С 1 марта 2023 года требования к обработке персональных данных меняются. Изменения затронут трансграничную передачу, порядок уничтожения, сроки уведомления Роскомнадзора. О ключевых изменениях, которые повлияют на работу операторов, читайте в статье.
Уведомление в Роскомнадзор
С 1 марта скорректировали срок уведомления Роскомназора, если изменились сведения, ранее представленные в уведомлении об обработке персональных данных. Проинформировать нужно не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения (ч. 7 ст. 22 Закона 152-ФЗ).
С 1 сентября 2022 года большинство операторов должны подавать такое уведомление. Исключение: данные обрабатывают в целях защиты безопасности государства и общественного порядка, транспортной безопасности или оператор обрабатывает данные исключительно без средств автоматизации. С 26 декабря 2022 года уведомления подаются по новым формам (Приказ Роскомнадзора от 28.10.2022 № 180).
Законодатель ввел новую обязанность для компаний, которые ранее осуществляли трансграничную передачу персональных данных, - например, в материнскую компанию, - и продолжают это делать. До 1 марта 2023 г. необходимо направить в Роскомнадзор уведомление о трансграничной передаче персональных данных (ст. 12 Закона о персональных данных). Если трансграничная передача персональных данных будет осуществляться и после 1 марта 2023 г., то надо будет подать уведомление о намерении осуществлять трансграничную передачу персональных данных.
Иными словами, помимо уведомления об обработке (о намерении осуществлять обработку) персональных данных требуется подача отдельного уведомления о трансграничной передаче (о намерении осуществлять трансграничную передачу) персональных данных. При этом необходимо провести подготовительную работу. До подачи уведомления о трансграничной передаче данных следует получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения (ч. 5 ст. 12 Закона о персональных данных):
1. Сведения о принимаемых органами власти иностранного государства (физическими, юридическими лицами), которым планируется трансграничная передача персональных данных, мерах по защите передаваемых персональных данных и об условиях прекращения их обработки.
2. Информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся лица, которым планируется трансграничная передача персональных данных (в случае если предполагается осуществление трансграничной передачи персональных данных лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28 января 1981 г.) и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (утв. приказом Роскомнадзора от 5 августа 2022 г. N 128).
3. Сведения об органах власти лиц, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).
При подаче уведомления о трансграничной передаче данные сведения не требуется представлять. Указанные сведения и информация могут быть дополнительно запрошены Роскомнадзором у оператора для принятия решения о запрещении или ограничении трансграничной передачи данных. Срок представления таких сведений и информации составляет 10 рабочих дней и может быть продлен максимально на 5 рабочих дней при условии наличия мотивированного основания. Срок рассмотрения уведомления о трансграничной передаче (о намерении осуществлять трансграничную передачу) персональных данных также составляет 10 рабочих дней.
Практически законодатель установил две процедуры в отношении трансграничной передачи персональных данных: уведомительный и разрешительный. Выбор процедуры передачи данных зависит от того, обеспечивает ли государство, куда планируется передача персональных данных, адекватную защиту данных, или нет. По умолчанию считается, что адекватную защиту данных обеспечивают:
- стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных;
- государства, включенные в перечень иностранных государств, которые обеспечивают эту защиту, например, Беларусь, Канада, Казахстан, Корея, Япония (в общей сложности 89 государств).
Если трансграничная передача данных осуществляется в "адекватную" страну, то применяется уведомительная процедура, и рассмотрение Роскомнадзором уведомления о трансграничной передаче не ограничивает возможность такой передачи данных в течение периода такого рассмотрения (п. 10 ст. 12 Закона о персональных данных в новой редакции).
