Новые правила для операторов персональных данных: обзор изменений с 1 марта 2023 г.
С 1 марта 2023 года произошли изменения законодательства в области персональных данных. Расскажем про новые требования к компаниям
С начала марта 2023 года вступили в силу нововведения в части обработки персональных данных актуальные для любого бизнеса:
- о порядке уничтожения персональных данных,
- об обновлении данных реестра операторов персональных данных,
- об оценке вреда при обработке персональных данных.
Расскажем в статье о новых требованиях и дадим рекомендации к их соблюдению.
Изображение от Freepik
Доказательства уничтожения на 3 года
Вступили в силу Требования к подтверждению уничтожения персональных данных (действуют до 1 марта 2029 года). Ранее порядок фиксации факта уничтожения персональных данных определялся операторами самостоятельно.
С 1 марта операторы персональных данных должны при уничтожении персональных данных составлять специальный документ - Акт об уничтожении персональных данных.
Ранее компании уже могли применять подобный документ в своей практике, в том числе по рекомендации Роскомнадзора, но теперь его составление стало обязательным, и к нему предъявляются определенные требования.
Такой Акт составляется как в случае уничтожения материальных (бумажных) носителей, содержащих персональные данные (обработка без использования средств автоматизации), так и в случае уничтожения персональных данных, содержащихся в информационных системах персональных данных (обработка с использованием средств автоматизации).
Акт об уничтожении, помимо прочего, должен содержать перечень категорий уничтоженных персональных данных, наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации); наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае обработки персональных данных с использованием средств автоматизации); способ и причину уничтожения персональных данных.
При обработке данных с использованием средств автоматизации подтверждением уничтожения персональных данных также является выгрузка из журнала регистрации событий в информационной системе персональных данных (наряду с актом). При этом если в выгрузке невозможно указать какие-либо сведения, их можно отразить в акте. В этой ситуации подтверждением будут оба способа, независимо от способа обработки персональных данных.
Такой Акт составляется как в случае уничтожения материальных (бумажных) носителей, содержащих персональные данные (обработка без использования средств автоматизации), так и в случае уничтожения персональных данных, содержащихся в информационных системах персональных данных (обработка с использованием средств автоматизации).
Акт об уничтожении, помимо прочего, должен содержать перечень категорий уничтоженных персональных данных, наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации); наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае обработки персональных данных с использованием средств автоматизации); способ и причину уничтожения персональных данных.
При обработке данных с использованием средств автоматизации подтверждением уничтожения персональных данных также является выгрузка из журнала регистрации событий в информационной системе персональных данных (наряду с актом). При этом если в выгрузке невозможно указать какие-либо сведения, их можно отразить в акте. В этой ситуации подтверждением будут оба способа, независимо от способа обработки персональных данных.
Минимальный срок хранения актов об уничтожении персональных данных и выгрузок из журнала регистрации событий составляет 3 года.
Напомним, что уничтожение персональных данных – это действия, в результате которых становится невозможным восстановить содержание персональных данных (например, шредирование или иная утилизация документов, содержащих персональные данные).
Уничтожение персональных данных осуществляется оператором персональных данных, в том числе:
Таким образом, правильное составление актов и выписок обезопасит оператора персональных данных от претензий со стороны Роскомнадзора и субъектов персональных данных в спорных случаях, так как подтвердит, что определенные персональные данные им больше не обрабатываются.
Если персональные данные не будут уничтожены по требованию субъекта персональных данных или Роскомнадзора, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, на организацию может быть наложен штраф до 90 000 рублей (ч.5 ст. 13.11 КоАП РФ). Акт об уничтожении как раз и будет служить доказательством выполнения такой обязанности.
Уничтожение персональных данных осуществляется оператором персональных данных, в том числе:
- по достижении целей обработки соответствующих персональных данных или в случае утраты необходимости в достижении этих целей
- в случае, когда обработка персональных данных является по каким-либо причинам неправомерной (например, когда Роскомнадзор принял решение об отказе в трансграничной передаче персональных данных иностранным лицам)
- в случае получения требования от субъекта персональных данных об уничтожении его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных
Таким образом, правильное составление актов и выписок обезопасит оператора персональных данных от претензий со стороны Роскомнадзора и субъектов персональных данных в спорных случаях, так как подтвердит, что определенные персональные данные им больше не обрабатываются.
