Контакты Скачать
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • ПО ElvisSIM.OS
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Персональные данные: Роскомнадзор устанавливает порядок выполнения новых требований, вступающих в силу с 1 марта 2023 года

    14.02.2023 Булаев Михаил Александрович, ведущий консультант-аналитик

    В середине прошлого года Федеральным законом от 14 июля 2022 г. № 266-ФЗ был внесён ряд существенных изменений (требований) в некоторые статьи Федерального закона «О персональных данных». Согласно этим изменениям порядок выполнения новых требований, вступающих в силу с 1 марта 2023 года, должен быть детализирован приказами Роскомнадзора.
    Вот перечень подзаконных актов, изданных Роскомнадзором во исполнение новых требований, внесённых в Федеральный закон «О персональных данных»:

    • Приказ Роскомнадзора от 5 августа 2022 г. № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных»;
    • Приказ Роскомнадзора от 27 октября 2022 г. № 178 «Об утверждении требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»;
    • Приказ Роскомнадзора от 28 октября 2022 г. № 179 «Об утверждении требований к подтверждению уничтожения персональных данных»;
    • Приказ Роскомнадзора от 28 октября 2022 г. № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных»;
    • Приказ Роскомнадзора от 14 ноября 2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».
    Далее постараемся проанализировать, какие обязанности для операторов персональных данных устанавливаются этими приказами.

    Оценка вреда субъектам персональных данных

    Согласно пункта 5 части 1 статьи 18.1 закона «О персональных данных» оператор в соответствии с требованиями, установленными Роскомнадзором, обязан проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения оператором закона «О персональных данных».

    До внесения последних изменений в закон «О персональных данных» каких-либо официально признанных методик оценки вреда не существовало. Теперь порядок оценки вреда установлен приказом Роскомнадзора от 27 октября 2022 г. № 178 «Об утверждении требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
    В соответствии с этим приказом для целей оценки вреда оператор определяет одну из степеней вреда в соответствии с вербальной (качественной) шкалой, представляющей собой закрытый перечень некоторых событий, сгруппированных по трём степеням вреда.

     Степень вреда 
      Нарушаемое положение закона ( вид/характер нарушения )
     Высокая                -  Обработка биометрических персональных данных, которые используются оператором для установления личности субъекта;
      -  Обработка специальных категорий персональных данных;
      -  Обработка персональных данных несовершеннолетних для исполнения договора, стороной которого (выгодоприобретателем, поручителем) является несовершеннолетний в случаях, не предусмотренных законодательством РФ;
      -  Обезличивание персональных данных;
      -  Поручение иностранному лицу осуществлять обработку персональных данных граждан РФ;
      -  Сбор персональных данных с использованием БД, находящихся за пределами РФ.
     Средняя 
      -  Распространение персональных данных на официальном сайте в сети Интернет, предоставление персональных данных неограниченному кругу лиц;
      -  Обработка персональных данных в целях, отличных от первоначальной цели сбора;
      -  Продвижение товаров, работ, услуг путем осуществления прямых контактов с потребителем с использованием базы данных, владельцем которых является иной оператор;
      -  Получение согласия на обработку персональных данных в сети Интернет посредством функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных;
      -  Осуществление обработки персональных данных, предполагающее получение согласия, содержащего положения о предоставлении права осуществлять обработку определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.
     Низкая   -  Ведение общедоступных источников персональных данных;
      -  Назначение в качестве ответственного за обработку персональных данных лица, не являющегося штатным сотрудником оператора.

    При ближайшем рассмотрении событий, включенных в этот перечень, оказывается, что часть из них представляет из себя просто разрешённые законодательством виды деятельности, связанные с обработкой персональных данных, например, «обработка специальных категорий персональных данных». Другая часть – это нарушение одного из требований закона, например, «обработка персональных данных в целях, отличных от первоначальной цели сбора». Такой подход выглядит довольно странным и нелогичным, вместе с тем существенно упрощает оператору процесс оценки вреда. Оператору достаточно просто выбрать из этого перечня набор событий, соответствующий особенностям его деятельности, связанной с обработкой персональных данных, и результаты оценки вреда оформить актом.

