Как и когда уведомлять Роскомнадзор по персональным данным с 01.09.2022

С 1 сентября 2022 года действуют важные изменения в законодательство о персональных данных. В этой статье рассказываем про новые уведомления о персональных данных в Роскомнадзор с 01.09.2022.

Новые обязанности

Дополнения и изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» внёс Закон № 266-ФЗ от 14.07.2022 (далее – Закон № 266-ФЗ).

Теперь операторы персданных должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных. Но есть исключения. Это случаи, когда данные обрабатываются:

  • в целях защиты безопасности государства и общественного порядка, транспортной безопасности;
  • исключительно без средств автоматизации.

Сроки

Предельный срок уведомления Роскомнадзора об обработке персональных данных не установлен.

Таким образом, 1 сентября 2022 года – не крайний срок для подачи уведомления об обработке персональных данных.

Если утечка персданных

С 1 сентября 2022 года операторы, обрабатывающие персональные данные, должны уведомлять Роскомнадзор о фактах утечек данных клиентов.

Согласно изменениям, оператор, допустивший утечку персональных данных, обязан:

  1. В течение 24-х часов сообщить об этом в Роскомнадзор.
  2. В течение 72-х часов предоставить в ведомство результаты внутреннего расследования инцидента с указанием причины и виновных лиц.

Утечка в данной случае означает факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.

В ответ на уведомление об утечке Роскомнадзор направляет информационное письмо, содержащее номер и ключ уведомления. Их нужно потом указать при предоставлении дополнительной информации о результатах внутреннего расследования инцидента.

Заполнять форму уведомления о результатах внутреннего расследования должно лицо, уполномоченное на предоставление такой информации.

Если передача персданных за границу

Также Закон № 266-ФЗ внес изменения в правила трансграничной передачи персональных данных.

Новый порядок действует с 1 марта 2023 года. Но операторы, которые уже сейчас передают данные за границу, закон обязал направить в Роскомнадзор уведомление о трансграничной передаче до этой даты через Портал персональных данных Роскомнадзора или в письменном виде. Это сделано, чтобы в дальнейшем не приостанавливать свою деятельность.

Уведомлять необходимо один раз по каждой стране, в которую будут переданы данные, а не о каждому факту передачи.

Образец уведомления

Формы соответствующих уведомлений утверждает приказ Роскомнадзора.

На 01.09.2022 их не было, поэтому оператор вправе воспользоваться следующими способами:

  • заполнить форму уведомления об обработке персональных данных на Портале персональных данных Роскомнадзора;
  • направить такое уведомление в адрес территориального управления ведомства по месту регистрации оператора на бумаге по форме, утвержденной приказом от 30.05.2017 № 94.

На портале Роскомнадзора оператору предоставлена возможность сформировать и отправить уведомление в территориальный орган Роскомнадзора одним из следующих способов:

  • в бумажном виде;
  • в электронном виде с использованием усиленной квалифицированной электронной подписи;
  • в электронном виде с использованием средств аутентификации ЕСИА.

После вступления в силу приказа Роскомнадзора, устанавливающего новую форму уведомления, оператор может направить уведомление о внесении изменений в ранее представленные сведения в Реестр операторов, осуществляющих обработку персональных данных.

Для удобства операторов персональных данных на сайте Роскомнадзора доступны специальные электронные формы подачи уведомлений:

Заключение

Такие новшества должны повысить уровень защищенности личной информации граждан России от возможных утечек, а также позволить Роскомнадзору более оперативно реагировать на факты компрометации данных.

Использованы материалы: сайт Роскомнадзора.

Также см. Обработка персональных данных: новые требования с 01.09.2022.