Новые требования к операторам персональных данных с 01.09.2022 и с 01.03.2023

Для операторов персональных данных предусмотрят ряд новых обязанностей и запретов, а также сократят сроки, за которые необходимо сообщать информацию в Роскомнадзор и другие государственные органы. Поправки уже прошли финальное чтение в Госдуме и вступят в силу с 1 сентября 2022 года. 14.07.2022 Закон подписан и опубликован на портале правовой информации.

Когда необходимо отправлять уведомления в Роскомнадзор

Уведомлять Роскомнадзор о планах обрабатывать личную информацию будет необходимо и в случаях, когда эти сведения (абз. 2 пп. “а” п. 14 ст. 1 Проекта Федерального закона N 101234-8):

• относятся к работникам;
• принадлежат контрагентам оператора, а он использует персональные данные, чтобы исполнять договоры или заключать новые соглашения с теми же гражданами (при этом сведения не распространяют и не передают третьим лицам без согласия);
• нужны для однократного пропуска гражданина на территорию оператора или для аналогичных целей.

Уведомление можно отправить в виде бумажных документов по почте, либо в электронном виде. Инструкции для каждого варианта на сайте РКН.

15.12.2022 Опубликован Приказ Роскомнадзора от 28.10.2022 № 180, вступающий в силу 26.12.2022. Утверждены формы уведомлений:

• о намерении осуществлять обработку персональных данных
• об изменении сведений в уведомлении о намерении осуществлять обработку персональных данных
• о прекращении обработки персональных данных

После обработки уведомления Роскомнадзор включит оператора в свой реестр. Проверить наличие оператора персональных данных в реестре можно на сайте Роскомнадзора.

Сейчас в этих и некоторых других случаях извещать Роскомнадзор не нужно. Оператор должен будет до начала обработки личных сведений, которые он получил от другого источника, перечислить такие данные их субъекту (пп. “б” п. 9 ст. 1 проекта ФЗ).

Трансграничная передача данных

Также с 1 марта 2023 года компании будут обязаны уведомлять РКН в случае, если они отправляют персональные данные из РФ за границу. При этом при определении трансграничной передачи будет учитываться не страна регистрации принимающей стороны, а расположение инфраструктуры. В отдельных случаях контролирующие органы могут ограничить передачу персональных данных за границу. Кроме того, вводится принцип экстерриториальности для российского законодательства о персональных данных. Таким образом, обработка персональных данных граждан РФ за границей также будет объектом регулирования соответствующих органов государственной власти РФ.

• 02.02.2023 C 1 марта 2023 года Роскомнадзор сможет запрещать операторам ПД передавать данные за границу
• 17.03.2023 Оформление передачи персональных данных за границу: условия, штрафы, алгоритм уведомления

Обязанность уведомления об инцидентах

Нужно будет работать с госсистемой обнаружения, предупреждения и ликвидации последствий кибератак на информресурсы РФ. В частности, через нее придется сообщать об инцидентах, из-за которых произошла утечка личных сведений в течение 24 часов после происшествия, с указанием предполагаемых причин инцидентов и мерах по их устранению (абз. 2 п. 11 ст. 1 проекта ФЗ). 11.08.2022 На заседании Общественного совета при Роскомнадзоре необходимость этого изменения Роскомнадзор обосновал так: “Это необходимо, чтобы как можно быстрее снизить доступность таких баз персональных данных в интернете. Также обработка персональных данных станет возможна только в целях договора, в котором нет условий, ограничивающих человека в его праве контролировать свои персональные данные – получать информацию об обработке, требовать удаления или уничтожения данных, не соглашаться с передачей данных третьим лицам.”.

19.12.2022 Подать информацию об инцидентах и результатах их внутренних расследований можно по ссылкам с сайта РКН, пройдя идентификацию ЕСИА (Госуслуги).

Раннее такая обязанность возлагалась только на компании-операторов критической инфраструктуры. Все они с 2018 года были обязаны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), созданной на основании Указа Президента РФ №31с от 15.01.2013. Информация, собранная в указанной системе, обрабатывается Национальным координационном центре по компьютерным инцидентам (НКЦКИ) и все операторы, подлючённые к ГоСОПКА, имеют доступ к актуальной информации об утечках, критических уязвимостях и кибератаках на объекты критической инфраструктуры. Новый закон, по-видимому, распространит аналогичные практики на всех операторов персональных данных. Подключение к системе ГоСОПКА осуществляется с помощью компаний, настроивших безопасную передачу данных с этой системой и предоставляющих услуги по подключению новых компаний (чаще всего это операторы связи, либо компании, работающие в сфере кибербезопасности). С 1 марта 2023 года Роскомнадзор будет вести учёт инцидентов в специализированном реестре.