По-иному обстоит дело с "неадекватными" странами, такими, например, как США. При передаче персональных данных в подобные страны применяется разрешительная процедура. Оператор не вправе осуществлять трансграничную передачу в такие страны до тех пор, пока Роскомнадзор не закончит рассмотрение данного уведомления. Полагаем, что требование о запрете осуществлять трансграничную передачу персональных данных до выдачи разрешения Роскомнадзора является чрезмерным и труднореализуемым, особенно в ситуации, когда оператору необходимо оперативно передать данные за рубеж. Поэтому было бы целесообразным установить процедуру уведомления Роскомнадзора по "неадекватным" странам по аналогии с процедурой по "адекватным" странам, что значительно бы упростило жизнь для компаний, передающих данные, например, в США. В любом случае и вне зависимости от применяемой процедуры Роскомнадзор может ограничить или запретить передачу данных по результатам рассмотрения уведомления, например, в целях:
- защиты экономических и финансовых интересов Российской Федерации;
- обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан РФ;
- суверенитета, безопасности, территориальной целостности Российской Федерации;
- других ее интересов на международной арене.
В случае если такое решение будет принято, то оператор обязан обеспечить уничтожение иностранными лицами ранее переданных им персональных данных. Можно предположить, что в подтверждение выполнения этого требования будет достаточно представить в контролирующие органы, например, акт об уничтожении персональных данных, полученный от иностранного партнера, или копию запроса о представлении такового с отметкой о получении.
Новелла, дающая Роскомнадзору возможность запрещать трансграничную передачу персональных данных, уже сейчас вызывает целый ряд вопросов, связанных с:
- уничтожением персональных данных, переданных за рубеж по "цепочке", в разные страны;
- отказом иностранных компаний от осуществления уничтожения персональных данных;
- ответственностью российских операторов при невозможности обеспечить уничтожение иностранными лицами ранее переданных им персональных данных.
Уведомление о трансграничной передаче (о намерении осуществлять трансграничную передачу) персональных данных должно содержать следующие сведения: наименование и адрес оператора, наименование лица, ответственного за организацию обработки персональных данных;
- правовое основание и цель трансграничной передачи персональных данных;
- категории и перечень передаваемых персональных данных;
- категории субъектов персональных данных, персональные данные которых передаются;
- перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;
- дата проведения оператором оценки.
Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.
На сайте Роскомнадзора опубликована электронная форма подачи уведомления об осуществлении трансграничной передачи персональных данных (. В одном уведомлении можно указать несколько:
- целей трансграничной передачи персональных данных;
- правовых оснований трансграничной передачи персональных данных;
- иностранных государств, на территории которых осуществляется передача персональных данных.
При этом, как следует из комментариев уполномоченных представителей Роскомнадзора:
1. Уведомление о трансграничной передаче персональных данных подается один раз для каждого государства, а не для каждой трансграничной передачи в это государство. При этом раздельная подача уведомлений по группе стран (страны, обеспечивающие адекватную защиту или не обеспечивающие адекватную защиту) не требуется, важно корректно указать перечень правовых оснований.
2. До 1 марта 2023 г. используются правовые основания, установленные Законом о персональных данных для передачи в "неадекватные" страны (например, наличие согласия субъекта персональных данных).
3. Передача персональных данных представительства российской компании, находящейся на территории иностранного государства, трансграничной передачей не считается. Однако, если речь идет о российском представительстве (филиале) иностранной компании, то при передаче персональных данных в адрес иностранной головной компании нужно соблюдать требования о трансграничной передаче.
4. Передача персональных данных с территории иностранного государства на территорию РФ трансграничной передачей не считается.
5. Если в тексте лицензионного соглашения на использование программных средств иностранных обработчиков (например, сервисы "Гугл", "Майкрософт") содержатся положения о трансграничной передаче, например, передача в адрес компании-разработчика, то это будет считаться трансграничной передачей данных, для которой потребуется направить уведомление в Роскомназор.
Что стоит сделать уже сейчас
Шаг 1. Провести комплексный аудит процессов обработки персональных данных и разработать необходимый комплект документов.
Шаг 2. Направить уведомление в Роскомнадзор о начале обработки персональных данных, если ранее компания не обязана была уведомлять ведомство (например, если она обрабатывала только персональные данные работников).
