Моё дело
Защита персональных данных

Изменения в работе с персональными данными с 1 марта 2023 года

С 1 марта 2023 года в очередной раз изменились требования к обработке персональных данных. Изменения коснулись трансграничной передачи, утечки и уничтожения персональных данных. Разбираем подробно все новшества.
Изменения в работе с персональными данными с 1 марта 2023 года
Иллюстрация: Моё дело

Уведомление Роскомнадзора о трансграничной передаче персональных данных

Некоторым компаниям приходится отправлять персональные данные (ПД) российских граждан заграничным партнёрам. Например, туроператор передаёт сведениях о клиентах при бронировании отеля; импортёр направляет Ф.И.О., должность и контакты своих работников зарубежному поставщику при заключении контракта.

Отправка персональной информации в другое государство иностранному субъекту – это трансграничная передача (ТППД). В таких случаях нужно соблюдать особые требования, поскольку за рубежом не действует российский закон о персональных данных. Положения этого закона применяются только если это установлено договором между российским гражданином и иностранцем.

Обмен сведениями между российской компанией и её зарубежным филиалом, или обработка ПД российским представительством иностранной фирмы к трансграничной передаче не относятся.

Все иностранные государства в целях применения закона о персональных данных делятся на две категории:

  1. Обеспечивающие адекватную защиту персональных данных – стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (СДСЕ № 108) или принимающие меры, аналогичные Конвенции. Их перечень приведён в приказе Роскомнадзора от 05.08.2022 № 128. Это, например, Беларусь, Казахстан, ЮАР, Китай, Турция.

  2. Не обеспечивающие адекватную защиту – страны, которых нет в приказе № 128.

Раньше в государства с адекватной защитой ПД можно было передавать свободно, без дополнительных условий. С 1 марта 2023 года для трансграничной передачи в любую страну нужно уведомить Роскомнадзор в соответствии со ст. 12 закона № 152-ФЗ.

Операторы, которые осуществляли ТППД до 1 марта 2023 года и уведомили об этом Роскомнадзор по требованиям п. 5 ст. 6 Федерального закона от 14.07.2022 № 266-ФЗ, повторно форму не заполняют.

Не нужно уведомлять о каждом факте передачи ПД за рубеж, а также о появлении новых контрагентов или изменении числа контрагентов. Это разъяснил Роскомнадзор в письме от 06.12.2022 № 08ВМ-107716.

Уведомление подают в электронном виде на официальном портале персональных данных. Его нужно направить до начала ТППД. Для доступа к форме понадобится подтверждённая учётная запись на Госуслугах, поскольку авторизация происходит через ЕСИА. Она должна быть привязана к личному кабинету компании на Госуслугах, если уведомление подаётся от юридического лица.

Образец уведомления о намерении осуществлять ТППД. Источник: официальный сайт Роскомнадзора.

После отправки уведомления можно сразу передавать данные в страны с адекватной защитой, не дожидаясь ответа от Роскомнадзора. Но РКН после рассмотрения уведомления имеет право ограничить или запретить передачу персональных данных, тогда оператору придётся принимать меры, чтобы иностранец уничтожил уже переданные ему данные. Например, направить контрагенту письменное требование.

Если хотите точно убедиться, что передача персональных данных в другую страну не будет запрещена, дождитесь результатов рассмотрения уведомления. На это Роскомнадзору даётся 10 рабочих дней. Проверить статус уведомления можно там же, где его подавали, – на сайте ведомства.

В государства без адекватной защиты нельзя передавать данные до истечения 10 рабочих дней после подачи уведомления. Этот срок нужен для проверки сведений от оператора. Если по истечении 10 рабочих дней в статусе уведомления нет отметки о запрете, то можно осуществлять ТППД.

