Июльские поправки в Федеральный закон «О персональных данных», вступившие в силу 1 марта, значительно скорректируют модель обработки и защиты персональных данных (ПД) операторами. Об этом Российскому агентству правовой и судебной информации (РАПСИ) рассказала преподаватель Департамента права цифровых технологий и биоправа Факультета права НИУ ВШЭ Алена Геращенко.
По ее словам, теперь нужно тщательно следить за сроками уничтожения персональных данных по достижении целей обработки и за фиксацией фактов уничтожения этих данных. С марта вступил в силу приказ Роскомнадзора от 28 октября 2022 года «Об утверждении Требований к подтверждению уничтожения персональных данных», он будет действовать до 1 марта 2029 года. В соответствии с ним факты уничтожения должны фиксироваться в акте, который должен храниться три года после его подписания. Кроме того, есть три разных контекста и способа фиксации указанных фактов.
В компании-операторе за этим должно следить лицо, ответственное за обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных. Такое лицо может отвечать, как за одну систему, так и за ряд систем, и за все системы компании. Данное лицо может контролировать сроки, по истечении которых нужно уничтожать данные, и курировать работников обладает нужной ролью в системе, позволяющей уничтожать информацию. Во втором и третьем случаях, при исключительно автоматизированной обработке или смешанной обработке, можно подумать об автоматизации процесса генерации лог-файлов и составления акта об уничтожении в электронном виде.
Также с 1 марта необходимо уведомлять Роскомнадзор о намерении осуществлять трансграничную передачу ПД до начала осуществления этой деятельности.
После 1 марта нельзя передавать данные о командировках за рубеж, и, следовательно, будет нельзя ездить в такие командировки, пока не подано уведомление в Роскомнадзор о трансграничной передаче данных. При этом Роскомнадзор сможет или одобрить (молчаливо согласиться) с такой трансграничной передачей, или запретить ее. Одобрения нужно дождаться, оно наступит по истечении 10 дней с момента подачи уведомления, до истечения этого срока передавать данные за рубеж нельзя. А запрет будет означать, что передачу осуществлять в указанное государство нельзя, потому что его законодательство не соответствует уровню защиты персональных данных, установленному ФЗ «О персональных данных».
Кроме того, с 1 марта, если у оператора изменились процессы, связанные с обработкой персональных данных, он должен проинформировать ведомство не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, то есть подать информационное письмо об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.
В марте вступает в силу приказ Роскомнадзора от 27 октября 2022 года «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных». Этот приказ также будет действовать до 1 марта 2029 года. В новой оценке должны быть обновлены сведения о том, какие события нарушения прав субъектов персональных данных составляют высокую, среднюю и низкую степени вреда. Также в приказе отражены требования к акту о проведении оценки вреда по новому образцу.
Вступил в силу приказ Роскомнадзора, в котором установлены требования к уведомлениям этого ведомства об инцидентах для целей учета этих сведений в реестре учета инцидентов в области персональных данных. Выделяется первичное уведомление — уведомление о произошедшем инциденте. И дополнительное уведомление — о результатах проведения внутреннего расследования выявленного инцидента.
В приказе установлены требования к сведениям, которые должны быть отражены в обоих видах уведомлений. Отвечать на запрос Роскомнадзора о предоставлении дополнительных сведений нужно в течение трех рабочих дней с момента получения запроса. Если не ответить вовремя — Роскомнадзор направляет требование о предоставлении таких сведений. Ответить на требование нужно в рекордное время — в течение одного рабочего дня с момента получения требования.