Шаг 3. Внести корректировки в положение по обработке персональных данных в части порядка трансграничной передачи персональных данных и срока реагирования на запросы субъектов персональных данных и Роскомнадзора, а также для каждой цели обработки персональных данных указать:
- категории и перечень обрабатываемых персональных данных;
- категории субъектов персональных данных;
- способы, сроки их обработки и хранения;
- порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Шаг 4. До 1 марта 2023 г. необходимо получить от иностранных компаний, которым осуществляется трансграничная передача персональных данных, ряд сведений. Во-первых, сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки. Для этого следует запросить у иностранного контрагента доверителя (работодателя):
- краткий анализ зарубежного законодательства о защите персональных данных (при невозможности - перечень зарубежных нормативно-правовых актов по данному вопросу);
- политику по обработке персональных данных;
- его внутренние локальные акты, регулирующие вопросы защиты персональных данных.
В случае подтвержденного отказа от предоставления указанных сведений возможно самостоятельно, на основе информации из публичных источников и обзоров зарубежного законодательства составить краткий обзор по мерам защиты персональных данных за рубежом и условиям прекращения обработки персональных данных.
Во-вторых, сведения о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находится иностранное юридическое лицо (если трансграничная передача персональных данных осуществляется иностранному партнеру под юрисдикцией государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.
В-третьих, сведения о самих иностранных юридических лицах, которым передаются персональные данные (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).
Шаг 5. До 1 марта 2023 г. следует подать уведомление в Роскомнадзор о трансграничной передаче персональных данных, форма которого размещена на официальном сайте Роскомнадзора.
Отметим, что в связи с принятыми изменениями не требуется как получать от субъекта согласие на трансграничную передачу персональных данных, так и замораживать деятельность компании на время рассмотрения уведомления о трансграничной передаче персональных данных.
В заключение выскажем такое мнение: рассмотренные нововведения проложат путь к защите прав субъектов персональных данных и формированию у операторов ценностных ориентиров в связи с трансграничной передачей данных. Персональные данные - это жизненная сила бизнеса в современной глобальной экономике. И обеспечение свободного обмена данными в международном поле является значимой частью бизнес-стратегии.
Иными словами, помимо уведомления об обработке (о намерении осуществлять обработку) персональных данных требуется подача отдельного уведомления о трансграничной передаче (о намерении осуществлять трансграничную передачу) персональных данных. При этом необходимо провести подготовительную работу. До подачи уведомления о трансграничной передаче данных следует получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения (ч. 5 ст. 12 Закона о персональных данных):
1. Сведения о принимаемых органами власти иностранного государства (физическими, юридическими лицами), которым планируется трансграничная передача персональных данных, мерах по защите передаваемых персональных данных и об условиях прекращения их обработки.
2. Информацию о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся лица, которым планируется трансграничная передача персональных данных (в случае если предполагается осуществление трансграничной передачи персональных данных лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (заключена в г. Страсбурге 28 января 1981 г.) и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (утв. приказом Роскомнадзора от 5 августа 2022 г. N 128).
3. Сведения об органах власти лиц, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).
При подаче уведомления о трансграничной передаче данные сведения не требуется представлять. Указанные сведения и информация могут быть дополнительно запрошены Роскомнадзором у оператора для принятия решения о запрещении или ограничении трансграничной передачи данных. Срок представления таких сведений и информации составляет 10 рабочих дней и может быть продлен максимально на 5 рабочих дней при условии наличия мотивированного основания. Срок рассмотрения уведомления о трансграничной передаче (о намерении осуществлять трансграничную передачу) персональных данных также составляет 10 рабочих дней.
Практически законодатель установил две процедуры в отношении трансграничной передачи персональных данных: уведомительный и разрешительный. Выбор процедуры передачи данных зависит от того, обеспечивает ли государство, куда планируется передача персональных данных, адекватную защиту данных, или нет. По умолчанию считается, что адекватную защиту данных обеспечивают:
- стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных;
- государства, включенные в перечень иностранных государств, которые обеспечивают эту защиту, например, Беларусь, Канада, Казахстан, Корея, Япония (в общей сложности 89 государств).