До подачи уведомления оператор должен провести оценку соблюдения иностранцами мер по защите ПД. Для этого нужно получить у них сведения по списку в п. 5 ст. 12 закона № 152-ФЗ. Эту информацию от оператора может потребовать Роскомнадзор при проверке уведомления. С 1 марта 2023 года в договоры с иностранными контрагентами целесообразно включить условие, что они должны предоставлять сведения по п. 5 ст. 12 закона № 152-ФЗ.

Подарок для наших читателей – запись вебинара по изменениям в бухучёте и налогообложении с 1 января 2023 года. Полтора часа подробного разбора новаций, конкретных примеров и ответов на вопросы!

Спикеры – известные эксперты в бухгалтерии и участники разработки новых ФСБУ:

  • Алексей Иванов – директор по знаниям и развитию учётной системы интернет-бухгалтерии «Моё дело».

  • Людмила Архипкина – ведущий методолог по бухгалтерскому учёту и налогообложению интернет-бухгалтерии «Моё дело».

    Главные изменения в бухучёте и налогах в 2023 году

    Все новации в одном вебинаре

    Получите бесплатное видео с экспертным обзором!

    Оставьте заявку в форме ниже, и мы вышлем вам запись

    Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Новые сроки уведомления Роскомнадзора при изменениях у оператора персональных данных

Роскомнадзор ведёт Реестр операторов персональных данных, который составляют на основе уведомлений от операторов персональных данных. Если у оператора изменились сведения, об этом нужно уведомить Роскомнадзор.

Например, нужно сообщать:

  • о смене наименования, адреса оператора;

  • об изменении целей обработки персональных данных, составе ПД;

  • о начале или прекращении ТППД.

Полный перечень информации приведён в ч. 3 ст. 22.1 закона № 152-ФЗ.

Раньше об изменениях нужно было сообщать в Роскомнадзор в течение 10 рабочих дней с момента изменений. С 1 марта 2023 года срок изменился – теперь об изменениях нужно уведомлять до 15-го числа следующего месяца.

Форма уведомления Роскомнадзора об изменении сведений приведена в приложении 2 к приказу Роскомнадзора от 28.10.2022 № 180.

Новая форма уведомления об утечке персональных данных

По данным ежегодного отчёта ЭАЦ ГК InfoWatch в 2022 году утечек данных из финансовой сферы в мире стало больше в 3,7 раза; в России – в 1,7 раза. Из них 80% приходится на персональные данные. Всего в прошлом году скомпрометировано более 627 млн записей с личными данными граждан, в том числе в России – более 44 млн. Каждая вторая утечка в РФ пришлась на банки. При этом доля умышленных нарушений в результате действий сотрудников составила 70%.

Из-за роста инцидентов с персональными данными Роскомнадзор постоянно ужесточает требования к их обработке и хранению. С 1 сентября 2022 года операторы обязаны сообщать обо всех случаях неправомерной или случайной передачи ПД в Роскомнадзор.

С 1 марта 2023 года действует приказ Роскомнадзора от 14.11.2022 № 187, который вводит порядок взаимодействия Роскомнадзора и оператора при обнаружении утечек персональных данных. В нём же расписано, какие сведения должны быть в первичном и дополнительном уведомлении по ч. 3.1 ст. 21 Закона № 152-ФЗ. Обновлённые формы размещены на официальном портале ПД.

Сообщить об утечках персональных данных можно на официальном портале Роскомнадзора. Для этого нужна учётная запись на Госуслугах.

Также с 1 марта 2023 года действует приказ ФСБ России от 13.02.2023 № 77 о порядке взаимодействия операторов с ГосСОПКА по ч. 12 ст. 19 Закона № 152-ФЗ. Субъекты критической инфраструктуры и другие организации, использующие каналы связи с Национальным координационным центром по компьютерным инцидентам ФСБ России (НКЦКИ), сообщают о компьютерных инцидентах непосредственно в НКЦКИ в течение 24 часов.

Прочим операторам достаточно уведомить Ростехнадзор по приказу № 187, а тот сам передаст информацию об утечках в НКЦКИ.

