С 1 марта 2023 года законодательство в области персональных данных (далее – ПД) было существенно изменено. Поговорим сегодня о новшествах, которые коснутся всех операторов ПД и о том, что нужно обязательно учитывать при работе с ПД.

Новый порядок направления уведомлений об изменениях

Согласно новым правилам, оператор ПД обязан уведомить Роскомнадзор об изменениях представленных им ранее сведений об обработке ПД, произошедших за месяц, в срок не позднее 15 числа следующего месяца (ч. 7 ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных"). Подается уведомление в отношении всех изменений.

© bakhtiarzein / Фотобанк Фотодженика

По ранее действовавшим правилам такие уведомления в виде информационного письма направлялись не позднее 10 рабочих дней с момента изменения. 

Как правило, за направление писем об изменении сведений об обработке ПД в компании отвечает лицо, ответственное за организацию обработки ПД.

Обращаем внимание: если уведомление не представлено, организацию могут привлечь к административной ответственности по ст. 19.7 КоАП РФ и оштрафовать на сумму до 5 тыс. руб. 

Обязанность хранить доказательства уничтожения ПД в течение 3 лет

Вступили в силу и будут действовать до 1 марта 2029 года Требования к подтверждению уничтожения ПД (утв. Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179).

До вступления изменений в силу операторы самостоятельно определяли порядок фиксации факта уничтожения ПД.

Отметим, что организации и раньше могли оформлять такие документы. Кроме того, делать это рекомендовал Роскомнадзор. Однако с 1 марта 2023 года составлять такой акт нужно обязательно, и к данному документу предъявляются определенные требования.

Оператор должен составить акт в случаях:

• уничтожения материальных (бумажных) носителей, содержащих ПД (обработка без использования средств автоматизации);
• уничтожения ПД, содержащихся в информационных системах персональных данных (обработка с использованием средств автоматизации).

Помимо прочего, акт об уничтожении должен содержать перечень категорий уничтоженных ПД, наименование уничтоженного носителя, содержащего ПД. В акте необходимо отразить, в частности:

• количество листов в отношении каждого материального носителя (в случае обработки персональных данных без использования средств автоматизации);
• наименование информационной системы ПД, из которой данные были уничтожены (при их обработке с использованием средств автоматизации);
• способ и причину уничтожения.

Если обработка осуществлялась с использованием средств автоматизации, подтверждением факта уничтожения ПД послужит также выгрузка из журнала регистрации событий в информационной системе персональных данных (вместе с актом об уничтожении). Если указать часть данных в выгрузке невозможно, их можно отразить в акте. В рассматриваемом случае подтверждением будут оба способа, независимо от того, как обрабатывались ПД.  

Отметим, что под уничтожением ПД понимаются действия, после осуществления которых невозможно восстановить содержание ПД. Например, шредирование материальных (бумажных) носителей ПД.

Уничтожение ПД оператор осуществляет:

• при отзыве субъектом ПД согласия на их обработку;
• после достижения целей обработки или в случае утраты необходимости в достижении этих целей;
• если их обработка неправомерна (например, если Роскомнадзор отказал в трансграничной передаче ПД иностранным лицам);
• при получении требования от субъекта ПД об уничтожении его данных в случае, если они являются незаконно полученными, неполными, неточными, устаревшими, или не являются необходимыми для цели обработки.

Важно правильно оформлять акты и выписки, поскольку именно эти документы обезопасят оператора в случае претензий со стороны субъектов ПД и Роскомнадзора и позволят подтвердить прекращение обработки определенных данных.

Обращаем внимание: если Роскомнадзор или субъект ПД потребует уничтожения данных, а оператор не выполнит требование, и если при этом ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, компания может быть привлечена к административной ответственности по ч. 5 ст. 13.11 КоАП РФ. Штраф за такое нарушение установлен в размере до 90 тыс. руб.

В то же время правильно оформленным Актом об уничтожении (и выпиской) компания сможет доказать выполнение обязанности и обезопасит себя от разбирательств. 

