Прочее

Приказ вступил: с 1 марта все работодатели должны учесть изменения и подписать новый акт для обработки персональных данных

Обработка персональных данных в 2023 году

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.

Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве.

Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.

Приказ вступил: с 1 марта все работодатели должны учесть изменения и подписать новый акт для обработки персональных данных

Напомним, что еще до 1 марта 2023 года работодатели обязаны передавать РКН специальные уведомления об обработке персональных данных. Подробнее см. «Уведомление РКН об обработке персональных данных». 

С 1 марта 2023 года требований к обработке персональных данных становится еще больше. Кроме того, в 2023 году РКН усилит проверки за персональными данным. В частности, начнет проводить “дистанционные” проверки операторов персональных данных.

Уведомление об изменении персональных данных: новый срок

С 1 марта будет больше времени, чтобы известить Роскомнадзор об изменении персональных данных.

Если сведения, которые указали в уведомлении, изменились, об этом нужно сообщить в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.

До 1 марта такое уведомление направлялось в течение 10 рабочих дней с момента изменений. Уведомление подается по форме из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180.

Приказ вступил: с 1 марта все работодатели должны учесть изменения и подписать новый акт для обработки персональных данных

Уничтожение персональных данных: новые правила

С 1 марта нужно фиксировать факт уничтожения персональных данных актом по новой форме. Раньше оформить акт об уничтожении можно было в свободной форме, а теперь необходимо включить в него 10 обязательных видов данных. Основание: Приказ Роскомнадзора от 28.10.2022 N 179.

С 1 марта 2023 года работодатель должен будет фиксировать факт того, что уничтожил персданные, двумя документами:

  • актом об уничтожении персональных данных;
  • выгрузкой из журнала регистрации событий в информационной системе персональных данных.

К сведению

Если компания обрабатывает данные вручную для подтверждения будет достаточно акта.

  • Обязательные реквизиты акта об уничтожении персональных данных
  • Приказ вступил: с 1 марта все работодатели должны учесть изменения и подписать новый акт для обработки персональных данных
  • Обязательные реквизиты выгрузки
  • Приказ вступил: с 1 марта все работодатели должны учесть изменения и подписать новый акт для обработки персональных данных

СКАЧАТЬ ОБРАЗЕЦ АКТА ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ С 01.03.2023

СКАЧАТЬ ОБРАЗЕЦ ВЫГРУЗКИ ИЗ ЖУРНАЛА С 01.03.2023

Оценка степени вреда: новый порядок

С 1 марта 2023 года потребуется оценивать степень вреда, который может возникнуть, если будет нарушен закон о персональных данных. РКН утвердил специальные правила, по которым работодатели должны оценивать вред, который может возникнуть, если будут нарушены правила обработки персданных (приказ Роскомнадзора от 27.10.2022 № 178).

Степени вреда всего 3 (три):

  1. высокая;
  2. средняя;
  3. низкая.

Таблица. Какие персданные к какой степени вреда относятся

Приказ вступил: с 1 марта все работодатели должны учесть изменения и подписать новый акт для обработки персональных данных

Заметим, что отнесения вреда к какой-либо категории, вам потребуется составить специальный акт. Предлагаем ознакомиться с образцом.

СКАЧАТЬ ОБРАЗЕЦ АКТА ОЦЕНКИ ВРЕДА С 01.03.2023

Передача персональных данных за границу

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Заметим, что новшество напрямую касается онлайн-продавцов. Разрешение не выдадут, если иностранный контрагент работает в стране, которая с точки зрения РКН не обеспечивает защиту данных.

А вот если поставщик находится в стране, которая ратифицировала Конвенцию Совета Европы о защите физлиц при автоматизированной обработке персональных данных, то разрешение, скорее всего, дадут.

Конвенцию, к примеру, ратифицировали Армения, Азербайджан, Сербия, Турция.

Обратите внимание

Уведомление о намерении осуществлять трансграничную передачу можно будет оформить на бумаге или в электронном виде. Подавать его нужно будет отдельным документом, а не вместе с общим уведомлением о намерении осуществлять обработку персональных данных.

Для подачи сведений на сайте РКН сделали специальный раздел по адресу https://pd.rkn.gov.ru/cross-border-transmission/form/

Приказ вступил: с 1 марта все работодатели должны учесть изменения и подписать новый акт для обработки персональных данных

Ркн ужесточает проверки

Также см. «К кому придут с проверкой в 2023 году».

