До 1 марта 2023 года работодатели обязаны передавать Роскомнадзор (далее -РКН) специальные уведомления об обработке персональных данных.
С 1 марта 2023 года РКН усилит проверки за ПД и повысит требования по ним. В частности, начнет проводить “дистанционные” проверки операторов ПД.
Персональными данными (далее – ПД) является любая информация, прямо или косвенно относящаяся к субъекту ПД – определенному или определяемому физическому лицу.
Обработка ПД – это действие или совокупность действий, которые совершают с персональными данными физического лица: работника, клиента, контрагента, пользователя сайта и.т.п.
1. Уведомление об изменении персональных данных: новый срок
С 1 марта будет больше времени, чтобы известить РКН об изменении ПД. Если сведения, которые указали в уведомлении, изменились, об этом нужно сообщить в РКН не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. До 1 марта такое уведомление направлялось в течение 10 рабочих дней с момента изменений.
2. Уничтожение персональных данных: новые правила
С 1 марта нужно фиксировать факт уничтожения ПД актом по новой форме. Раньше оформить акт об уничтожении можно было в свободной форме, а теперь необходимо включить в него 10 обязательных видов данных (Приказ Роскомнадзора от 28.10.2022 N 179).
С 1 марта 2023 года работодатель должен будет фиксировать факт того, что уничтожил ПД, двумя документами:
- актом об уничтожении ПД;
- выгрузкой из журнала регистрации событий в информационной системе ПД.
При этом, если компания обрабатывает данные вручную для подтверждения будет достаточно акта.
Минимальный срок, в течение которого необходимо хранить акты об уничтожении ПД и выгрузку из журналов регистрации событий – 3 года.
Обращаем внимание: если РКН или субъект ПД потребует уничтожения данных, а оператор не выполнит требование, и если при этом ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, компания может быть привлечена к административной ответственности по ч. 5 ст. 13.11 КоАП РФ. Штраф за такое нарушение установлен в размере до 90 тыс. руб.
3. Оценка степени вреда: новый порядок
С 1 марта 2023 года потребуется оценивать степень вреда, который может возникнуть, если будет нарушен закон о ПД. РКН утвердил специальные правила, по которым работодатели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки ПД
Правила будут действовать до 1 марта 2029 года (утв. Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179).
Степени вреда всего 3 (три):
- высокая;
- средняя;
- низкая.
Результаты оценки необходимо зафиксировать в акте оценки вреда.
Если оценка вреда покажет, что субъекту ПД могут быть причинены разные степени вреда, применению подлежит более высокая степень вреда.
Конкретные меры ответственности за непроведение оценки вреда законодательством не установлено, однако если нарушение будет выявлено в ходе проводимой РКН проверки, его нужно будет устранить. Роскомнадзор вправе выдать компании соответствующее предписание.
4. Передача персональных данных за границу
С 1 марта 2023 года компании должны будут уведомлять РКН о зарубежных поставщиках, которые получают доступ к личным данным граждан РФ (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, примет решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.
Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных. При этом, если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, с большей вероятностью, выдадут. Конвенцию, например, ратифицировали Армения, Азербайджан, Сербия, Турция.
Уведомление о намерении осуществлять трансграничную передачу можно будет оформить на бумаге или в электронном виде. Подавать его нужно будет отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку ПД.
5. РКН ужесточает проверки
За нарушение работы с персональными данными в 2023 году РКН будет привлекать к ответственности чаще.
Для этого не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09–6488). Речь идет о нарушениях, отраженных в частях 1–2.1 и 4 статьи 13.11 КоАП РФ. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.
РКН уточняет в своих разъяснениях, что по таким нарушениям контролеры могут действовать «бесконтактно» (без взаимодействия с нарушителем). Например, если нарушение обнаружил сам сотрудник Роскомнадзора и у него есть полномочия составлять протокол либо поступило указание от прокуратуры.
Внеплановых проверок будет больше. Правительство расширило список оснований для внеплановых проверок по ПД (постановление от 04.02.2023 № 161). Так, например, по решению главы или замглавы Роскомнадзора в компанию, в том числе аккредитованную IT-организацию, могут прийти с внеплановой проверкой, если выявят факт распространения в интернете баз с ПД.
Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).
Поддержка Konsu
Наши специалисты помогут разработать, провести анализ действующих документов по ПД, выявить неточности, недостающие данные, дополнить документы или разработать пакет документов с учетом новых требований и форм 2023г., а также определить степень вреда с учетом обрабатываемых категорий ПД, их хранения на сервере и способах защиты. Подробнее о наших услугах по защите персональных данных.
31.05.2023 Вебинар – Работа с персональными данными, Переход на 1С:ЗУП, ЭДО и кабинет сотрудника в 1С:ЗУП 3
Автор
Анна Резникова
- Руководитель практики трудового и миграционного права