Требования к обработке персональных данных изменились

Требования к обработке персональных данных изменились

С 1 марта 2023 года требования к обработке персональных данных изменились. Изменения затронут трансграничную передачу, порядок уничтожения, сроки уведомления Роскомнадзора. О ключевых изменениях, которые повлияют на работу операторов, читайте в этой статье.

Уведомление в Роскомнадзор

Так как требования к обработке персональных данных изменились, то давайте посмотрим как это повлияло на сроки предоставления отчётности.

С 1 марта скорректировали срок уведомления Роскомнадзора, если изменились сведения, ранее представленные в уведомлении об обработке персональных данных. Проинформировать нужно не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения (ч. 7 ст. 22 Закона 152-ФЗ).

С 1 сентября 2022 года большинство операторов должны подавать такое уведомление. Исключение: данные обрабатывают в целях защиты безопасности государства и общественного порядка, транспортной безопасности или оператор обрабатывает данные исключительно без средств автоматизации. С 26 декабря 2022 года уведомления подаются по новым формам (Приказ Роскомнадзора от 28.10.2022 N 180).

Подробнее о порядке заполнения форм и подаче уведомлений читайте в КонсультантПлюс: Путеводитель по госуслугам для юридических лиц. Представление уведомления об обработке персональных данных.

Уничтожение персональных данных

С 1 марта 2023 года начинают действовать новые требования к подтверждению уничтожения персональных данных (Приказ Роскомнадзора от 28.10.2022 N 179).

Определили, какими документами подтверждается уничтожение. К ним относят:

  • акт об уничтожении персональных данных, если данные обрабатывает оператор без использования средств автоматизации;
  • акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных ‒ при автоматизированной обработке.

Установлены перечни сведений, которые должны содержать указанные документы. В том числе они должны содержать фамилию, имя, отчество субъекта или другую информацию, относящуюся к определенному физическому лицу, чьи данные были уничтожены.

Также установлен срок хранения документов, подтверждающих уничтожение, – 3 года с момента уничтожения личных сведений.

Трансграничная передача

С 1 марта 2023 года оператор до начала деятельности по трансграничной передаче персональных данных обязан уведомить Роскомнадзор о своем намерении. Уведомление направляют в виде документа на бумажном носителе или в форме электронного документа отдельно от уведомления о намерении осуществлять обработку персональных данных. Ведомство, в свою очередь, может запретить или ограничить предоставление персональной информации в другие страны (ст. 12 Закона 152-ФЗ).
).

Операторы, которые уже осуществляют трансграничную передачу персональных данных, должны уведомить об этом Роскомнадзор до 1 марта 2023 года (ч. 5 ст. 6 Федерального закона от 14.07.2022 N 266-ФЗ).

Передавать персональные данные запретят, если:

  • страна, иностранные физлица или организации, которым оператор хочет направлять сведения, не защищают эту информацию, а также не определены условия прекращения их обработки;
  • суд запретил деятельность в РФ зарубежного юридического лица и это решение вступило в силу;
  • иностранную организацию включили в список нежелательных в РФ;
  • трансграничная передача и дальнейшая обработка персональных данных не отвечают целям их сбора;
  • данные, которые планируют направить, нельзя обрабатывать.

Передачу могут ограничить в следующих случаях:

  • содержание и объем личных сведений не соответствуют цели такой передачи;
  • категории физлиц, данные которых хотят направить, не отвечают этой цели.

Критерии, по которым контролирующий орган может запретить или ограничить такую передачу, утверждены Постановлением Правительства РФ от 16.01.2023 N 24.

Определение степени угроз

1 марта 2023 года начинают действовать требования к тому, как оценивать вред, который оператор может причинить физлицам, если нарушит Закон «О персональных данных» (Приказ Роскомнадзора от 27.10.2022 N 178).

Оператор определяет одну из степеней вреда:

  • высокая – оператор обрабатывает информацию о несовершеннолетних, например, чтобы исполнять договоры, по которым они контрагенты, выгодоприобретатели либо поручители;
  • средняя – оператор продвигает товары, работы и услуги через прямые контакты с потенциальными потребителями с помощью хранилищ (баз персональных данных) другого лица;
  • низкая – оператор назначил ответственным за обработку персональных данных внештатного сотрудника.

Если гражданину могут причинить вред разных степеней, необходимо учитывать более высокую из них. Вред оценивает ответственный за организацию обработки персональных данных либо комиссия, которую создал оператор. Степень вреда и ряд других сведений отражают в акте.

Утечка персональных данных

С 1 марта 2023 года вступил в силу Приказ Роскомнадзора от 14.11.2022 N 187, устанавливающий порядок и условия взаимодействия с Роскомнадзором в случае утечки персональных данных, в том числе закреплены требования к первичному и дополнительному уведомлениям об инциденте.

Напоминаем, в случае утечки персональных данных оператор обязан в течение 24 часов зафиксировать инцидент и направить первичное уведомление. Затем нужно провести внутреннее расследование и отчитаться о его результатах перед госорганом (ст. 21 Закона 152-ФЗ).

Требования к обработке персональных данных изменились, а как это выглядело раньше?

Подробнее о персональных данных читайте в наших статьях:

  1. Закон о персональных данных снова поменяли
  2. Требования к защите персональных данных
  3. Что относится к персональным данным

В своих статьях мы используем только первоисточники: материалы и обзоры справочной правовой системы «КонсультантПлюс», а также материалы и обзоры сайтов ФНС России, Социальный фонд России, Банка России, официального канала Минтруда России, Федеральной службы судебных приставов, Новости с сайта kdelo.ru, Онлайн журнала «Главбух», сайта nalog-nalog.ru, а также материалы и обзоры из их телеграм-каналов.

Владельцам бизнеса

Если бухгалтерский и налоговый учёт, а также уплата и возврат налогов вызывают у вас затруднения, то вы можете заключить с нами Договор на оказание Бухгалтерских услуг, либо в рамках договора Разовых бухгалтерских услуг, либо в рамках услуги Бухгалтер удалённо, либо заключив с нами полноценный Договор на Аутсорсинг бухгалтерских услуг

В настоящее время ООО «Аврора Консалт» заключает договоры аутсорсинга бухгалтерских услуг с ООО, ИП, ТСЖ, ТСН и ЖСК зарегистрированными и ведущими свою деятельность на территории Санкт-Петербурга и Ленинградской области.

Отзывы о нашей компании вы можете прочитать на странице Отзывы и на соответствующих сервисах Google и Яндекса по ссылкам на странице Отзывов.

Для заключения договора проводится предварительная встреча в офисе вашей или нашей компании, по договорённости достигнутой накануне.

Все возникающие вопросы вы можете задать, связавшись с нами любым удобным способом: позвонить по телефону (812) 209-02-00, воспользоваться альтернативными способами связи, например, мессенджерами:

или оставить заявку в чате.

Вы можете поделиться этой новостью с друзьями
Мы используем файлы cookie для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием файлов cookie.
Принять
Privacy Policy