За нарушение работы с персональными данными в 2023 году Роскомнадзор будет привлекать к ответственности чаще. Причем для этого не всегда потребуется проводить выездные проверки (письмо Роскомнадзора от 31.01.2023 № 09-6488).

Внеплановых проверок будет больше. Правительство расширило список оснований для внеплановых проверок по персональным данным (постановление от 04.02.2023 № 161).

Так, например, по решению главы или замглавы Роскомнадзора в компанию, в том числе аккредитованную IT-организацию, могут прийти с внеплановой проверкой, если выявят факт распространения в интернете баз с персданными.

Наказать могут и без выезда в компанию. В некоторых ситуациях зафиксировать правонарушение в сфере персданных и привлечь к ответственности могут даже без выездных контрольных мероприятий (письмо Роскомнадзора от 31.01.

2023 № 09-6488). Речь идет о нарушениях, которые оговорены в частях 1–2.1 и 4 статьи 13.11 КоАП. Например, к особым нарушениям причислена обработка данных без письменного согласия, а также обработка, не совместимая с целями сбора данных.

РКН уточняет в своих разъяснениях, что по таким нарушениям контролеры могут действовать «бесконтактно» (без взаимодействия с нарушителем). Например, если нарушение обнаружил сам сотрудник Роскомнадзора и у него есть полномочия составлять протокол либо поступило указание от прокуратуры.

Поводом для возбуждения дела могут послужить жалоба, сообщения в СМИ, например, об утечке данных (п. 1–3 ч. 1 ст. 28.1 КоАП).

Образцы документов, которые нельзя игнорировать в 2023 году

Далее приведем образцы некоторых документов по персональным данным, которые могут потребоваться в 2023 году:

Название документа Ссылка на скачивание
Положение о работе с персональными данными работников СКАЧАТЬ
Положение о порядке уничтожения персональных данных СКАЧАТЬ
Приказ о создании комиссии по уничтожению документов с персональными данными СКАЧАТЬ
Общая форма согласия на передачу и обработку персональных данных СКАЧАТЬ
Согласие на обработку персональных данных на сайте СКАЧАТЬ
Обязательство о неразглашении персональных данных СКАЧАТЬ

Видео по теме

Приказ вступил: с 1 марта все работодатели должны учесть изменения и подписать новый акт для обработки персональных данных

  • 13 марта 2023
  • Организаций и ИП касается ряд нововведений, которые придётся учитывать в работе с персональными данными сотрудников уже с 1 марта 2023 года.
  • Они затрагивают вопросы изменения личной информации персонала, допустимости передачи её третьим лицам за рубеж, уничтожения хранящихся данных и оценки вреда из-за их вероятной утечки.
  • Поправки в основной закон утверждаются Федеральным законом № 266-ФЗ, принятым 14 июля 2022 и вступающим в силу 1 марта 2023.

Новые требования к оценке вреда в случае утечки персональных данных сотрудника

В документе 18.1 ФЗ «О персональных данных» указывается на то, что оператор (работодатель) должен сам определять меры, которые смогут обеспечить надлежащее исполнение им законодательства о хранении и защите персональных данных.

В числе прочего, одной из таких обязательных мер является оценка возможного вреда, который может быть нанесён сотруднику из-за несанкционированного попадания его данных к третьим лицам.

Читайте также:  Принципы учетной политики - Ответ Бухгалтера

В дополнение к этому пункту закона с марта 2023 года в силу вступают конкретные требования, на основании которых должна проводиться и оформляться такая оценка на предприятиях. Правила утверждаются приказом № 178, принятым Роскомнадзором 27 октября 2022 и начинающим действие с 1 марта 2023.

Документ, который с 1 марта должны составить и подписать все работодатели

Роскомнадзор обязывает работодателей самостоятельно организовать комиссию для оценки вреда от потери данных работников и оформлять результат в виде акта за подписью ответственных сторон.

В ходе оценки оператор (работодатель) должен присвоить одну из степеней, отражающую уровень вреда, который может быть причинён субъекту персональных данных (сотруднику) в случае потери контроля над их хранением.

Может быть выбрана одна из трёх степеней вреда:

  1. Высокая степень.

  2. Средняя степень.

  3. Низкая степень.