Правильное сообщение об утечке персональных данных

Вступил в силу Порядок взаимодействия Роскомнадзора и операторов ПД в рамках ведения реестра учета инцидентов в области ПД (утв. Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14 ноября 2022 г. № 187). 

Уведомление может быть первичным (должно быть представлено в течение 24 часов) или дополнительным (предоставляется в течение 72 часов).

Первичное уведомление должно содержать сведения о произошедшем инциденте, его возможных причинах, предполагаемом вреде субъекту ПД, а также возможные меры по устранению вреда.

Дополнительное уведомление должно содержать сведения о результатах внутреннего расследования инцидента с указанием виновных лиц в случае, если в ходе расследования они были выявлены.

Отметим, что у Роскомнадзора есть право запросить дополнительную информацию, если он посчитает, что предоставленные оператором сведения были недостаточными или недостоверными. В таком случае у оператора появляется обязанность предоставить запрашиваемые сведения в 3-дневный срок.

Роскомнадзор может направить оператору требование о предоставление уведомления, если обнаружит утечку его баз данных. Направляя в ответ уведомление, оператор ПД вправе указать, что не выявлял факта утечки данных и приложить доказательства того, что утечки не было. В качестве такого доказательства может выступать акт, содержащий результаты внутреннего расследования. 

Новые правила оценки вреда

Вступили в силу и будут действовать до 1 марта 2029 года Требования к оценке вреда, который может быть причинен субъектам ПД в случае нарушения Федерального закона "О персональных данных" (утв. Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. № 178).

Установлено, что оценку вероятного вреда должно осуществлять лицо, ответственное за организацию обработки ПД либо созданная оператором комиссия.

Для целей оценки вреда указанные субъекты определяют одну из степеней вреда, который может быть причинен субъекту ПД в случае нарушения Федерального закона "О персональных данных". Степени разделены на три категории: высокую, среднюю или низкую.

Результаты оценки необходимо зафиксировать в акте оценки вреда.

Если оценка вреда покажет, что субъекту ПД могут быть причинены разные степени вреда, применению подлежит более высокая степень вреда.

Конкретные меры ответственность за непроведение оценки вреда законодатель не установил, однако если нарушение будет выявлено в ходе проводимой Роскомнадзором проверки, его нужно будет устранить. Роскомнадзор вправе выдать компании соответствующее предписание. 

***

Подведем итог сказанному.

Законодательство о ПД постоянно изменяется и дополняется. При этом оператору ПД необходимо быть в курсе всех изменений, поскольку незнание не освобождает от ответственности, а неисполнение обязательных требований влечет санкции.

Для исключения нарушений законодательства и вызванных ими неблагоприятных последствий рекомендуем предпринимателям:

1. Регулярно анализировать процессы обработки ПД для их своевременной актуализации, в том числе в реестре операторов ПД. Необходимость таких мероприятий вызвана тем, что в процессе проверки Роскомнадзор сверяет данные, содержащиеся во внутренней документацией компании с данными из реестра.
2. Разработать и утвердить внутренние документы (регламенты), регулирующие вопросы:

• уничтожения ПД;
• оценки возможного вреда внутри компании, круг ответственных лиц и периодичность проведения оценки;
• вопросы выявления инцидентов утечки персональных данных, их профилактику и круг ответственных лиц.


Это могут быть, например:

• регламент по учету, хранению носителей персональных данных и уничтожению персональных данных;
• регламент определения уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных и оценке вреда субъекта персональных данных;
• регламент по проведению внутренних контрольных мероприятий и реагированию на инциденты информационной безопасности в информационных системах персональных данных и иных инцидентов в области персональных данных.

3. Разработать и утвердить формы (шаблоны) соответствующих актов (об уничтожении ПД, об оценке вреда) и выписок их журналов событий информационной системы персональных данных.

Указанные мероприятия потребуют от специалистов компании специальных знаний и временных затрат. Для экономии времени рекомендуем доверить процессы анализа документации компании, оценки возможных рисков и разработки необходимых актов профессиональным юристам.