Мы уже рассказывали вам о существенных изменениях в законодательстве, которые коснулись обработки персональных данных.
Первые нововведения, которые коснулись работы операторов персональных данных, действуют с 01 сентября 2022 года на основании Федерального закона
Позднее Роскомнадзор регламентировал порядок уведомлений регулятора при работе с персональными данными своими приказами.
Предлагаем вашему вниманию перечень наиболее важных изменений.
С 1 сентября 2022 года при обработке персональных данных оператор (работодатель) должен учитывать следующие требования:
До начала обработки персональных данных сотрудников работодатель обязан уведомить об этом территориальный орган Роскомнадзора.
В соответствии с Приказом Роскомнадзора N 180 от 28 октября 2022 года были утверждены следующие формы уведомлений:
Для каждой цели обработки необходимо отдельно указывать её способы и правовое основание, категорию сведений и их субъектов, перечень действий с данными.
В соответствии с Приказом Роскомнадзора N 179 от 28 октября 2022 года, на период с 1 марта 2023 года до 1 марта 2029 года установлены требования к подтверждению уничтожения персональных данных.
Комплектование и содержание документов, которые оператор (работодатель) должен сформировать, зависят от того, использует ли он при обработке средства автоматизации, или нет.
Для подтверждения уничтожения составляется акт. При обработке данных с использованием средств автоматизации также используется выгрузка из журнала регистрации событий.
Цифровой акт, заверенный электронной подписью, равнозначен бумажному с собственноручной подписью.
Эти документы должны формироваться по факту уничтожения, и подлежат хранению в течение 3 лет.
В общем случае уничтожение персональных данных осуществляется в течение 30 дней с даты достижения цели обработки персональных данных или с даты поступления отзыва субъектом согласия на обработку персональных данных.
ВАЖНО! Порядок документального оформления факта уничтожения персональных данных оператор определяет самостоятельно.
С 1 марта 2023 года вступил в силу новый порядок информирования Роскомнадзора о передаче персональных данных в другие страны.
Теперь, если работодатель планирует передавать персональные данные в другую страну, он сможет это делать только после внесения сведений в базу данных на территории РФ.
Решение о запрещении или об ограничении трансграничной передачи персональных данных «в целях защиты нравственности, здоровья, прав и законных интересов граждан» может быть принято ведомством по результатам рассмотрения уведомления в течение 10 рабочих дней с даты его поступления.
Решение о запрете либо ограничении трансграничной передачи персональных данных Роскомнадзор направляет оператору любым доступным способом, позволяющим подтвердить факт его получения, в том числе по адресу, указанному в уведомлении. Срок — не позднее дня, следующего за датой принятия соответствующего решения.
При утечке персональных данных оператор (работодатель) должен уведомить Роскомнадзор обо всех случаях, связанных с неправомерной передачей персональных данных.
Для этого в течение 24 часов с момента обнаружения утечки в ведомство отправляется уведомление, и в течение в течение 72 часов — информацию о результатах внутреннего расследования инцидента.
С 1 марта 2023 года для учёта таких инцидентов Роскомнадзор ведёт специализированный реестр.
За нарушение обязательств оператора (работодателя) в работе с персональными данными предусмотрена ответственность по статье 13.11 и статье 19.7 КоАП РФ для граждан, предпринимателей, должностных лиц и организаций.
В зависимости от нарушения и категории ответственного лица размер штрафов — от 100 рублей до 150’000 рублей, при этом в случае повторного нарушения штрафы существенно увеличиваются.
Обращаем ваше внимание, что Постановлением Правительства РФ № 161 от 04 февраля 2023 года в 2023 году расширился перечень оснований для внеплановых проверок бизнеса Роскомнадзором.
В письме №
Подобные ситуации могут возникнуть, если информация о нарушении поступила из правоохранительных органов или других государственных органов, из письменных, устных сообщений и заявлений физических и юридических лиц, указывающих на факт нарушения.
Если у вас возникнут вопросы, потребуется наша поддержка или помощь в части обработки персональных данных, пожалуйста, обращайтесь.