Что необходимо прописать в ЛНА

С 1 сентября необходимо будет определить в ЛНА для каждой цели обработки персональных данных:

• Категории и перечень обрабатываемых персональных данных;
• Категории субъектов персональных данных;
• Способы обработки персональных данных;
• Сроки обработки и хранения персональных данных;
• Порядок уничтожения персональных данных при достижении целей их обработки, либо при наступлении иных оснований.

Обязанности лиц, которые осуществляют обработку персональных данных по поручению оператора

В случае, если оператор персональных данных поручает обработку персональным данным другим физическим или юридическим лицам, то такие лица обязаны принять меры по обеспечению соблюдения требований 152-ФЗ. Оператор персональных данных вправе запросить у таких лиц документы и иную информацию, которая подтверждает соблюдение этими лицами требований 152-ФЗ. В случае возникновения инцидентах, которые могут повлечь нарушение прав субъектов персональных данных, лица, обрабатывающие персональные данные по поручению оператора, обязаны уведомить оператора об инциденте и о мерах, принятых по предотвращению повторных инцидентов и устранению его последствий.
В новой редакции лица, обрабатывающие персональные данные по поручению оператора (в том числе если они являются иностранными физическими или юридическими лицами), несут ответственность перед субъектами персональных данных вместе с оператором.

Иные требования

• Операторам запретят отказывать в предоставлении услуг физическим лицам, если они не хотят предоставлять биометрические сведения или соглашаться на обработку персональных данных, если по закону получать согласие на нее необязательно (п. 6 ст. 1 проекта).
• По требованию субъекта персональных данных оператор обязан прекратить обработку персональных данных в течение 30 дней после поступления запроса.
• Запрещена обработка биометрических персональных данных несовершеннолетних.

Изменения сроков

С 30 суток до 10 рабочих дней сократят время на то, чтобы оператор сообщил Роскомнадзору по его запросу нужные данные (пп. “в” п. 12 ст. 1 проекта ФЗ). Течение срока можно продлить (максимум – 5 дополнительных дней), предоставив в Роскомнадзор мотивированное уведомление.
Поправки вступят в силу 1 сентября 2022 года, кроме отдельных положений, которые начнут применять с 1 марта 2023 г.

Оценка вреда от нарушения законодательства о персональных данных

29.11.2022 Опубликован приказ Роскомнадзора от 27.10.2022 № 178. С 1 марта 2023 года операторы персональных данных обязаны проводить оценку потенциального вреда, который оператор может причинить субъектам персональных данных при их обработке в информационных системах. Результаты оценки должны быть оформлены в виде акта. Акт должен содержать:

• “наименование или фамилию, имя, отчество (при наличии) и адрес оператора;
• дату издания акта оценки вреда;
• дату проведения оценки вреда;
• фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;
• степень вреда, которая может быть причинена субъекту персональных данных, в соответствии с подпунктами 2.1 – 2.3 пункта 2 Требований.” п. 4 Приказа

Уничтожение персональных данных

С первого марта 2023 года вступают в силу утвержденные приказом Роскомнадзора от 28.10.2022 №179 Требования к подтверждению уничтожения персональных данных (далее – Требования).

По новым правилам подтверждением уничтожения персональных данных является Акт об уничтожении персональных данных, который должен содержать:

• наименование оператора;
• ФИО субъекта персональных данных;
• ФИО, должность лиц, уничтоживших персональные данные, их подпись;
• перечень категорий уничтоженных персональных данных;
• наименование уничтоженного материального носителя, содержащего персональные данные и наименование информационной системы персональных данных, из которой были уничтожены персональные данные;
• способ уничтожения персональных данных;
• причину уничтожения персональных данных;
• дату уничтожения персональных данных.