Оценка вреда от утечки персональных данных

С 1 марта 2023 года оператор должен оценивать степень потенциального вреда субъекту персональных данных – п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ. Требования к такой оценке установлены в приказе Роскомнадзора от 27.10.2022 № 178.

Есть три степени вреда:

  1. Высокая. Примеры: обрабатываются биометрические персональные данные или ПД несовершеннолетних; базы с ПД российских граждан хранятся на территории другого государства.

  2. Средняя. Примеры: персональные данные размещены на официальном сайте оператора и доступны неограниченному кругу лиц; компания продвигает свои услуги путём прямых контактов с гражданами, чьи ПД находятся в базе другого оператора.

  3. Низкая. Пример: ведутся общедоступные источники ПД.

Оценку вреда проводит назначенная оператором комиссия или ответственный за организацию обработки персональных данных. Результаты нужно оформить актом по требованиям из п. 4-5 приложения к приказу № 178. То есть с 1 марта 2023 года оператор должен хранить ещё один документ, который может потребовать Роскомнадзор при проверке.

Новые правила уничтожения персональных данных

Оператор должен уничтожить персональные данные в трёх случаях по ст. 21 закона № 152-ФЗ:

  • при обращении субъекта персональных данных выявлен факт их неправомерной обработки – например, нет согласия на обработку;

  • достигнуты цели, для которых собиралась личная информация, – например, вакансия закрыта, и больше не нужно хранить резюме соискателей;

  • субъект ПД отозвал своё согласие и (или) потребовал прекратить обработку.

С 1 марта 2023 года факт уничтожения персональных данных нужно подтвердить документами, предусмотренными приказом Роскомнадзора от 28.10.2022 № 179: актом и выпиской.

Ликвидацию бумажных и других материальных носителей с ПД фиксируют в акте, который должен содержать сведения по п. 3 приложения к приказу № 179.

Уничтожение компьютерной информации подтверждают выгрузкой из журнала регистрации событий в информационной системе ПД. Она формируется автоматически – для каждого программного продукта есть свой алгоритм. Требования к содержанию выгрузки приведены в п. 5 приложения к приказу № 179. Дополнительно оформляется акт, в который при необходимости вносят информацию, которой нет в выгрузке.

Рекомендуем издать приказ о порядке уничтожения персональных данных, закрепить в нём формы акта и выгрузки, и ознакомить с ним работников под личную подпись.

Ответственность за нарушения в обработке персональных данных

До 2030 года действует мораторий на плановые надзорные мероприятия, но это не освобождает операторов от выполнения требований закона о персональных данных. При выявлении утечек персональных данных, которые угрожают безопасности людей и государства, Роскомнадзор придёт с внеплановой проверкой.

В особой зоне внимания находятся ИТ-компании и СМИ. Так по постановлению от 04.02.2023 № 161 Роскомнадзор проведёт внеплановую проверку, если в Интернет попадут базы данных или часть БД, имеющих признаки принадлежности к российской аккредитованной компании в сфере информационных технологий.

СМИ могут получить штраф за нарушения закона № 152-ФЗ даже без визита Роскомнадзора. В ч. 3.5 ст. 28.1 КоАП РФ установлен перечень случаев, когда ведомство возбуждает дело об административном правонарушении без проведения проверки. Например, если СМИ не опубликовало политику в отношении обработки персональных данных. Роскомнадзор напомнил об этом в письме от 31.01.2023 № 09-6488.

Напомним, что ответственность за нарушение закона № 152-ФЗ в общем случае установлена в ст. 13.11 КоАП РФ. Например, за невыполнение требований об уничтожении персональных данных ИП может получить штраф от 20 000 до 40 000 рублей; юрлицо – от 50 000 до 90 000 рублей.

Моё дело Бюро

Справочно-правовая система для бухгалтеров, юристов, кадровиков и профессиональный консалтинг

Реклама: ООО «Мое дело», ИНН: 7701889831

Начать дискуссию