Новые обязанности
Дополнения и изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» внёс Закон № 266-ФЗ от 14.07.2022 (далее – Закон № 266-ФЗ).
Теперь операторы персданных должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных. Но есть исключения. Это случаи, когда данные обрабатываются:
- в целях защиты безопасности государства и общественного порядка, транспортной безопасности;
- исключительно без средств автоматизации.
Сроки
Предельный срок уведомления Роскомнадзора об обработке персональных данных не установлен.
Таким образом, 1 сентября 2022 года – не крайний срок для подачи уведомления об обработке персональных данных.
Если утечка персданных
С 1 сентября 2022 года операторы, обрабатывающие персональные данные, должны уведомлять Роскомнадзор о фактах утечек данных клиентов.
Согласно изменениям, оператор, допустивший утечку персональных данных, обязан:
- В течение 24-х часов сообщить об этом в Роскомнадзор.
- В течение 72-х часов предоставить в ведомство результаты внутреннего расследования инцидента с указанием причины и виновных лиц.
Утечка в данной случае означает факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.
В ответ на уведомление об утечке Роскомнадзор направляет информационное письмо, содержащее номер и ключ уведомления. Их нужно потом указать при предоставлении дополнительной информации о результатах внутреннего расследования инцидента.
Заполнять форму уведомления о результатах внутреннего расследования должно лицо, уполномоченное на предоставление такой информации.
Если передача персданных за границу
Также Закон № 266-ФЗ внес изменения в правила трансграничной передачи персональных данных.
Новый порядок действует с 1 марта 2023 года. Но операторы, которые уже сейчас передают данные за границу, закон обязал направить в Роскомнадзор уведомление о трансграничной передаче до этой даты через Портал персональных данных Роскомнадзора или в письменном виде. Это сделано, чтобы в дальнейшем не приостанавливать свою деятельность.
Уведомлять необходимо один раз по каждой стране, в которую будут переданы данные, а не о каждому факту передачи.
Образец уведомления
Формы соответствующих уведомлений утверждает приказ Роскомнадзора.
На 01.09.2022 их не было, поэтому оператор вправе воспользоваться следующими способами:
- заполнить форму уведомления об обработке персональных данных на Портале персональных данных Роскомнадзора;
- направить такое уведомление в адрес территориального управления ведомства по месту регистрации оператора на бумаге по форме, утвержденной приказом от 30.05.2017 № 94.
На портале Роскомнадзора оператору предоставлена возможность сформировать и отправить уведомление в территориальный орган Роскомнадзора одним из следующих способов:
- в бумажном виде;
- в электронном виде с использованием усиленной квалифицированной электронной подписи;
- в электронном виде с использованием средств аутентификации ЕСИА.
После вступления в силу приказа Роскомнадзора, устанавливающего новую форму уведомления, оператор может направить уведомление о внесении изменений в ранее представленные сведения в Реестр операторов, осуществляющих обработку персональных данных.
Для удобства операторов персональных данных на сайте Роскомнадзора доступны специальные электронные формы подачи уведомлений:
Заключение
Такие новшества должны повысить уровень защищенности личной информации граждан России от возможных утечек, а также позволить Роскомнадзору более оперативно реагировать на факты компрометации данных.
Использованы материалы: сайт Роскомнадзора.
Также см. Обработка персональных данных: новые требования с 01.09.2022.