Высокая степень вреда должна быть присвоена в том случае, если работодатель располагает следующими персональными данными сотрудников:

  • биометрические данные для идентификации лиц;
  • информация личного характера и других особых категорий, таких как религия, национальность, политические взгляды, интимная жизнь, здоровье, наличие судимостей;
  • данные лиц, не достигших совершеннолетнего возраста;
  • обезличенные персональные данные;
  • персональные данные, обработкой которых занимается иностранное лицо;
  • данные, сбор которых осуществляется иностранными базами данных за пределами страны.

Средняя степень вреда определяется, если в распоряжении организации оказываются такие сведения:

  • персданные, распространяемые через сайт компании, которые может увидеть неограниченное число лиц;
  • данные, фактическая цель использования которых отличается от первоначально заявленной;
  • информация, применяемая в целях продвижения товаров организации и услуг среди вероятных покупателей, взятая из базы общего доступа.

Также средней степенью считаются:

  • личные данные людей, согласие на использование которых получено на сайте компании, но не предполагают проверку подлинности;
  • данные, полученные с согласия на обработку по положению, содержащему разные, не совместимые между собой цели.

Низкая степень указывается организацией-работодателем, если:

  • персданные хранятся по согласию сотрудника в общедоступной базе;
  • ответственность за работу с данными официально закреплена за сторонним физическим или юридическим лицом, а не за штатным сотрудником.

Если личные данные относятся к нескольким степеням, то в акте прописывается наивысшая из них.

Как оформить правильно акт о степени вреда

Форма акта, который должен оформляться в результате оценки степени вреда, официально не утверждена. Документ составляется в свободной, но строгой форме, и должен содержать перечисленные в приказе № 178 требования:

  1. название или Ф.И.О. оператора (организации или ИП), его адрес;

  2. дату, когда был создан Акт;

  3. дату, когда проводилась оценка вреда;

  4. Ф.И.О. и должность лица или лиц, проводивших оценку, их подписи;

  5. присвоенная степень оценки вреда.

Документ оценки может быть составлен как в бумажном, так и в электронном виде с применением цифровой подписи.

Если по истечении времени состав сведений, составляющих персональные данные, дополняется информацией, которая относится уже к более высокой степени вреда, то акт оценки должен быть составлен заново.

Пример, как может выглядеть акт оценки на предприятии.

Другие изменения в работе с персданными, которые начинают действовать с 1 марта 2023

Наряду с оценкой степени вреда из-за возможной утечки, в основной закон о персональных данных внесены и другие немаловажные для работодателей поправки:

  1. О трансграничной (международной) передаче данных.

    Компании, которые планируют передавать персональные данные за границу, обязаны заранее уведомить об этом Роскомнадзор, после чего контролирующий орган должен разрешить или запретить такую деятельность в течение 10 дней.

  2. Об изменениях в хранящихся данных сотрудников.

    При изменении персданных работника организация обязана уведомить об этом контролирующий орган до 15 числа последующего месяца.

  3. Об уничтожении сведений, относящихся к персональным данным.

    Уничтожение персданных должно подтверждаться актом об уничтожении и выгрузкой из журнала регистрации событий, если данные обрабатывались с помощью автоматизированных систем.

  4. Об инцидентах по утечке персданных.

    Все случаи, связанные с незаконной передачей данных третьим лицам, будут заноситься службой Роскомнадзора в единый реестр инцидентов.

  1. Узнать подробнее обо всех вводимых с начала марта изменениях можно из официальных законодательных актов, ссылки на которые представлены выше в статье.
  2. Реклама: ООО «Е-Офис 24», ИНН 6672281995, erid: LjN8KUc1e
  3. Источник
  4. Хотите быть в курсе последних новостей и событий? Подписывайтесь на Телеграм- канал «Бизнес в Кузбассе»

Обработка персональных данных с 1 сентября 2022 года: что поменялось

  1. Главная →
  2. Журнал →
  3. Бизнес →
  4. Риски

24 августа 2022 80 515 83

В начале осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ. Он должен повысить ответственность операторов персональных данных, сделать более прозрачной их деятельность и защитить личные данные россиян. Разберемся, что нового он несет предпринимателям.

Замглавы Роскомнадзора Милош Вагнер сообщил, что только в 2022 году в России произошло более 40 крупных утечек персональных данных россиян. Было скомпрометировано свыше 300 миллионов записей.