    Акт оценки вреда должен содержать:
                • наименование или фамилию, имя, отчество и адрес оператора;
                • дату издания акта оценки вреда;
                • дату проведения оценки вреда;
                • фамилию, имя, отчество, должность лиц, проводивших оценку вреда, а также их подпись;
                • степень вреда, которая может быть причинена субъекту персональных данных.

    Новые требования к трансграничной передаче персональных данных

    В соответствии с законом от 14 июля 2022 г. № 266-ФЗ полностью обновлена статья 12 «Трансграничная передача персональных данных» закона «О персональных данных».
    Теперь начиная с 1 марта 2023 г. оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять трансграничную передачу персональных данных.
    Уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренное статьёй 22 закона «О персональных данных».
    Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

    Уведомление о намерении осуществлять трансграничную передачу персональных данных должно содержать следующие сведения:
                • наименование (ФИО), адрес оператора, а также дату и номер уведомления о намерении осуществлять обработку персональных данных;
                • наименование (ФИО) лица, ответственного за организацию обработки персональных данных, контактную информацию этого лица;
                • правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных персональных данных;
                • категории и перечень передаваемых персональных данных;
                • категории субъектов, персональные данные которых передаются;
                • перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;
                • дату проведения оператором оценки соблюдения органами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.

    Оператор до подачи уведомления обязан получить от органов, которым планируется трансграничная передача персональных данных, следующие сведения:
                • сведения о принимаемых органами мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
                • информацию о правовом регулировании в области персональных данных иностранного государства (только в случае, если предполагается осуществление трансграничной передачи персональных данных органам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных);
                • сведения об органах, которым планируется трансграничная передача персональных данных (наименование, номера контактных телефонов, почтовые адреса и адреса электронной почты);
                • наименование, адрес оператора, а также дату и номер уведомления о намерении осуществлять обработку персональных данных;
                • наименование лица, ответственного за организацию обработки персональных данных, контактную информацию этого лица.

    В целях реализации новых требований приказом Роскомнадзора от 5 августа 2022 г. № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных» утверждены два перечня, которыми нужно руководствоваться операторам в случае осуществления ими трансграничной передачи персональных данных:
                • перечень иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (перечень включает 55 государств);
                • перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных (перечень включает 34 государства).

    Требования к уничтожению персональных данных

    Часть 7 статьи 5 закона «О персональных данных» устанавливает один из важных принципов обработки персональных данных: обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
    Уничтожение должно осуществляться в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, иным соглашением между оператором и субъектом персональных данных, либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта на основаниях, предусмотренных законом «О персональных данных» или другими федеральными законами.
    Ранее порядок оформления факта уничтожения персональных данных никак не регулировался, теперь же требования к подтверждению уничтожения персональных данных установлены приказом Роскомнадзора от 28 октября 2022 г. № 179 «Об утверждении требований к подтверждению уничтожения персональных данных».
    Согласно этому приказу в случае, если обработка персональных данных осуществляется без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных, является акт об уничтожении персональных данных.

    В случае, если обработка персональных данных осуществляется оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются:
                • акт об уничтожении персональных данных и
                • выгрузка из журнала регистрации событий в информационной системе персональных данных.

    Акт об уничтожении персональных данных должен содержать:
                • наименование и адрес оператора;
                • наименование лица, осуществляющего обработку персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам);
                • фамилию, имя, отчество (субъекта (субъектов), чьи персональных данных были уничтожены;
                • фамилию, имя, отчество, должность лиц (лица), уничтоживших персональных данных, а также их (его) подпись;
                • перечень категорий уничтоженных персональных данных субъекта (субъектов);
                • наименование уничтоженного материального (материальных) носителя (носителей), с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
                • наименование информационной системы персональных данных, из которой (которых) были уничтожены персональные данные (в случае обработки персональных данных с использованием средств автоматизации);
                • способ уничтожения персональных данных;
                • причину уничтожения персональных данных;
                • дату уничтожения персональных данных.