Если персональные данные не будут уничтожены по требованию субъекта персональных данных или Роскомнадзора, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, на организацию может быть наложен штраф до 90 000 рублей (ч.5 ст. 13.11 КоАП РФ). Акт об уничтожении как раз и будет служить доказательством выполнения такой обязанности.
«Несмотря на избыточность требований к фиксации факта уничтожения персональных данных (большое количество информации в актах, длительность хранения документов), рекомендуем компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы уничтожения персональных данных, а также утвердить форму (шаблон) акта об уничтожении»
Дарья Петрова, юрисконсульт
Оставьте свои контакты, и мы направим Вам Форму Акта об уничтожении персональных данных:
Заявка отправлена!
Уведомление об изменениях в срок
В соответствии с новыми требованиями оператор персональных данных обязан уведомить Роскомнадзор об изменениях ранее предоставленных им сведений об обработке персональных данных, которые произошли в течение месяца, в срок не позднее 15 числа следующего месяца. Уведомление подается в отношении всех изменений.
Уведомлять нужно об изменении сведений, которые содержались в уведомлении об обработке (начале обработки) персональных данных, которое является основанием для включения в реестр операторов персональных данных.
Ранее уведомление об изменениях (в виде информационного письма) подавалось не позднее 10 рабочих дней с момента такого изменения.
Рекомендуем компаниям регулярно производить анализ процессов обработки персональных данных с целью их актуализации, в том числе в реестре операторов персональных данных. Это важно в связи с тем, что Роскомнадзор при проведении проверки сравнивает данные, содержащиеся в реестре операторов персональных данных (данные в уведомлении и информационных письмах об изменениях), с содержанием внутренних документов оператора.
Обычно подача информационных писем об изменении сведений об обработке персональных данных внутри компании возлагается на лицо, ответственное за организацию обработки персональных данных (руководитель или иной сотрудник).
За непредоставление уведомления об изменениях на организацию может быть наложен штраф до 5 000 рублей (ст.19.7 КоАП РФ).
Рекомендуем компаниям регулярно производить анализ процессов обработки персональных данных с целью их актуализации, в том числе в реестре операторов персональных данных. Это важно в связи с тем, что Роскомнадзор при проведении проверки сравнивает данные, содержащиеся в реестре операторов персональных данных (данные в уведомлении и информационных письмах об изменениях), с содержанием внутренних документов оператора.
Обычно подача информационных писем об изменении сведений об обработке персональных данных внутри компании возлагается на лицо, ответственное за организацию обработки персональных данных (руководитель или иной сотрудник).
За непредоставление уведомления об изменениях на организацию может быть наложен штраф до 5 000 рублей (ст.19.7 КоАП РФ).
Оценка вреда по-новому
Начали действовать Требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (действуют до 1 марта 2029 года).
В соответствии с данным документом, оценка вероятного вреда осуществляется лицом, ответственным за организацию обработки персональных данных, или специальной комиссией, созданной оператором.
Ответственное лицо или комиссия для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных: высокую, среднюю или низкую.
В соответствии с данным документом, оценка вероятного вреда осуществляется лицом, ответственным за организацию обработки персональных данных, или специальной комиссией, созданной оператором.
Ответственное лицо или комиссия для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных: высокую, среднюю или низкую.
Для определения степени вреда учитываются различные факторы, в частности:
- обработка биометрических персональных данных или специальных категорий персональных данных (о расовой, национальной принадлежности, религиозных убеждениях и др.)
- обработка персональных данных несовершеннолетних
- обезличивание персональных данных, в том числе для оказания специализированных услуг (скоринг, прогнозирование поведения потребителей)
- поручение обработки персональных данных иностранным лицам или сбор данных с использованием баз, находящихся за рубежом
- распространение персональных данных на веб-сайте
- продвижение товаров и услуг путем прямых контактов с потребителями с использованием собственных баз персональных данных
- получение согласия на обработку персональных данных посредством реализации на официальном сайте функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных и другие факторы.
В случае если по итогам проведенной оценки вреда установлено, что субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.
Результаты оценки должны фиксироваться Актом оценки вреда.
Рекомендуем компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы оценки возможного вреда внутри компании, периодичность её проведения и круг ответственных лиц, а также утвердить форму (шаблон) акта оценки вреда.