Его слова подтверждаются громкими новостями из открытых источников.

Еще в мае стало известно о слитых в открытый доступ базах данных клиентов СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна», «Гемотест».

С 1 сентября требования к работе с персональными данными в очередной раз ужесточатся, у бизнеса появятся новые обязанности, а у Роскомнадзора — новые причины для штрафов.

Отчитывайтесь по сотрудникам через Экстерн. В сервисе всегда актуальные формы и встроенные проверки

Отчитаться

В России защита информации о личности граждан обеспечивается Федеральным законом от 27.07.2006 № 152-ФЗ. Он не содержит конкретного перечня, что относится к персональным данным. Это могут быть любые сведения, которые прямо или косвенно относятся к определенному физическому лицу (ст. 3 152-ФЗ), например:

  • Ф.И.О.;
  • дата рождения;
  • адрес регистрации и адрес проживания;
  • паспортные данные, СНИЛС, ИНН;
  • номер телефона;
  • e-mail;
  • адрес страницы в соцсетях;
  • контакт в мессенджере.

То есть к персональным данным (ПД) относится любая информация, которая позволяет определить конкретного человека — субъекта ПД. 

По 152-ФЗ те, кто получают доступ к ПД не для семейных нужд и работают с ними: собирают, систематизируют, используют, передают, хранят и т.п., являются операторами персональных данных (ОПД).

ОПД может быть как крупная корпорация, так и фотомастерская со штатом в два человека. Оператор имеет право, с согласия гражданина, поручить обработку его персональных данных другому лицу — обработчику (п.

 3 ст. 6 152-ФЗ).

ОПД несут ответственность перед гражданами за сохранность их личных данных. У операторов ПД есть обязанности (ст. 18–22.1 152-ФЗ).

Например, до начала обработки персональных данных нужно уведомить Роскомнадзор, чтобы попасть в Единый реестр. Исключения из правила указаны в п. 2 ст. 22 Закона № 152-ФЗ.

По общему правилу обработчики напрямую с субъектами ПД не контактируют и несут ответственность не перед ними, а перед оператором.

С 1 сентября 2022 года действие 152-ФЗ распространяется на обработку ПД российских граждан, осуществляемую иностранными юрлицами или физлицами на основании договора или с согласия гражданина (п. 1. ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ).

Автоматизируйте работу с сотрудниками: рассчитывайте зарплату, НДФЛ, взносы, оформляйте кадровые документы прямо в Экстерне

Попробовать

С 1 сентября 2022 года 266-ФЗ вводит дополнительные правила для ОПД и обработчиков или ужесточает имеющиеся. Предпринимателям станет сложнее соблюдать все требования работы с персональными данными.

  1. В договор с физическим лицом нельзя будет включать положение о том, что его бездействие подразумевает разрешение на заключение договора, в котором он будет выгодоприобретателем или поручителем (п. 3а ст. 1 266-ФЗ). 
  2. Появляются дополнительные требования о «предметности и однозначности» согласия на обработку ПД (п. 4 ст. 1 266-ФЗ). То есть фактически предпринимателям придется чаще получать согласие субъекта ПД.
  3. Появляются конкретные требования к содержанию поручения оператора, указанного в п. 3 ст. 6 152-ФЗ. Кроме того, вводится ответственность иностранного обработчика персональных данных перед субъектом ПД (п. 3а, 3в ст. 1 266-ФЗ). До 1 сентября 2022 года он отвечал только перед оператором.
  4. Оператор не сможет отказать в обслуживании физлицу, если то отказывается предоставить биометрические данные или дать согласие на обработку ПД в необязательных по закону случаях. Которых не так много по п. 2 ст. 11 152-ФЗ. Аналогичные изменения будут действовать с 1 сентября 2022 года и в Законе о защите прав потребителей (Федеральный закон от 01.05.2022 № 135-ФЗ).
  5. Оператор должен будет отреагировать на запрос субъекта ПД о предоставлении сведений по ч. 7 ст. 14 152-ФЗ в течение 10 рабочих дней (п. 8а, п. 12 ст. 1 266-ФЗ). Раньше срок ответа составлял 30 дней.
  6. Срок в 10 рабочих дней вместо 30 календарных устанавливается и для ответа в Роскомнадзор (п. 12 ст. 1 266-ФЗ). Об утечке персональных данных нужно будет сообщить в ведомство в течение 24 часов с момента инцидента, а в течение 72 часов — проинформировать о результатах внутреннего расследования (п. 13 ст. 1 266-ФЗ).
  7. ОПД обязан будет подключиться к системе ГосСОПКА, чтобы передавать туда информацию о компьютерных инцидентах, повлекших утечку персональных данных (п. 12 ст. 1 266-ФЗ).
  8. Оператор должен будет прекратить обработку ПД или обеспечить прекращение обработки при договоре с обработчиком в течение 10 рабочих дней с даты получения соответствующего требования от гражданина (п. 13 ст. 1 266-ФЗ).
Читайте также:  Заполнение формы П‑4 - Ответ Бухгалтера

