Новое в работе с персональным данными с 1 марта 2023 года

С 1 марта 2023 года действуют изменения в работе с персональными данными.

С этого времени компаниям нужно учитывать:

• новые сроки уведомления Роскомнадзора об изменении персональных данных или прекращении их обработки;
• введение новой обязанности по оценке возможного вреда субъектам персданных;
• особые правила защиты персональных данных при их трансграничной передаче;
• новый порядок оформления уничтожения персональных данных.

В случае изменения сведений оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить РКН обо всех произошедших за указанный период изменениях.

В случае прекращения обработки персональных данных оператор обязан уведомить об этом РКН в течение 10-ти рабочих дней с даты прекращения обработки персональных данных.

С 1 марта 2023 года компании должны оценивать вред, который может быть причинен субъектам персданных в случае нарушения требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Оценка вреда, который может быть причинен субъектам персональных данных должна осуществляться лицом, ответственным за организацию обработки персональных данных либо комиссией, образуемой оператором.

По итогам оценки вреда присваивают одну из степеней: высокую, среднюю, низкую. Результаты оценки вреда оформляются актом оценки вреда.

С 1 марта 2023 года вступил в силу новый порядок информирования Роскомнадзора о трансграничной передаче данных.

В целях защиты персональных данных при их трансграничной передаче оператору необходимо было до 1 марта 2023 года направить в РКН уведомление об осуществлении такой передачи посредством формы, размещенной на Портале персональных данных.

Компаниям достаточно подать одно уведомление с указанием всех стран, куда уже передаются персональные данные.

Роскомнадзор рассматривает уведомление и по итогам рассмотрения ведомство вправе принять решение о запрете или ограничении передачи персональных данных в другие страны. До истечения 10 рабочих дней после подачи такого уведомления запрещено передавать данные в страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных.

Операторам, подавшим уведомление о трансграничной передаче до 1 марта, не надо подавать новое уведомление после этой даты, до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных (в новые страны или для новых целей).

Компания может проверить состояние уведомления о трансграничной передаче, направленного до 1 марта.

В ряде требований компании должны уничтожать персональные данные.

С 1 марта 2023 года действуют требования к подтверждению уничтожения персональных данных.

Порядок подтверждения уничтожения ПД различается в зависимости от того, происходит ли обработка персданных – с использованием средств автоматизации или без. 

Если обработка персональных данных осуществляется оператором без использования средств автоматизации, то документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных.

Если уничтожение ПД происходит с использованием средств автоматизации, документами, подтверждающими уничтожение, являются, – акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.