Вступает в силу заключительная часть поправок, внесенных в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» в июле прошлого года.
Изменения следующие:
1. Изменен порядок подтверждения уничтожения персональных данных.
Теперь подтверждать уничтожение персональных данных (далее также ПД) нужно будет в соответствии с требованиями, установленными приказом Роскомнадзора от 28 октября 2022 г. № 179, вступающие в силу 01.03.2023 г.
2. Уточнены требования по трансграничной передаче данных.
Согласно уже действующему законодательству при трансграничной передаче данных, операторы, которые ее осуществляли до 1 сентября 2022 года и продолжили ее осуществлять после этой даты, обязаны не позднее 1 марта 2023 года направить в Роскомнадзор уведомление об осуществлении такой передачи. Сделать это можно посредством формы, размещенной на Портале персональных данных. При этом, данная мера не предполагает получения разрешения на трансграничную передачу, а равно принятие решения о запрещении или ограничении трансграничной передачи ПД (разъяснения Роскомнадзора).
С 1 марта операторы должны будут уведомлять Роскомнадзор о своем намерении осуществлять трансграничную передачу ПД до начала осуществления этой деятельности. В свою очередь ведомство, по итогам рассмотрения уведомления, будет вправе принять решение о запрете или ограничении передачи персональных данных в другие страны. Решение принимается в течении 10 рабочих дней. До истечения этого срока запрещено передавать данные.
Операторам, подавшим уведомление о трансграничной передаче до 1 марта, не надо будет подавать новое уведомление после этой даты, до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных (в новые страны или для новых целей). ВСЕ ИСКЛЮЧЕНИЯ указаны в постановлении Правительства от 29 декабря 2022 г. № 2526
3. Нововведения касаются и сроков уведомления об изменении сведений, представленных данных.
Оператор обязан проинформировать ведомство не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.
В случае прекращения обработки персональных данных оператор должен уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки персональных данных (сейчас – в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПД).
4. Оценка причиненного вреда за нарушение Закона «О передаче персональных данных».
Оценку вреда нужно будет осуществлять в соответствии с требованиями приказа Роскомнадзора от 27 октября 2022 г. № 178, который вступит в силу также 1 марта 2023 года.
5. Утечка персональных данных.
Согласно новой ч. 10, которая с 1 марта 2023 года появится в ст. 23 Закона о персональных данных, для учета информации об инцидентах, поименованных в ч. 3.1 ст. 21 этого закона, Роскомнадзор будет вести реестр учета инцидентов в области персональных данных.
С 1 марта 2023 года информация об инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, должна передаваться в ФСБ России. Порядок передачи будет установлен совместным приказом ФСБ и Роскомнадзора.