Все изменения в законодательном регулировании нужно будет отразить в политике ОПД в отношении обработки персональных данных и локальных нормативных актах ОПД-юрлица, которые разрабатываются по требованиям ст. 18.1 152-ФЗ.

Глобальное изменение с 1 сентября 2022 года — сокращение списка ситуаций, когда не нужно уведомлять Роскомнадзор до начала обработки ПД.

В перечне остается всего три случая, когда оператору не обязательно входить в Единый реестр: работа с ПД без средств автоматизации, включение персональных данных в ГИС, созданных для защиты безопасности государства и общественного порядка и обработка в соответствии с законодательством РФ о транспортной безопасности (п. 14 ст. 1 266-ФЗ).

Кто и когда должен уведомить Роскомнадзор об обработке персональных данныхНапомним, что раньше таких ситуаций по ст. 22 152-ФЗ было девять. Например, можно было не уведомлять Роскомнадзор об обработке ПД штатных сотрудников. С 1 сентября 2022 года любой работодатель должен быть зарегистрирован в Едином реестре ОПД.

Удобный сервис для подготовки и сдачи отчетов через интернет. Дарим доступ в Экстерн на 14 дней!

Попробовать

За невыполнение требований законодательства в области обработки ПД предприниматели могут получить штраф от 60 до 100 тыс. рублей (ст. 13.11 КоАП РФ).

С 1 сентября 2022 года устанавливается административная ответственность за отказ потребителю в заключении договора из-за непредоставления персональных данных. Штраф за нарушение для ИП и юрлиц составит от 30 до 50 тыс. рублей (Федеральный закон от 28.05.2022 № 145-ФЗ).

Предприниматель по Закону от 01.05.

2022 № 135-ФЗ имеет право отказать потребителю в заключении договора из-за непредоставления ПД, если персональные данные обязательны по законодательным требованиям или непосредственно нужны для исполнения договора. Например, покупатель выбирает доставку курьером, но не указывает адрес доставки. В этом случае продавец не будет нести ответственности за отказ в заключении договора.

Штраф по 145-ФЗ касается случаев избыточности требований о предоставлении ПД потребителем. Не секрет, что многие компании собирают много личной информации от клиентов, чтобы, как минимум, отправлять им рекламные рассылки.

Весной 2023 года начнут действовать положения о трансграничной передаче персональных данных, то есть передаче их на территорию иностранного государства: зарубежным органам власти, компаниям или физлицам.

Во-первых, Роскомнадзор будет утверждать список стран, обеспечивающих адекватную защиту ПД. В него, прежде всего, будут включать государства — участники Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Во-вторых, ОПД должны будут уведомлять Роскомнадзор до начала трансграничной передачи ПД. Ведомство, в свою очередь, может запретить или ограничить предоставление персональных данных иностранцам (п. 7 ст. 1 266-ФЗ).

Еще одно нововведение коснется выписок из ЕГРН. Если собственник недвижимости не подаст заявление о согласии на предоставление его персональных данных третьим лицам, то те по общему правилу не смогут их получить. Без согласия субъекта ПД Роскадастр даст выписки с личными сведениями ограниченному кругу лиц, например, нотариусам или кадастровым инженерам (ст. 4 266-ФЗ).

Это означает, что Единый реестр недвижимости становится закрытым. Предполагается, что эта мера защитит собственников имущества от мошенников, но такие данные не смогут также получить журналисты или общественники при расследовании коррупционных правонарушений.

Новые правила для операторов персональных данных: обзор изменений с 1 марта 2023 г

С 1 марта 2023 года произошли изменения законодательства в области персональных данных. Расскажем про новые требования к компаниям

С начала марта 2023 года вступили в силу нововведения в части обработки персональных данных актуальные для любого бизнеса: 

  • о порядке уничтожения персональных данных, 

Расскажем в статье о новых требованиях и дадим рекомендации к их соблюдению.     