Ответственность конкретно за непроведение оценки вреда законодательством не установлена, но в случае выявления нарушения при проверке Роскомнадзора его необходимо будет устранить, о чем организации может быть выдано соответствующее предписание.
Результаты оценки должны фиксироваться Актом оценки вреда.
Рекомендуем компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы оценки возможного вреда внутри компании, периодичность её проведения и круг ответственных лиц, а также утвердить форму (шаблон) акта оценки вреда.
Ответственность конкретно за непроведение оценки вреда законодательством не установлена, но в случае выявления нарушения при проверке Роскомнадзора его необходимо будет устранить, о чем организации может быть выдано соответствующее предписание.
Правильное сообщение об утечке
Вступил в силу Порядок взаимодействия Роскомнадзора и операторов персональных данных в рамках ведения реестра учета инцидентов в области персональных данных.
Операторы должны уведомлять Роскомнадзор о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.
Предусмотрено 2 вида уведомлений – первичное и дополнительное. Первичное уведомление (предоставляется в течение 24 ч) должно содержать информацию о произошедшем инциденте, его предполагаемых причинах, возможном вреде субъекту персональных данных и мерах по его устранению, а дополнительное (предоставляется в течение 72 ч) - о результатах внутреннего расследования инцидента с указанием виновных лиц (если они выявлены).
Если Роскомнадзор посчитает, что данные, предоставленные оператором в уведомлении некорректны или недостаточны, то он вправе запросить дополнительные сведения. Оператор предоставляет их в течение 3-х рабочих дней.
В случае если Роскомнадзор самостоятельно выявляет утечку базы данных, принадлежащих конкретному оператору, то он направляет требование о предоставлении уведомления. При этом оператор может в уведомлениях (первичном и дополнительном), которые предоставляются по требованию Роскомнадзора, указать о том, что он не выявил факта утечки с приложением доказательств (в том числе результатов внутреннего расследования, оформленного актом).
Рекомендуем компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы выявления инцидентов утечки персональных данных, их профилактику и круг ответственных лиц, а также утвердить форму (шаблон) акта проведения внутреннего расследования. Это позволит, в частности, соблюсти достаточно короткие сроки для сообщения Роскомнадзору о фактах утечки.
За непредоставление уведомлений об утечке на организацию может быть наложен штраф до 5 000 рублей (ст.19.7 КоАП РФ).
Для исключения нарушений законодательства о персональных данных и экономии времени рекомендуем доверить процесс профессионалам. Наши юристы в сфере персональных данных отслеживают все изменения закона и имеют богатый опыт сопровождения бизнеса по вопросам охраны персональных данных. Мы проконсультируем вас и составим все необходимые документы, учитывающие требования закона и рекомендации Роскомнадзора.
Если Роскомнадзор посчитает, что данные, предоставленные оператором в уведомлении некорректны или недостаточны, то он вправе запросить дополнительные сведения. Оператор предоставляет их в течение 3-х рабочих дней.
В случае если Роскомнадзор самостоятельно выявляет утечку базы данных, принадлежащих конкретному оператору, то он направляет требование о предоставлении уведомления. При этом оператор может в уведомлениях (первичном и дополнительном), которые предоставляются по требованию Роскомнадзора, указать о том, что он не выявил факта утечки с приложением доказательств (в том числе результатов внутреннего расследования, оформленного актом).
Рекомендуем компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы выявления инцидентов утечки персональных данных, их профилактику и круг ответственных лиц, а также утвердить форму (шаблон) акта проведения внутреннего расследования. Это позволит, в частности, соблюсти достаточно короткие сроки для сообщения Роскомнадзору о фактах утечки.
За непредоставление уведомлений об утечке на организацию может быть наложен штраф до 5 000 рублей (ст.19.7 КоАП РФ).
Для исключения нарушений законодательства о персональных данных и экономии времени рекомендуем доверить процесс профессионалам. Наши юристы в сфере персональных данных отслеживают все изменения закона и имеют богатый опыт сопровождения бизнеса по вопросам охраны персональных данных. Мы проконсультируем вас и составим все необходимые документы, учитывающие требования закона и рекомендации Роскомнадзора.
IT и электронная коммерция
Правовая охрана персональных данных
Читайте в разделе IT и электронная коммерция
Подпишитесь на новостную рассылку CPO Group:
Получить консультацию
Спасибо! Ваше сообщение получено