Если трансграничная передача данных осуществляется в "адекватную" страну, то применяется уведомительная процедура, и рассмотрение Роскомнадзором уведомления о трансграничной передаче не ограничивает возможность такой передачи данных в течение периода такого рассмотрения (п. 10 ст. 12 Закона о персональных данных в новой редакции).
По-иному обстоит дело с "неадекватными" странами, такими, например, как США. При передаче персональных данных в подобные страны применяется разрешительная процедура. Оператор не вправе осуществлять трансграничную передачу в такие страны до тех пор, пока Роскомнадзор не закончит рассмотрение данного уведомления. Полагаем, что требование о запрете осуществлять трансграничную передачу персональных данных до выдачи разрешения Роскомнадзора является чрезмерным и труднореализуемым, особенно в ситуации, когда оператору необходимо оперативно передать данные за рубеж. Поэтому было бы целесообразным установить процедуру уведомления Роскомнадзора по "неадекватным" странам по аналогии с процедурой по "адекватным" странам, что значительно бы упростило жизнь для компаний, передающих данные, например, в США. В любом случае и вне зависимости от применяемой процедуры Роскомнадзор может ограничить или запретить передачу данных по результатам рассмотрения уведомления, например, в целях:
- защиты экономических и финансовых интересов Российской Федерации;
- обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан РФ;
- суверенитета, безопасности, территориальной целостности Российской Федерации;
- других ее интересов на международной арене.
В случае если такое решение будет принято, то оператор обязан обеспечить уничтожение иностранными лицами ранее переданных им персональных данных. Можно предположить, что в подтверждение выполнения этого требования будет достаточно представить в контролирующие органы, например, акт об уничтожении персональных данных, полученный от иностранного партнера, или копию запроса о представлении такового с отметкой о получении.
Новелла, дающая Роскомнадзору возможность запрещать трансграничную передачу персональных данных, уже сейчас вызывает целый ряд вопросов, связанных с:
- уничтожением персональных данных, переданных за рубеж по "цепочке", в разные страны;
- отказом иностранных компаний от осуществления уничтожения персональных данных;
- ответственностью российских операторов при невозможности обеспечить уничтожение иностранными лицами ранее переданных им персональных данных.
Уведомление о трансграничной передаче (о намерении осуществлять трансграничную передачу) персональных данных должно содержать следующие сведения: наименование и адрес оператора, наименование лица, ответственного за организацию обработки персональных данных;
- правовое основание и цель трансграничной передачи персональных данных;
- категории и перечень передаваемых персональных данных;
- категории субъектов персональных данных, персональные данные которых передаются;
- перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;
- дата проведения оператором оценки.
Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.
На сайте Роскомнадзора опубликована электронная форма подачи уведомления об осуществлении трансграничной передачи персональных данных (. В одном уведомлении можно указать несколько:
- целей трансграничной передачи персональных данных;
- правовых оснований трансграничной передачи персональных данных;
- иностранных государств, на территории которых осуществляется передача персональных данных.
При этом, как следует из комментариев уполномоченных представителей Роскомнадзора:
1. Уведомление о трансграничной передаче персональных данных подается один раз для каждого государства, а не для каждой трансграничной передачи в это государство. При этом раздельная подача уведомлений по группе стран (страны, обеспечивающие адекватную защиту или не обеспечивающие адекватную защиту) не требуется, важно корректно указать перечень правовых оснований.
2. До 1 марта 2023 г. используются правовые основания, установленные Законом о персональных данных для передачи в "неадекватные" страны (например, наличие согласия субъекта персональных данных).
3. Передача персональных данных представительства российской компании, находящейся на территории иностранного государства, трансграничной передачей не считается. Однако, если речь идет о российском представительстве (филиале) иностранной компании, то при передаче персональных данных в адрес иностранной головной компании нужно соблюдать требования о трансграничной передаче.
4. Передача персональных данных с территории иностранного государства на территорию РФ трансграничной передачей не считается.
