Изменения в работе с Роскомнадзором

Мы уже рассказывали вам о существенных изменениях в законодательстве, которые коснулись обработки персональных данных.

Первые нововведения, которые коснулись работы операторов персональных данных, действуют с 01 сентября 2022 года на основании Федерального закона 226-ФЗ. Этот закон перевёл из рекомендательных в перечень обязательных к применению требования статьи 18.1 Закона № 152-ФЗ.

Позднее Роскомнадзор регламентировал порядок уведомлений регулятора при работе с персональными данными своими приказами.

Предлагаем вашему вниманию перечень наиболее важных изменений.

Обязанности оператора (работодателя)

С 1 сентября 2022 года при обработке персональных данных оператор (работодатель) должен учитывать следующие требования:

• наличие обработчика, то есть лица, которое производит обработку персональных данных по поручению оператора;
• наличие в компании политики по персональным данным, учитывающей обязательные к применению требования законодательства;
• соблюдение мер, обеспечивающих выполнение требований законодательства;
• наличие согласия субъекта на обработку персональных данных с учётом новых требований законодательства.

Новые формы уведомлений Роскомнадзора

До начала обработки персональных данных сотрудников работодатель обязан уведомить об этом территориальный орган Роскомнадзора.

В соответствии с Приказом Роскомнадзора N 180 от 28 октября 2022 года были утверждены следующие формы уведомлений:

• о намерении осуществлять обработку персональных данных
• о внесении изменений в ранее представленные сведения
• о прекращении обработки персональных данных

Для каждой цели обработки необходимо отдельно указывать её способы и правовое основание, категорию сведений и их субъектов, перечень действий с данными.

Уничтожение персональных данных

В соответствии с Приказом Роскомнадзора N 179 от 28 октября 2022 года, на период с 1 марта 2023 года до 1 марта 2029 года установлены требования к подтверждению уничтожения персональных данных.

Комплектование и содержание документов, которые оператор (работодатель) должен сформировать, зависят от того, использует ли он при обработке средства автоматизации, или нет.

Для подтверждения уничтожения составляется акт. При обработке данных с использованием средств автоматизации также используется выгрузка из журнала регистрации событий.

Цифровой акт, заверенный электронной подписью, равнозначен бумажному с собственноручной подписью.

Эти документы должны формироваться по факту уничтожения, и подлежат хранению в течение 3 лет.

В общем случае уничтожение персональных данных осуществляется в течение 30 дней с даты достижения цели обработки персональных данных или с даты поступления отзыва субъектом согласия на обработку персональных данных.

ВАЖНО! Порядок документального оформления факта уничтожения персональных данных оператор определяет самостоятельно.

Трансграничная передача персональных данных сотрудников

С 1 марта 2023 года вступил в силу новый порядок информирования Роскомнадзора о передаче персональных данных в другие страны.

Теперь, если работодатель планирует передавать персональные данные в другую страну, он сможет это делать только после внесения сведений в базу данных на территории РФ.

Решение о запрещении или об ограничении трансграничной передачи персональных данных «в целях защиты нравственности, здоровья, прав и законных интересов граждан» может быть принято ведомством по результатам рассмотрения уведомления в течение 10 рабочих дней с даты его поступления.

Решение о запрете либо ограничении трансграничной передачи персональных данных Роскомнадзор направляет оператору любым доступным способом, позволяющим подтвердить факт его получения, в том числе по адресу, указанному в уведомлении. Срок — не позднее дня, следующего за датой принятия соответствующего решения.

Дополнительная обязанность при допущении утечек персональных данных

При утечке персональных данных оператор (работодатель) должен уведомить Роскомнадзор обо всех случаях, связанных с неправомерной передачей персональных данных.

Для этого в течение 24 часов с момента обнаружения утечки в ведомство отправляется уведомление, и в течение в течение 72 часов — информацию о результатах внутреннего расследования инцидента.

С 1 марта 2023 года для учёта таких инцидентов Роскомнадзор ведёт специализированный реестр.

Ответственность в случае нарушений

За нарушение обязательств оператора (работодателя) в работе с персональными данными предусмотрена ответственность по статье 13.11 и статье 19.7 КоАП РФ для граждан, предпринимателей, должностных лиц и организаций.

В зависимости от нарушения и категории ответственного лица размер штрафов — от 100 рублей до 150’000 рублей, при этом в случае повторного нарушения штрафы существенно увеличиваются.

Обращаем ваше внимание, что Постановлением Правительства РФ № 161 от 04 февраля 2023 года в 2023 году расширился перечень оснований для внеплановых проверок бизнеса Роскомнадзором.

В письме № 09-6488 от 31 января 2023 года Роскомнадзор разъяснил, что Кодексом об административных нарушениях установлен перечень статей, по которым ведомство может возбуждать дела об административных правонарушениях без проведения контрольно-надзорных мероприятий во взаимодействии с контролируемым лицом (прокуратурой).

Подобные ситуации могут возникнуть, если информация о нарушении поступила из правоохранительных органов или других государственных органов, из письменных, устных сообщений и заявлений физических и юридических лиц, указывающих на факт нарушения.

Если у вас возникнут вопросы, потребуется наша поддержка или помощь в части обработки персональных данных, пожалуйста, обращайтесь.