С 1 марта 2023 года необходимо — подать уведомление о трансграничной передаче
Статья 12 закона от 27.07.2006 № 152-ФЗ «О персональных данных» разрешено передавать персональные данные на территории иностранных государств лишь после направления уведомления в Роскомнадзор. При этом отменена обязанность получать согласие на трансграничную передачу.
В уведомлении указываются основание и цель передачи, категории и перечень передаваемых данных, список государств, куда планируется передача, и другое.
Перед предоставлением уведомления нужно получить у иностранного контрагента некоторые сведения и провести оценку того, как он будет соблюдать конфиденциальность и обеспечивать безопасность персональных данных. Методика оценки законом не установлена — ее определяет сам оператор.
Важно: при появлении у компании нового иностранного контрагента запросить у него сведения о защите персональных данных (перечень приведен в ч. 5 ст. 12 закона «О персональных данных»), провести оценку ответов, а затем подать уведомление в Роскомнадзор о намерении осуществлять трансграничную передачу.
С 1 марта 2023 года необходимо — актирование уничтожения персональных данных
Часть 7 статьи 21 закона «О персональных данных» операторы должны подтверждать уничтожение персональных данных в порядке, установленном в приказе Роскомнадзора от 28.10.2022 № 179 «Об утверждении требований к подтверждению уничтожения персональных данных».
Об уничтожении документов (материальных носителей) составляется акт, содержащий среди прочего наименование каждого материального носителя и количество листов, причину уничтожения, Ф. И. О. или иную информацию о субъекте, чьи данные уничтожены.
Удаление данных из информационных систем (например, 1С) отражается в выгрузках из журнала регистрации событий и указанных выше актах.
Важно: организовать актирование уничтожения персональных данных во всех подразделениях компании (например, приняв об этом локальный нормативный акт), а еще настроить журналы регистрации событий в информационных системах.
DAS group | консалтинг для бизнеса
Выстраиваем и совершенствуем бизнес-процессы, задавая вектор улучшений и снижая риски
С 1 июня 2023 года необходимо — ограничение обработки биометрических персональных данных
Компаниям и иным лицам запрещено обрабатывать биометрические персональные данные в своих информационных системах (автоматизированным способом) для идентификации и аутентификации физических лиц без использования государственной единой биометрической системы (ЕБС) согласно ст. 15 закона от 29.12.2022 № 572-ФЗ.
Для подключения к ЕБС требуется аккредитация в Минцифры. Например, установка автоматической системы контроля охраны труда на производстве, узнающей работников «в лицо», теперь невозможна без аккредитации. Охранники на КПП по-прежнему могут вручную проверять пропуска с фото.
Важно: исключить использование любых информационных систем, автоматически «узнающих» людей по биометрическим данным, либо подключиться к ЕБС.
С 14 февраля 2023 года — внеплановые проверки в случае утечки данных
Пересмотрены условия моратория на проведение контрольных (надзорных) мероприятий. Теперь допускается проведение внеплановых мероприятий по контролю за обработкой персональных данных, если установлено распространение (предоставление) в интернете баз данных, содержащих персональные данные.
Важно: Заранее разработать план действий на случай утечки данных и готовиться к проверке после обязательного уведомления Роскомнадзора о таком инциденте (ч. 3.1 ст. 21 закона «О персональных данных»).
С 1 октября 2023 года — использование рекомендательных технологий в интернете
В статье 10.2-2 закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» установлены требования по использованию в интернете рекомендательных технологий.
При использовании IT-сервисов, анализирующих поведение пользователей (например, для показа таргетированной рекламы), владелец веб-ресурса обязан разместить предупреждение об этом, правила применения рекомендательных технологий, свои электронную почту и фирменное наименование.
Относятся ли сведения о поведении пользователей к персональным данным — вопрос открытый. По логике законодательства должны относиться, поскольку указанные технологии предполагают идентификацию пользователя.
Важно: разработать правила применения рекомендательных технологий и обновить сайт, опубликовав приведенные выше сведения.
Изменения, которые могут произойти в 2024 году
Среди последних инициатив выделяются: введение оборотных штрафов за утечки персональных данных, создание института спецоператоров, которым небольшие компании смогут делегировать персональные данные для обработки, и другие предложения.
Минцифры разработало законопроект об оборотных штрафах для компаний за утечку персональных данных граждан, в первый раз штраф составит от 5 до 10 миллионов рублей, повторно — до 3% от оборота.
Роскомнадзор (РКН) разработал «Концепцию повышения безопасности обработки персональных данных в России». Предлагается создать институт спецоператоров персональных данных.
Под спецоператором, согласно концепции, понимается юридическое лицо, за плату обрабатывающее все или часть персональных данных небольших компаний, не имеющих компетенций или ресурсов для выполнения всех требований к защите личной информации.
Для этого компания, получающая статус спецоператора, должна получить аккредитацию в Роскомнадзоре, иметь лицензии Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ) на работу с криптографическими средствами защиты информации, иметь необходимую информационную инфраструктуру и технологии.
Спецоператор будет иметь право получать согласие у гражданина на обработку персональных данных, при этом нести правовую и материальную ответственность за обработку и защиту этой информации в полном объеме, следует из документа.
Также концепция предполагает создание национальных стандартов обработки персональных данных, в том числе их обезличивание с учетом особенностей процесса обработки. Перечень типовых процессов обработки персональных данных должно утвердить правительство.
DAS group | консалтинг для бизнеса
Выстраиваем и совершенствуем бизнес-процессы, задавая вектор улучшений и снижая риски
Реклама: ООО "ДРТ Консалтинг", ИНН 7710976720, erid: LjN8K1hbJ