Напоминаем, с 1 марта 2023 года действует ряд новых требований в законодательстве по персональным данным. Теперь в случае изменения или уничтожения таких данных компаниям потребуется составлять документы по новым правилам. Также будет необходимо уведомлять контролирующие органы о передаче персональных данных заграницу.
Более подробно о текущих изменениях читайте в тексте материала ниже.
СОСТАВЛЕНИЕ АКТА ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Компании - операторы персональных данных (далее – операторы ПДн) обязаны документально подтверждать факт уничтожения таких данных. Состав и порядок формирования документа зависит от того, использует ли оператор ПДн средства автоматизации при обработке данных.
Если средства автоматизации при обработке ПДн не используются, то документом, подтверждающим уничтожение ПДн, является акт.
Если при обработке ПДн используются средства автоматизации, то помимо акта потребуется делать выгрузку из журнала регистрации событий в информационной системе ПДн.
Акт об уничтожении ПДн должен содержать сведения:
Оформлять документ можно как в бумажной, так и в электронной форме. При первом варианте документ заверяется подписью лица, уничтожившего документ, при втором – его усиленной квалифицированной электронной подписью.
Выгрузка из журнала должна содержать данные:
Срок хранения акта и выгрузки из журнала – 3 года с момента уничтожения ПДн.
За отсутствие факта уничтожения ПДн по запросу физлица компаниям грозит административная ответственность в виде штрафа (ч.5 ст.13.11 КоАП РФ):
За повторное нарушение меры ответственности усиливаются и размер штрафа составляет:
· для должностных лиц – в размере 30 000 – 50 000 рублей;
· для юридических лиц – в размере 300 000 – 500 000 рублей.
ОЦЕНКА СТЕПЕНИ ВОЗМОЖНОГО ВРЕДА ПРИ РАБОТЕ С ПДН
Организации обязаны проводить оценку потенциального вреда субъектам ПДн и реализовывать комплекс мер, направленных на обеспечение безопасности и охраны ПДн.
Оценка вреда осуществляется ответственным лицом за организацию обработки ПДн либо комиссией, образуемой оператором ПДн. Во время оценки определяется степень вреда, который будет нанесен при нарушении правил обработки ПДн. Степень вреда может быть высокой, средней и низкой. Она зависит от категории ПДн, которые обрабатываются.
Более подробно о текущих изменениях читайте в тексте материала ниже.
СОСТАВЛЕНИЕ АКТА ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Компании - операторы персональных данных (далее – операторы ПДн) обязаны документально подтверждать факт уничтожения таких данных. Состав и порядок формирования документа зависит от того, использует ли оператор ПДн средства автоматизации при обработке данных.
Если средства автоматизации при обработке ПДн не используются, то документом, подтверждающим уничтожение ПДн, является акт.
Если при обработке ПДн используются средства автоматизации, то помимо акта потребуется делать выгрузку из журнала регистрации событий в информационной системе ПДн.
Акт об уничтожении ПДн должен содержать сведения:
- об операторе ПДн (наименование и адрес юрлица);
- о субъекте ПДн (ФИО), чьи личные данные были уничтожены;
- о лице, уничтожившем ПДн (ФИО, должность) и его подпись;
- об уничтоженных материальных носителях с ПДн;
- о способах, причинах и дате уничтожения ПДн.
Оформлять документ можно как в бумажной, так и в электронной форме. При первом варианте документ заверяется подписью лица, уничтожившего документ, при втором – его усиленной квалифицированной электронной подписью.
Выгрузка из журнала должна содержать данные:
- о субъекте ПДн (ФИО), чьи личные данные были уничтожены;
- о перечне категорий уничтоженных ПДн ;
- об информационной системе ПДн, из которой такие данные были уничтожены;
- о причинах и дате уничтожения ПДн.
Срок хранения акта и выгрузки из журнала – 3 года с момента уничтожения ПДн.
За отсутствие факта уничтожения ПДн по запросу физлица компаниям грозит административная ответственность в виде штрафа (ч.5 ст.13.11 КоАП РФ):
- для должностных лиц – в размере 8 000 – 20 000 рублей;
- для юридических лиц – в размере 50 000 – 90 000 рублей.
За повторное нарушение меры ответственности усиливаются и размер штрафа составляет:
· для должностных лиц – в размере 30 000 – 50 000 рублей;
· для юридических лиц – в размере 300 000 – 500 000 рублей.
