Резюме: С 1 марта 2023 г. вступает в силу ряд новых требований, направленных на защиту персональных данных граждан РФ.
Для кого: Для лиц, осуществляющих обработку* персональных данных граждан Российской Федерации (в том числе, иностранных юридических и физических лиц).
*напоминаем, что обработкой является любое действие или совокупность действий, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, совершаемое с или без использования средств автоматизации
Ключевые моменты:
1. Изменены сроки уведомления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций («Роскомнадзор»):
2. Установлены требования к подтверждению уничтожения персональных данных. В зависимости от вида обработки персональных данных таким подтверждением может являться:
The NEST напоминает, что обязанность уничтожить персональные данные возникает в случаях, предусмотренных статьей 21 ФЗ «О персональных данных» (например, в случае достижения целей их обработки или отзыва согласия на обработку персональных данных).
3. Возникает обязанность уведомлять Роскомнадзор о намерении осуществлять трансграничную передачу данных (передача данных на территорию иностранных государств).
С 1 марта 2023 операторы обязаны уведомить Роскомнадзор о намерении осуществлять трансграничную передачу данных до начала непосредственной передачи. Роскомнадзор вправе принять решение об ограничении или запрете подобной передачи.
Обязанность уведомить Роскомнадзор не затрагивает ряд операторов, осуществляющих трансграничную передачу в целях выполнения функций, возложенных на них международным договором РФ и законодательством РФ (полный список представлен в постановлении Правительства РФ от 29 декабря 2022 № 2526).
По вопросам трансграничной передачи данных обращаем внимание не только на требования, установленные ФЗ «О персональных данных» (в частности, статья 12), но и на новый перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.
4. Введены дополнительные требования к учету «утечек» персональных данных и информированию ответственных государственных органов, а также к оценке вреда, который может быть причинен в случае нарушения ФЗ «О персональных данных».
Роскомнадзор будет вести реестр учета инцидентов в области персональных данных. Информация о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, будет передаваться в ФСБ России.
С 1 марта 2023 г. также вступают в силу требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных».
Полезные источники:
Портал персональных данных Роскомнадзора: https://pd.rkn.gov.ru
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
Федеральный закон от 14 июля 2022 г. № 266-ФЗ
«О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности».
Постановление Правительства РФ от 29 декабря 2022 г. № 2526 «Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей, не применяются требования частей 3–6, 8–11 статьи 12 Федерального закона “О персональных данных».
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.08.2022 № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных».
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. N 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
Информация Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 января 2023 г. «Как документально оформить факт уничтожения персональных данных?»
#TheNESTHowTo
Для кого: Для лиц, осуществляющих обработку* персональных данных граждан Российской Федерации (в том числе, иностранных юридических и физических лиц).
*напоминаем, что обработкой является любое действие или совокупность действий, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, совершаемое с или без использования средств автоматизации
Ключевые моменты:
1. Изменены сроки уведомления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций («Роскомнадзор»):
- в случае изменения сведений, представленных ранее в уведомлении в Роскомнадзор – не позднее 15 числа месяца, следующего за месяцем, в котором такие изменения возникли;
- в случае прекращения обработки персональных данных – в течение 10 рабочих дней с даты прекращения обработки персональных данных.
2. Установлены требования к подтверждению уничтожения персональных данных. В зависимости от вида обработки персональных данных таким подтверждением может являться:
- в случае обработки персональных данных вручную (без использования средств автоматизации) – акт об уничтожении персональных данных. Подлежит хранению в течение 3 лет с момента уничтожения персональных данных;
- в случае автоматизированной обработки (с использованием компьютеров, ноутбуков, планшетов, мобильных и т. д.) или смешанной обработки (средства автоматизации и обработка вручную) – акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных. Оба документа подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
The NEST напоминает, что обязанность уничтожить персональные данные возникает в случаях, предусмотренных статьей 21 ФЗ «О персональных данных» (например, в случае достижения целей их обработки или отзыва согласия на обработку персональных данных).
3. Возникает обязанность уведомлять Роскомнадзор о намерении осуществлять трансграничную передачу данных (передача данных на территорию иностранных государств).
С 1 марта 2023 операторы обязаны уведомить Роскомнадзор о намерении осуществлять трансграничную передачу данных до начала непосредственной передачи. Роскомнадзор вправе принять решение об ограничении или запрете подобной передачи.
Обязанность уведомить Роскомнадзор не затрагивает ряд операторов, осуществляющих трансграничную передачу в целях выполнения функций, возложенных на них международным договором РФ и законодательством РФ (полный список представлен в постановлении Правительства РФ от 29 декабря 2022 № 2526).
По вопросам трансграничной передачи данных обращаем внимание не только на требования, установленные ФЗ «О персональных данных» (в частности, статья 12), но и на новый перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.
4. Введены дополнительные требования к учету «утечек» персональных данных и информированию ответственных государственных органов, а также к оценке вреда, который может быть причинен в случае нарушения ФЗ «О персональных данных».
Роскомнадзор будет вести реестр учета инцидентов в области персональных данных. Информация о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, будет передаваться в ФСБ России.
С 1 марта 2023 г. также вступают в силу требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных».
Полезные источники:
Портал персональных данных Роскомнадзора: https://pd.rkn.gov.ru
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
Федеральный закон от 14 июля 2022 г. № 266-ФЗ
«О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности».
Постановление Правительства РФ от 29 декабря 2022 г. № 2526 «Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей, не применяются требования частей 3–6, 8–11 статьи 12 Федерального закона “О персональных данных».
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.08.2022 № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных».
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. N 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
Информация Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 января 2023 г. «Как документально оформить факт уничтожения персональных данных?»
#TheNESTHowTo
