МОСКВА, 16 мар — РАПСИ. Июльские поправки в ФЗ «О персональных данных», вступившие в силу 1 марта, значительно скорректируют модель обработки и защиты персональных данных (ПД) операторами.
Об этом РАПСИ рассказала преподаватель Департамента права цифровых технологий и биоправа Факультета права НИУ ВШЭ Алена Геращенко.
Во-первых, теперь нужно тщательно следить за сроками уничтожения персональных данных по достижении целей обработки и за фиксацией фактов уничтожения этих данных. С марта вступил в силу приказ Роскомнадзора от 28 октября 2022 года «Об утверждении Требований к подтверждению уничтожения персональных данных», он будет действовать до 1 марта 2029 года. В соответствии с ним факты уничтожения должны фиксироваться в акте, который должен храниться три года после его подписания. Кроме того, есть три разных контекста и способа фиксации указанных фактов.
Кто может следить за этим в компании-операторе? Лицо, ответственное за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных. Такое лицо может отвечать, как за одну систему, так и за ряд систем, и за все системы компании. Данное лицо может контролировать сроки, по истечении которых нужно уничтожать данные, и курировать работников обладает нужной ролью в системе, позволяющей уничтожать информацию. Во втором и третьем случаях, при исключительно автоматизированной обработке или смешанной обработке, можно подумать об автоматизации процесса генерации лог-файлов и составления акта об уничтожении в электронном виде.
Также с 1 марта нужно уведомлять Роскомнадзор о намерении осуществлять трансграничную передачу ПД до начала осуществления этой деятельности.
Строго следуя букве закона, передавать данные о командировках за рубеж после 1 марта будет нельзя, и, следовательно, будет нельзя ездить в такие командировки, пока не будет подано уведомление в Роскомнадзор о трансграничной передаче данных. При этом Роскомнадзор сможет или одобрить (молчаливо согласиться) с такой трансграничной передачей, или запретить ее. Одобрения нужно дождаться, оно наступит по истечении 10 дней с момента подачи уведомления, до истечения этого срока передавать данные за рубеж нельзя. А запрет будет означать, что передачу осуществлять в указанное государство нельзя, потому что его законодательство не соответствует уровню защиты персональных данных, установленному ФЗ «О персональных данных».
Кроме того, с 1 марта, если у оператора изменились процессы, связанные с обработкой персональных данных, он должен проинформировать ведомство не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, т.е. подать информационное письмо об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных.
В марте вступает в силу приказ Роскомнадзора от 27 октября 2022 года «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных». Этот приказ также будет действовать до 1 марта 2029 года. В новой оценке должны быть обновлены сведения о том, какие события нарушения прав субъектов персональных данных составляют высокую, среднюю и низкую степени вреда. Также в приказе отражены требования к акту о проведении оценки вреда по новому образцу.
Вступил в силу приказ Роскомнадзора, в котором установлены требования к уведомлениям этого ведомства об инцидентах для целей учета этих сведений в реестре учета инцидентов в области персональных данных. Выделяется первичное уведомление – уведомление о произошедшем инциденте. И дополнительное уведомление – о результатах проведения внутреннего расследования выявленного инцидента.
В приказе установлены требования к сведениям, которые должны быть отражены в обоих видах уведомлений. Отвечать на запрос Роскомнадзора о предоставлении дополнительных сведений нужно в течение трех рабочих дней с момента получения запроса. Если не ответить вовремя – Роскомнадзор направляет требование о предоставлении таких сведений. Ответить на требование нужно в рекордное время – в течение одного рабочего дня с момента получения требования.