ОЦЕНКА СТЕПЕНИ ВОЗМОЖНОГО ВРЕДА ПРИ РАБОТЕ С ПДН
Организации обязаны проводить оценку потенциального вреда субъектам ПДн и реализовывать комплекс мер, направленных на обеспечение безопасности и охраны ПДн.
Оценка вреда осуществляется ответственным лицом за организацию обработки ПДн либо комиссией, образуемой оператором ПДн. Во время оценки определяется степень вреда, который будет нанесен при нарушении правил обработки ПДн. Степень вреда может быть высокой, средней и низкой. Она зависит от категории ПДн, которые обрабатываются.
Результаты оценки оформляются соответствующим актом с указанием информации:
- об операторе ПДн (наименование и адрес юрлица);
- о дате издания акта оценки вреда;
- о дате проведения оценки вреда;
- о лицах, проводивших оценку вреда (ФИО, должности), и их подписи;
- о степени вреда, которая может быть причинена субъекта ПДн.
Оформлять документ можно как в бумажной, так и в электронной форме. Во втором случае документ подписывается усиленной квалифицированной электронной подписью лица, ответственного за оценку вреда, или членами комиссии, и признается электронным документом, равнозначным бумажному носителю.
Срок хранения акта – постоянно. Предполагается, что обновлять документ необходимо в том случае, если степень потенциального вреда при работе с ПДн изменилась.
ИЗМЕНЕНИЯ В РАБОТЕ С ПДН: НОВЫЕ СРОКИ УВЕДОМЛЕНИЙ
Сообщать в Роскомнадзор об изменении сведений, которые компании указали в уведомлении об обработке ПДн, необходимо в новые сроки – не позднее 15-го числа месяца, следующего за месяцем произошедших изменений (ранее такой срок составлял 10 рабочих дней с момента изменений).
Сообщать необходимо о любом изменении информации, которую указали в уведомлении об обработке ПДн:
- цель обработки;
- перечень действий с ПДн;
- способы обработки данных;
- категории обрабатываемых данных;
- сведения об ответственных за обработку и т.д.
Уведомление заполняется по форме из Приложения N2 к Приказу Роскомнадзора от 28 октября 2022 года N 180. Документ может быть представлен как в бумажной, так и в электронной форме.
Органы Роскомнадзора могут запросить дополнительные сведения, если сочтут, что в уведомлении содержится неполная или неточная информация. Срок ответа – 10 рабочих дней с момента получения запроса. В противном случае компании грозит административная ответственность в виде штрафа в размере 3 000 – 5 000 рублей. Для должностных лиц такой штраф достигает 500 рублей.
Напоминаем, операторы ПДн обязаны уведомлять органы Роскомнадзора о намерении осуществлять обработку ПДн, которые:
- обрабатываются в соответствии с трудовым законодательством (личные данные сотрудников);
- принадлежат гражданам или контрагентам, с которыми компания заключила договор на оказание услуг, исполнение работ;
- необходимы для однократного пропуска граждан на территорию компании.
УВЕДОМЛЕНИЕ О ПЕРЕДАЧЕ ПДН ЗАГРАНИЦУ
С 1 марта текущего года компании обязаны уведомлять Роскомнадзор о своем намерении осуществлять трансграничную передачу ПДн.
Перед этим необходимо выяснить, какие меры по защите ПДн предпринимает иностранный партнер, которому такие ПДн будут передаваться и в какой срок обработка таких данных будет завершена.
Утвержденной формы уведомления законодательством о ПДн не установлено, однако необходимо, чтобы в нем была отражена следующая информация:
- наименование оператора ПДн;
- наименование лица, ответственного за организацию обработки ПДн, и его контактные данные;
- категория и перечень передаваемых ПДН;
- перечень иностранных государств, на территорию которых требуется передать ПДн;
- дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранных юрлиц и физлиц конфиденциальности ПДн.
Уведомление подается только один раз. О каждом новом зарубежном контрагенте формировать новое уведомление не требуется.
Обращаем внимание, что указанный уведомительный порядок является дополнительным и не освобождает оператора ПДн от подачи уведомления о начале обработки ПДн в порядке, предусмотренном статьей 22 Закона N 152-ФЗ.
По вопросам соблюдения требований законодательства в области персональных данных обращайтесь к экспертам Acsour.