Доказательства уничтожения на 3 года

Вступили в силу Требования к подтверждению уничтожения персональных данных (действуют до 1 марта 2029 года). Ранее порядок фиксации факта уничтожения персональных данных определялся операторами самостоятельно. 

С 1 марта операторы персональных данных должны при уничтожении персональных данных составлять специальный документ — Акт об уничтожении персональных данных.

Ранее компании уже могли применять подобный документ в своей практике, в том числе по рекомендации Роскомнадзора, но теперь его составление стало обязательным, и к нему предъявляются определенные требования. Такой Акт составляется как в случае уничтожения материальных (бумажных) носителей, содержащих персональные данные (обработка без использования средств автоматизации), так и в случае уничтожения персональных данных, содержащихся в информационных системах персональных данных (обработка с использованием средств автоматизации). Акт об уничтожении, помимо прочего, должен содержать перечень категорий уничтоженных персональных данных, наименование уничтоженного материального носителя, содержащего персональные данные, с указанием количества листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации); наименование информационной системы персональных данных, из которой были уничтожены персональные данные (в случае обработки персональных данных с использованием средств автоматизации); способ и причину уничтожения персональных данных.

При обработке данных с использованием средств автоматизации подтверждением уничтожения персональных данных также является выгрузка из журнала регистрации событий в информационной системе персональных данных (наряду с актом). При этом если в выгрузке невозможно указать какие-либо сведения, их можно отразить в акте. В этой ситуации подтверждением будут оба способа, независимо от способа обработки персональных данных.

Минимальный срок хранения актов об уничтожении персональных данных и выгрузок из журнала регистрации событий составляет 3 года.

Напомним, что уничтожение персональных данных – это действия, в результате которых становится невозможным восстановить содержание персональных данных (например, шредирование или иная утилизация документов, содержащих персональные данные).  Уничтожение персональных данных осуществляется оператором персональных данных, в том числе:

  • по достижении целей обработки соответствующих персональных данных или в случае утраты необходимости в достижении этих целей 
  • в случае, когда обработка персональных данных является по каким-либо причинам неправомерной (например, когда Роскомнадзор принял решение об отказе в трансграничной передаче персональных данных иностранным лицам)
  • в случае получения требования от субъекта персональных данных об уничтожении его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
  • в случае отзыва субъектом персональных данных согласия на обработку персональных данных
Читайте также:  Может ли директор, учредитель ООО быть самозанятым - Ответ Бухгалтера

Таким образом, правильное составление актов и выписок обезопасит оператора персональных данных от претензий со стороны Роскомнадзора и субъектов персональных данных в спорных случаях, так как подтвердит, что определенные персональные данные им больше не обрабатываются.

Если персональные данные не будут уничтожены по требованию субъекта персональных данных или Роскомнадзора, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, на организацию может быть наложен штраф до 90 000 рублей (ч.5 ст. 13.11 КоАП РФ). Акт об уничтожении как раз и будет служить доказательством выполнения такой обязанности.

  • «Несмотря на избыточность требований к фиксации факта уничтожения персональных данных (большое количество информации в актах, длительность хранения документов), рекомендуем компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы уничтожения персональных данных, а также утвердить форму (шаблон) акта об уничтожении»
  • Дарья Петрова, юрисконсульт
  • Оставьте свои контакты, и мы направим Вам Форму Акта об уничтожении персональных данных:

Заявка отправлена!

Уведомление об изменениях в срок

В соответствии с новыми требованиями оператор персональных данных обязан уведомить Роскомнадзор об изменениях ранее предоставленных им сведений об обработке персональных данных, которые произошли в течение месяца, в срок не позднее 15 числа следующего месяца. Уведомление подается в отношении всех изменений.

Уведомлять нужно об изменении сведений, которые содержались в уведомлении об обработке (начале обработки) персональных данных, которое является основанием для включения в реестр операторов персональных данных.

