9
Статья подготовлена на базе материалов, полученных на семинаре при участии представителей Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Северо-Кавказскому Федеральному округу или более кратко представителей Роскомнадзора.
Речь будет идти об изменениях (начиная с 1 сентября 2022 года до настоящего времени) требований по защите персональных данных в соответствии с изменениями Федерального закона 152-ФЗ (на основании Федерального закона от 14.07.2022 № 266-ФЗ “О внесении изменений в Федеральный закон “О персональных данных””) и новыми Приказами Роскомнадзора, но все по порядку.
Для тех, кто только погружается в тему защиты персональных данных, небольшое отступление. Роскомнадзор является основным регулятором при проведении проверок по выполнению требований Федерального Закона 152-ФЗ, поэтому все новости по изменениям были получены из первоисточника. Кому будут непонятны основные термины, я разместил пояснения в завершении статьи.
Итак, что изменилось в Федеральном Законе 152-ФЗ (далее – Закон о ПДн).
С 1 сентября 2022 года:
1. Ограничено количество исключений на возможность Оператору ПДн не отправлять уведомление в Роскомнадзор о намерении обработки ПДн;
2. Изменилась форма Уведомления о намерении обрабатывать ПДн;
3. Изменились с 30-ти до 10-ти рабочих дней сроки ответа на запросы Роскомнадзора;
4. Веден запрет на не предоставление услуг гражданам, в случае, если они отказываются предоставить биометрические данные;
5. Изменились требования к Согласию по обработке ПДн;
6. Изменились требования к Политике обработки ПДн. (Я вижу слово «изменились», двоеточие и всё перечисления. Дабы не повторять его из строчки в строчку).
С 1 марта 2023 года:
1. Меняются требования к трансграничной передаче ПДн;
2. Вводится порядок оценки вреда, который может быть причинен субъектам ПДн в случае нарушения Закона о ПДн;
3. Меняются требования к подтверждению уничтожения ПДн;
4. Вводится порядок информирования Роскомнадзора об инцидентах утечки ПДн (определены жесткие временные рамки).
Более подробно по изменениям.
1. Перед тем как приступить к обработке ПДн в соответствии со ст. 22 Закона о ПДн Оператор ПДн (далее – Оператор) должен уведомить Роскомнадзор о своем намерении. На сайте Роскомнадзора предусмотрена возможность направить Уведомление несколькими способами (в бумажном варианте и электронном) в соответствии с утвержденной формой уведомления (rkn.gov.ru).
Примечание: представители Роскомнадзор не рекомендуют «скачивать» в сети Интернет форму Уведомления с других информационных ресурсов, так как она может быть неактуальной. Так же было отмечено, если форма заполнена сразу на сайте Роскомнадзор, есть возможность редактировать ее в дальнейшем.
Ранее до 01.09.2022 года Закон о ПДн предусматривал больше исключений, когда Уведомление об обработке ПДн от Оператора не требуется:
– если ПДн включают только фамилии, имена и отчества;
– необходимы для однократного пропуска субъекта ПДн на территорию, на которой находится Оператор;
– обрабатываются в соответствии с трудовым законодательством;
– и т.д.
Теперь количество исключений сокращено до 3:
– когда ПДн включены в государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
– если Оператор осуществляет деятельность по обработке ПДн
исключительно без использования средств автоматизации;
– когда ПДн обрабатываются в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
2. О форме Уведомления, она изменилась. Оператору придется больше затратить времени на ее заполнение, так как увеличилось количество пунктов, которые необходимо заполнить. Новая форма Уведомления введена Приказом Роскомнадзора от 28.10.2022 №180. Приказ вступил в силу после его опубликования. Оператор может направить Уведомление о внесении изменений в ранее представленные сведения в Реестр Операторов, осуществляющих обработку ПДн.
Примечание: на сайте Роскомнадзор, уже открыта новая форма Уведомления.
Предельный срок уведомления Роскомнадзор об обработке ПДн не определен. Таким образом, 1 сентября 2022 не является крайним сроком подачи уведомления об обработке ПДн. (Информация с официального сайта Роскомнадзор).
Необходимо сказать о наиболее существенных изменениях в форме уведомления:
– должны быть указаны или конкретный срок или условие прекращения обработки ПДн (ликвидация или реорганизация Организации);
– трансграничная передача ПДн: в форме теперь (опять и снова!) не надо указывать страны, куда передаются ПДн;
– нахождение БД ПДн: указывается только адрес нахождения (ранее еще необходимо было указать наименование Информационной Системы ПДн);
– обязательно внести контактные данные лиц, осуществляющих обработку ПД в государственных и муниципальных информационных системах (исключительно для операторов таких систем, для остальных операторов есть возможность удалить это поле в электронной форме).
Важное замечание: если произошли изменения в процессе обработки ПДн Оператора (назначен новый ответственный за обработку ПДн и др.), согласно закону в течение 10 дней с момента этих изменений, Оператор обязан уведомить Роскомнадзор о произошедших изменениях! Отправляется информационное письмо на основе ранее заполненной и направленной формы уведомления.
О некоторых нюансах заполнения формы уведомления:
Если поля формы заполнены не полностью, представители Роскомнадзор расценивают это как нарушение и соответственно возможна административная ответственность за предоставление неточных, или неполных сведений.
Ниже наиболее распространенные варианты, которые попали в разряд нарушений (из практики представителей Роскомнадзор) при заполнении формы уведомления:
– неполный перечень сведений о лице, назначенном за организацию обработки ПДн (Не указаны: Полный адрес, включая улицу, номер дома, корпус, или строение, район, город, страна, почтовый индекс и адрес электронной почты), телефон и адрес электронной почты указываются рабочие;
– неполный адрес местонахождения базы ПДн;
– отсутствие сведений об организации, ответственной за хранение данных (Не указаны: Тип организации, ИНН, ОГРН, наименование, адрес местонахождения организации, ответственной за хранение данных). В случае, если у Организации нет собственного ЦОД-а, в форме так и указывается, что ЦОД не собственный. Представителями Роскомнадзор сделан акцент на то, что хранение информации в таком случае осуществляется только в рамках договорных отношений.
Отступление: на семинаре было озвучено, что представители Роскомнадзор ответят на вопросы Операторов ПДн , которые возникнут при заполнении формы уведомления или информационных писем.
На этом пока все. Продолжение тут.