При автоматизированной обработке персональных данных в дополнение к указанному акту следует осуществить выгрузку из журнала регистрации событий в информационной системе персональных данных. В отличие от Акта, выгрузка должна содержать в себе меньшее количество информации, а именно:

• ФИО субъекта персональных данных;
• перечень категорий уничтоженных персональных данных;
• наименование информационной системы;
• причину и дату уничтожения персональных данных.

Указанные документы могут быть оформлены как на бумажном носителе, так и в электронной форме.

Процедура

С марта 2023 года, чтобы уничтожить персональные данные (ПД), надо будет сформировать комиссию, которая проведет процедуру. Подтвердить уничтожение сведений нужно будет двумя документами: актом об уничтожении ПД и выгрузкой из журнала регистрации событий в информационной системе ПД.

Если компания обрабатывает данные без информсистем, понадобится только акт. Срок хранения документов — три года. Электронный акт с цифровой подписью будут равнозначным бумажному. (Приказ Роскомнадзора от 28.10.2022 N 179)

Уничтожают персональные данные после того, как истечет срок их хранения или компания достигнет цели обработки документов, если сроки их хранения закон не определяет. Например, нет причин оставлять в кадрах копию свидетельства о рождении ребёнка, после того как назначили работнику пособие по уходу за ребенком.

Для уничтожения ПД необходимо соблюдать следующий алгоритм:

• Этап № 1. Установить порядок уничтожения персональных данных. Разработать локальный акт об уничтожении персональных данных, это может быть также включено в Положение о ПД. В нем прописать, в каких случаях компания уничтожает личные данные. Определите, какие способы для этого использовать.
• Этап № 2. Создать комиссию по уничтожению ПД.
• Носители, которые содержат ПД, уничтожать в специально отведенном для этих целей помещении компании. Ее состав и полномочия утверждаются соответствующим приказом. В состав комиссии входят председатель и как минимум еще два сотрудника. Также нужно включать в комиссию работника, ответственного за обработку документов, которые планируется уничтожить.
• Этап № 3. Зафиксировать уничтожение ПД. Отразить в специальном акте, что уничтожены документы, которые содержат ПД работников. Требования к такому акту с 1 марта 2023 года устанавливает Приказ Роскомнадзора от 28.10.2022 N 179.

Контроль и ответственность операторов персональных данных за нарушения

Роскомнадзор контролирует операторов персональных данных в рамках контрольных мероприятий трёх типов:

• инспекционный визит;
• документарную проверку;
• выездную проверку.

За невыполнение обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ “О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, организацию могут привлечь к административной ответственности. Например, максимальный штраф для организации:

• за невыполнение в установленные сроки требования субъекта персональных данных (его представителя) либо Роскомнадзора об уточнении персональных данных в случае, когда они являются неполными, устаревшими, неточными, составляет 90 тыс. руб., за повторное правонарушение – 500 тыс. руб. (ч. 5, 5.1 ст. 13.11 КоАП РФ);
• за невыполнение при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обязанности обеспечить, в частности, хранение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, составляет 6 млн руб., за повторное правонарушение – 18 млн руб. (ч. 8, 9 ст. 13.11 КоАП РФ).
  Если действия физлица содержат признаки преступления, то его могут привлечь к уголовной ответственности.

05.10.2022 Минцифры предлагает установить ответственность для ИП и должностных лиц за утечку персональных данных:

“Для руководителей компании, допустившей утечку данных от 10 000 до 100 000 субъектов, штраф составит 200 000–400 000 руб. Для ИП и юрлиц штраф за такое же происшествие составит 0,02% от оборота, но не менее 1 млн руб.” (Ведомости)

14.12.2022 Минцифры разработало законопроект, согласно которому штрафы за утечку персональных данных могут составить 3% от оборота компании (ТАСС).

“смягчающим обстоятельством будет, если компания аттестовала и сертифицировала всю инфраструктуру в соответствии с требованиями безопасности, продемонстрировав, что инвестиции в средства защиты сделаны, и, если компания будет компенсировать ущерб тем гражданам, чьи данные утекли” (Минцифры, ТАСС)

Поддержка Konsu

Специалисты нашей компании при необходимости помогут проанализировать документы, подготовить ЛНА, заполнить необходимые формы и уведомить Роскомнадзор о намерении оператора осуществлять обработку персональных данных (ч. 1 ст. 22 Закона о персональных данных). Подробнее о наших услугах по защите персональных данных.