Ранее уведомление об изменениях (в виде информационного письма) подавалось не позднее 10 рабочих дней с момента такого изменения. Рекомендуем компаниям регулярно производить анализ процессов обработки персональных данных с целью их актуализации, в том числе в реестре операторов персональных данных. Это важно в связи с тем, что Роскомнадзор при проведении проверки сравнивает данные, содержащиеся в реестре операторов персональных данных (данные в уведомлении и информационных письмах об изменениях), с содержанием внутренних документов оператора. Обычно подача информационных писем об изменении сведений об обработке персональных данных внутри компании возлагается на лицо, ответственное за организацию обработки персональных данных (руководитель или иной сотрудник).

За непредоставление уведомления об изменениях на организацию может быть наложен штраф до 5 000 рублей (ст.19.7 КоАП РФ).

Начали действовать Требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» (действуют до 1 марта 2029 года).  В соответствии с данным документом, оценка вероятного вреда осуществляется лицом, ответственным за организацию обработки персональных данных, или специальной комиссией, созданной оператором. 

Ответственное лицо или комиссия для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения Закона о персональных данных: высокую, среднюю или низкую.

Для определения степени вреда учитываются различные факторы, в частности:

  • обработка биометрических персональных данных или специальных категорий персональных данных (о расовой, национальной принадлежности, религиозных убеждениях и др.)
  • обработка персональных данных несовершеннолетних
  • обезличивание персональных данных, в том числе для оказания специализированных услуг (скоринг, прогнозирование поведения потребителей)
  • поручение обработки персональных данных иностранным лицам или сбор данных с использованием баз, находящихся за рубежом
  • распространение персональных данных на веб-сайте
  • продвижение товаров и услуг путем прямых контактов с потребителями с использованием собственных баз персональных данных
  • получение согласия на обработку персональных данных посредством реализации на официальном сайте функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта персональных данных и другие факторы.

В случае если по итогам проведенной оценки вреда установлено, что субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.

Результаты оценки должны фиксироваться Актом оценки вреда. 

Рекомендуем компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы оценки возможного вреда внутри компании, периодичность её проведения и круг ответственных лиц, а также утвердить форму (шаблон) акта оценки вреда. 

Ответственность конкретно за непроведение оценки вреда законодательством не установлена, но в случае выявления нарушения при проверке Роскомнадзора его необходимо будет устранить, о чем организации может быть выдано соответствующее предписание.

Правильное сообщение об утечке

Вступил в силу Порядок взаимодействия Роскомнадзора и операторов персональных данных в рамках ведения реестра учета инцидентов в области персональных данных.

Операторы должны уведомлять Роскомнадзор о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.

Предусмотрено 2 вида уведомлений – первичное и дополнительное. Первичное уведомление (предоставляется в течение 24 ч) должно содержать информацию о произошедшем инциденте, его предполагаемых причинах, возможном вреде субъекту персональных данных и мерах по его устранению, а дополнительное (предоставляется в течение 72 ч) — о результатах внутреннего расследования инцидента с указанием виновных лиц (если они выявлены). Если Роскомнадзор посчитает, что данные, предоставленные оператором в уведомлении некорректны или недостаточны, то он вправе запросить дополнительные сведения. Оператор предоставляет их в течение 3-х рабочих дней. В случае если Роскомнадзор самостоятельно выявляет утечку базы данных, принадлежащих конкретному оператору, то он направляет требование о предоставлении уведомления. При этом оператор может в уведомлениях (первичном и дополнительном), которые предоставляются по требованию Роскомнадзора, указать о том, что он не выявил факта утечки с приложением доказательств (в том числе результатов внутреннего расследования, оформленного актом). Рекомендуем компаниям утвердить внутренний документ (регламент), который будет регулировать вопросы выявления инцидентов утечки персональных данных, их профилактику и круг ответственных лиц, а также утвердить форму (шаблон) акта проведения внутреннего расследования. Это позволит, в частности, соблюсти достаточно короткие сроки для сообщения Роскомнадзору о фактах утечки.

За непредоставление уведомлений об утечке на организацию может быть наложен штраф до 5 000 рублей (ст.19.7 КоАП РФ).

Для исключения нарушений законодательства о персональных данных и экономии времени рекомендуем доверить процесс профессионалам. Наши юристы в сфере персональных данных отслеживают все изменения закона и имеют богатый опыт сопровождения бизнеса по вопросам охраны персональных данных. Мы проконсультируем вас и составим все необходимые документы, учитывающие требования закона и рекомендации Роскомнадзора.

Подпишитесь на новостную рассылку CPO Group: