Персональные данные: Роскомнадзор устанавливает порядок выполнения новых требований, вступающих в силу с 1 марта 2023 года
В середине прошлого года Федеральным законом от 14 июля 2022 г. № 266-ФЗ был внесён ряд существенных изменений (требований) в некоторые статьи Федерального закона «О персональных данных». Согласно этим изменениям порядок выполнения новых требований, вступающих в силу с 1 марта 2023 года, должен быть детализирован приказами Роскомнадзора.
Вот перечень подзаконных актов, изданных Роскомнадзором во исполнение новых требований, внесённых в Федеральный закон «О персональных данных»:
- Приказ Роскомнадзора от 5 августа 2022 г. № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных»;
- Приказ Роскомнадзора от 27 октября 2022 г. № 178 «Об утверждении требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»;
- Приказ Роскомнадзора от 28 октября 2022 г. № 179 «Об утверждении требований к подтверждению уничтожения персональных данных»;
- Приказ Роскомнадзора от 28 октября 2022 г. № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных»;
- Приказ Роскомнадзора от 14 ноября 2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».
Степень вреда |
Нарушаемое положение закона ( вид/характер нарушения ) |
Высокая |
- Обработка биометрических персональных данных, которые используются оператором для установления личности субъекта; - Обработка специальных категорий персональных данных; - Обработка персональных данных несовершеннолетних для исполнения договора, стороной которого (выгодоприобретателем, поручителем) является несовершеннолетний в случаях, не предусмотренных законодательством РФ; - Обезличивание персональных данных; - Поручение иностранному лицу осуществлять обработку персональных данных граждан РФ; - Сбор персональных данных с использованием БД, находящихся за пределами РФ. |
Средняя |
- Распространение персональных данных на официальном сайте в сети Интернет, предоставление персональных данных неограниченному кругу лиц; - Обработка персональных данных в целях, отличных от первоначальной цели сбора; - Продвижение товаров, работ, услуг путем осуществления прямых контактов с потребителем с использованием базы данных, владельцем которых является иной оператор; - Получение согласия на обработку персональных данных в сети Интернет посредством функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных; - Осуществление обработки персональных данных, предполагающее получение согласия, содержащего положения о предоставлении права осуществлять обработку определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой. |
Низкая |
- Ведение общедоступных источников персональных данных; - Назначение в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора. |
• наименование или фамилию, имя, отчество и адрес оператора;
• дату издания акта оценки вреда;
• дату проведения оценки вреда;
• фамилию, имя, отчество, должность лиц, проводивших оценку вреда, а также их подпись;
• степень вреда, которая может быть причинена субъекту персональных данных.
Новые требования к трансграничной передаче персональных данных
В соответствии с законом от 14 июля 2022 г. № 266-ФЗ полностью обновлена статья 12 «Трансграничная передача персональных данных» закона «О персональных данных».
Теперь начиная с 1 марта 2023 г. оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных.
Уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренное статьёй 22 закона «О персональных данных».
Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.
• наименование (ФИО), адрес оператора, а также дату и номер уведомления о намерении осуществлять обработку персональных данных;
• наименование (ФИО) лица, ответственного за организацию обработки персональных данных, контактную информацию этого лица;
• правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных персональных данных;
• категории и перечень передаваемых персональных данных;
• категории субъектов, персональные данные которых передаются;
• перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;
• дату проведения оператором оценки соблюдения органами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.
• сведения о принимаемых органами мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
• информацию о правовом регулировании в области персональных данных иностранного государства (только в случае, если предполагается осуществление трансграничной передачи персональных данных органам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);
• сведения об органах, которым планируется трансграничная передача персональных данных (наименование, номера контактных телефонов, почтовые адреса и адреса электронной почты);
• наименование, адрес оператора, а также дату и номер уведомления о намерении осуществлять обработку персональных данных;
• наименование лица, ответственного за организацию обработки персональных данных, контактную информацию этого лица.
• перечень иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (перечень включает 55 государств);
• перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных (перечень включает 34 государства).
Требования к уничтожению персональных данных
Часть 7 статьи 5 закона «О персональных данных» устанавливает один из важных принципов обработки персональных данных: обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
Уничтожение должно осуществляться в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, иным соглашением между оператором и субъектом персональных данных, либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта на основаниях, предусмотренных законом «О персональных данных» или другими федеральными законами.
Ранее порядок оформления факта уничтожения персональных данных никак не регулировался, теперь же требования к подтверждению уничтожения персональных данных установлены приказом Роскомнадзора от 28 октября 2022 г. № 179 «Об утверждении требований к подтверждению уничтожения персональных данных».
Согласно этому приказу в случае, если обработка персональных данных осуществляется без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных, является акт об уничтожении персональных данных.
• акт об уничтожении персональных данных и
• выгрузка из журнала регистрации событий в информационной системе персональных данных.
• наименование и адрес оператора;
• наименование лица, осуществляющего обработку персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);
• фамилию, имя, отчество (субъекта (субъектов), чьи персональных данных были уничтожены;
• фамилию, имя, отчество, должность лиц (лица), уничтоживших персональных данных, а также их (его) подпись;
• перечень категорий уничтоженных персональных данных субъекта (субъектов);
• наименование уничтоженного материального (материальных) носителя (носителей), с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
• наименование информационной системы персональных данных, из которой (которых) были уничтожены персональные данные (в случае обработки персональных данных с использованием средств автоматизации);
• способ уничтожения персональных данных;
• причину уничтожения персональных данных;
• дату уничтожения персональных данных.
• фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
• перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
• наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
• причину уничтожения персональных данных;
• дату уничтожения персональных данных субъекта (субъектов) персональных данных.
Из закона «О персональных данных» следует, что под инцидентами, о которых оператор обязан уведомить Роскомнадзор, понимаются факты неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшие нарушение прав субъектов персональных данных.
• в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение, и предполагаемом вреде, нанесенном правам субъектов, о принятых мерах по устранению последствий инцидента, а также предоставить сведения о лице, уполномоченном на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом;
• в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Порядок взаимодействия Роскомнадзора с операторами в рамках ведения реестра учёта инцидентов определён приказом Роскомнадзора от 14 ноября 2022 г. № 187.
• о произошедшем инциденте (дата и время выявления инцидента, характеристика (характеристики) персональных данных (содержание базы данных, ставшей доступной неограниченному кругу лиц в результате неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, количество содержащихся в ней записей);
• о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных;
• о предполагаемом вреде, нанесенном правам субъектов персональных данных (результаты предварительной оценки вреда, который может быть нанесен субъектам персональных данных в связи с неправомерным распространением персональных данных);
• о принятых мерах по устранению последствий соответствующего инцидента (перечень принятых оператором организационных и технических мер по устранению последствий инцидента);
• о лице, уполномоченном оператором на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом.
• взаимодействие осуществляется через Национальный координационный центр по компьютерным инцидентам (НКЦКИ);
• операторы направляют информацию об инцидентах, путем заполнения формы на сайте Роскомнадзора по адресу https://pd.rkn.gov.ru/incidents/form/.
Новые требования к Уведомлению
Согласно изменениям, внесённым в статью 22 закона «О персональных данных», теперь практически все операторы персональных данных обязаны уведомить Роскомнадзор о своём намерении осуществлять обработку персональных данных, за исключением: