Эксперт рассказала об изменениях в законодательстве о защите персональных данных

С 1 марта вступили в силу изменения в законодательстве о защите персональных данных

Фото: Campaign Creators / Unsplash

Июльские поправки в Федеральный закон «О персональных данных», вступившие в силу 1 марта, значительно скорректируют модель обработки и защиты персональных данных (ПД) операторами. Об этом Российскому агентству правовой и судебной информации (РАПСИ) рассказала преподаватель Департамента права цифровых технологий и биоправа Факультета права НИУ ВШЭ Алена Геращенко.

По ее словам, теперь нужно тщательно следить за сроками уничтожения персональных данных по достижении целей обработки и за фиксацией фактов уничтожения этих данных. С марта вступил в силу приказ Роскомнадзора от 28 октября 2022 года «Об утверждении Требований к подтверждению уничтожения персональных данных», он будет действовать до 1 марта 2029 года. В соответствии с ним факты уничтожения должны фиксироваться в акте, который должен храниться три года после его подписания. Кроме того, есть три разных контекста и способа фиксации указанных фактов.

В компании-операторе за этим должно следить лицо, ответственное за обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных. Такое лицо может отвечать, как за одну систему, так и за ряд систем, и за все системы компании. Данное лицо может контролировать сроки, по истечении которых нужно уничтожать данные, и курировать работников с нужной ролью в системе, позволяющей уничтожать информацию. Во втором и третьем случаях, при исключительно автоматизированной обработке или смешанной обработке, можно подумать об автоматизации процесса генерации лог-файлов и составления акта об уничтожении в электронном виде.

Также с 1 марта необходимо уведомлять Роскомнадзор о намерении осуществлять трансграничную передачу ПД до начала осуществления этой деятельности.

После 1 марта нельзя передавать данные о командировках за рубеж, и, следовательно, будет нельзя ездить в такие командировки, пока не подано уведомление в Роскомнадзор о трансграничной передаче данных. При этом Роскомнадзор сможет или одобрить (молчаливо согласиться) с такой трансграничной передачей, или запретить ее. Одобрения нужно дождаться, оно наступит по истечении 10 дней с момента подачи уведомления, до истечения этого срока передавать данные за рубеж нельзя. А запрет будет означать, что передачу осуществлять в указанное государство нельзя, потому что его законодательство не соответствует уровню защиты персональных данных, установленному ФЗ «О персональных данных».

Кроме того, с 1 марта, если у оператора изменились процессы, связанные с обработкой персональных данных, он должен проинформировать ведомство не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, то есть подать информационное письмо об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.

В марте вступает в силу приказ Роскомнадзора от 27 октября 2022 года «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"». Этот приказ также будет действовать до 1 марта 2029 года. В новой оценке должны быть обновлены сведения о том, какие события нарушения прав субъектов персональных данных составляют высокую, среднюю и низкую степени вреда. Также в приказе отражены требования к акту о проведении оценки вреда по новому образцу.

Вступил в силу приказ Роскомнадзора, в котором установлены требования к уведомлениям этого ведомства об инцидентах для целей учета этих сведений в реестре учета инцидентов в области персональных данных. Выделяется первичное уведомление — уведомление о произошедшем инциденте. И дополнительное уведомление — о результатах проведения внутреннего расследования выявленного инцидента.

В приказе установлены требования к сведениям, которые должны быть отражены в обоих видах уведомлений. Отвечать на запрос Роскомнадзора о предоставлении дополнительных сведений нужно в течение трех рабочих дней с момента получения запроса. Если не ответить вовремя — Роскомнадзор направляет требование о предоставлении таких сведений. Ответить на требование нужно в рекордное время — в течение одного рабочего дня с момента получения требования.

Лента добра деактивирована.
Добро пожаловать в реальный мир.
Бонусы за ваши реакции на Lenta.ru
Как это работает?
Читайте
Погружайтесь в увлекательные статьи, новости и материалы на Lenta.ru
Оценивайте
Выражайте свои эмоции к материалам с помощью реакций
Получайте бонусы
Накапливайте их и обменивайте на скидки до 99%
Узнать больше