    Журнал регистрации предназначен для хранения событий, возникающих в процессе работы пользователей с базой данных информационной системы персональных данных. В случае выборочного уничтожения персональных данных из базы данных информационной системы, выгрузка из журнала должна содержать:
                • фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;
                • перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;
                • наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
                • причину уничтожения персональных данных;
                • дату уничтожения персональных данных субъекта (субъектов) персональных данных.

    В случае если выгрузка из журнала не позволяет указать отдельные перечисленные выше сведения, недостающие сведения вносятся в акт об уничтожении персональных данных.

    Обязанность оператора информировать Роскомнадзор об инцидентах
     
    Из закона «О персональных данных» следует, что под инцидентами, о которых оператор обязан уведомить Роскомнадзор, понимаются факты неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшие нарушение прав субъектов персональных данных.

    Часть 3.1 статьи 21 закона «О персональных данных» устанавливает обязанность оператора в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшего нарушение прав субъектов, уведомить Роскомнадзор с момента выявления такого инцидента:
                • в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение, и предполагаемом вреде, нанесенном правам субъектов, о принятых мерах по устранению последствий инцидента, а также предоставить сведения о лице, уполномоченном на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом;
                • в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

    Согласно части 10 статьи 23 закона «О персональных данных» учёт информации об инцидентах Роскомнадзор ведёт в реестре учёта инцидентов.
    Порядок взаимодействия Роскомнадзора с операторами в рамках ведения реестра учёта инцидентов определён приказом Роскомнадзора от 14 ноября 2022 г. № 187.

    Этот порядок устанавливает необходимость предоставления в Роскомнадзор уведомления об инцидентах, содержащего следующие данные:
                • о произошедшем инциденте (дата и время выявления инцидента, характеристика (характеристики) персональных данных (содержание базы данных, ставшей доступной неограниченному кругу лиц в результате неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, количество содержащихся в ней записей);
                • о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных;
                • о предполагаемом вреде, нанесенном правам субъектов персональных данных (результаты предварительной оценки вреда, который может быть нанесен субъектам персональных данных в связи с неправомерным распространением персональных данных);
                • о принятых мерах по устранению последствий соответствующего инцидента (перечень принятых оператором организационных и технических мер по устранению последствий инцидента);
                • о лице, уполномоченном оператором на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом.

    Кроме того, согласно части 12 статьи 19 закона «О персональных данных» оператор обязан в порядке, определенном ФСБ России, обеспечивать взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных. На период подготовки этого поста подготовлен проект приказа ФСБ России от 30 декабря 2022 г. «Об утверждении порядка взаимодействия операторов с ГосСОПКА» (планируемое введение в действие с 1 марта 2023 г.).

    Этот порядок предусматривает, что:
                • взаимодействие осуществляется через Национальный координационный центр по компьютерным инцидентам (НКЦКИ);
                • операторы направляют информацию об инцидентах, путем заполнения формы на сайте Роскомнадзора по адресу https://pd.rkn.gov.ru/incidents/form/.

    Новые требования к Уведомлению

    Согласно изменениям, внесённым в статью 22 закона «О персональных данных», теперь практически все операторы персональных данных обязаны уведомить Роскомнадзор о своём намерении осуществлять обработку персональных данных, за исключением:
               • случаев обработки персональных данных, включенных в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка;
               • случаев, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
               • случаев обработки персональных данных, предусмотренных законодательством РФ о транспортной безопасности.

    Новые требования к уведомлениям установлены приказом Роскомнадзора от 28 октября 2022 г. № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».

    Приказ устанавливает:
               • форму уведомления о намерении осуществлять обработку персональных данных;
               • форму уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
               • форму уведомления о прекращении обработки персональных данных. Главное отличие от ранее действующей формы уведомления – теперь для каждой цели обработки персональных данных в уведомлении должны быть указаны:
               • категории персональных данных;
               • категории субъектов; • правовое (правовые) основание (основания) обработки персональных данных;
               • перечень действий с персональными данными;
               • способы обработки персональных данных.

    Операторы, ранее не подававшие уведомление должны подать его по новой форме.
    Операторы, уже подававшие – подать уведомления об изменении сведений в ранее предоставленном уведомлении.

    Возврат к списку