интернет-сайте оператора и доступны неограниченному кругу лиц;
   • оператор предлагает товары, работы, услуги, напрямую взаимодействуя с потребителем и используя базы другого оператора;
   • обработка данных ведётся в дополнительных целях, отличных от первоначальной цели сбора;
   • согласия на обработку ПДн получено посредством реализации на официальном интернет-сайте функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта ПДн;
   • обработка ПДн предполагает получение согласия на обработку ПДн, содержащего положения о предоставлении права осуществлять обработку ПДн определённому и (или) неопределённому кругу лиц в целях, несовместимых между собой.
3. Низкая. Устанавливается в случаях:
   • ведения общедоступных источников персональных данных, сформированных в соответствии со ст. 8 Закона № 152-ФЗ;
   • назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора.

Степень угроз оценивает формируемая оператором комиссия или ответственный за обработку ПДн сотрудник. Результат оценки и присвоенную степень вреда указывают в акте.

Правила ввели на 6 лет — до 1 марта 2029 года.

Приказ Роскомнадзора № 178 от 27.10.2022.

Уничтожение персональных данных

Ввели новые требования к подтверждению уничтожения данных.

РКН обновил порядок хранения документов, подтверждающих уничтожение ПДн.

Ранее закон не устанавливал требований к подтверждению уничтожения ПДн.

Операторы сами разрабатывали и закрепляли порядок в локальных нормативных документах.

РКН ввёл требования к подтверждению уничтожения ПДн

Требования должны применять все операторы. Подтверждение зависит от способа обработки ПДн.

1. Если оператор обрабатывает данные без использования средств автоматизации, документальным подтверждением является акт об уничтожении ПДн.
2. Если обработка проводится с использованием средств автоматизации, подтверждением будут:
   • акт об уничтожении ПДн;
   • выгрузка из журнала регистрации событий в информационной системе ПДн.
3. Если оператор обрабатывает данные одновременно с использованием средств автоматизации и без неё, подтверждением уничтожения ПДн будут акт и выгрузка из журнала.

Акт можно составить как на бумаге, так и в электронной форме.

Хранить акт и выгрузку из журнала нужно в течение трёх лет с момента уничтожения ПДн.

Приказ Роскомнадзора № 179 от 28.10.2022.

Обязанность по уничтожению персональных данных возникает в случаях, предусмотренных ч.ч. 3−5 ст. 21 Закона № 152-ФЗ:

• при необоснованном получении ПДн (например, без согласия физлица);
• при неправомерной обработке ПДн (незаконная передача третьим лицам, необеспечение сохранности ПДн и т.п.);
• при достижении целей обработки ПДн (например, когда срок действия ранее исполненного договора истёк);
• при отзыве субъектом ПДн согласия на обработку.