5. Если в тексте лицензионного соглашения на использование программных средств иностранных обработчиков (например, сервисы "Гугл", "Майкрософт") содержатся положения о трансграничной передаче, например, передача в адрес компании-разработчика, то это будет считаться трансграничной передачей данных, для которой потребуется направить уведомление в Роскомназор.
Что стоит сделать уже сейчас
Шаг 1. Провести комплексный аудит процессов обработки персональных данных и разработать необходимый комплект документов.
Шаг 2. Направить уведомление в Роскомнадзор о начале обработки персональных данных, если ранее компания не обязана была уведомлять ведомство (например, если она обрабатывала только персональные данные работников).
Шаг 3. Внести корректировки в положение по обработке персональных данных в части порядка трансграничной передачи персональных данных и срока реагирования на запросы субъектов персональных данных и Роскомнадзора, а также для каждой цели обработки персональных данных указать:
- категории и перечень обрабатываемых персональных данных;
- категории субъектов персональных данных;
- способы, сроки их обработки и хранения;
- порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Шаг 4. До 1 марта 2023 г. необходимо получить от иностранных компаний, которым осуществляется трансграничная передача персональных данных, ряд сведений. Во-первых, сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки. Для этого следует запросить у иностранного контрагента доверителя (работодателя):
- краткий анализ зарубежного законодательства о защите персональных данных (при невозможности - перечень зарубежных нормативно-правовых актов по данному вопросу);
- политику по обработке персональных данных;
- его внутренние локальные акты, регулирующие вопросы защиты персональных данных.
В случае подтвержденного отказа от предоставления указанных сведений возможно самостоятельно, на основе информации из публичных источников и обзоров зарубежного законодательства составить краткий обзор по мерам защиты персональных данных за рубежом и условиям прекращения обработки персональных данных.
Во-вторых, сведения о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находится иностранное юридическое лицо (если трансграничная передача персональных данных осуществляется иностранному партнеру под юрисдикцией государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.
В-третьих, сведения о самих иностранных юридических лицах, которым передаются персональные данные (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).
Шаг 5. До 1 марта 2023 г. следует подать уведомление в Роскомнадзор о трансграничной передаче персональных данных, форма которого размещена на официальном сайте Роскомнадзора.
Отметим, что в связи с принятыми изменениями не требуется как получать от субъекта согласие на трансграничную передачу персональных данных, так и замораживать деятельность компании на время рассмотрения уведомления о трансграничной передаче персональных данных.
В заключение выскажем такое мнение: рассмотренные нововведения проложат путь к защите прав субъектов персональных данных и формированию у операторов ценностных ориентиров в связи с трансграничной передачей данных. Персональные данные - это жизненная сила бизнеса в современной глобальной экономике. И обеспечение свободного обмена данными в международном поле является значимой частью бизнес-стратегии.
Хранение и Уничтожение персональных данных
С 1 марта 2023 года начинают действовать новые требования к подтверждению уничтожения персональных данных (Приказ Роскомнадзора от 28.10.2022 № 179).
Определили, какими документами подтверждается уничтожение. К ним относят:
- акт об уничтожении персональных данных, если данные обрабатывает оператор без использования средств автоматизации;
- акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных ‒ при автоматизированной обработке.
Установлены перечни сведений, которые должны содержать указанные документы. В том числе они должны содержать фамилию, имя, отчество субъекта или другую информацию, относящуюся к определенному физическому лицу, чьи данные были уничтожены.
Также установлен срок хранения документов, подтверждающих уничтожение, – 3 года с момента уничтожения личных сведений. В каких случаях нужно прекратить обработку персональных данных и о других обязанностях оператора читайте в КонсультантПлюс:
Информация Роскомнадзора от 19 января 2023 года
Работодатель имеет право хранить копии личных документов работника только до достижения конкретных, заранее определенных и законных целей. Если такие цели отсутствуют, хранение копий документов работника противоречит требованиям закона. В этом случае работодателю следует вернуть копии документов работнику или уничтожить их (ст. 21 Закона о персональных данных). Требования к подтверждению уничтожения персональных данных (ПД) установлены в приказе Роскомнадзора N 179, который вступит в силу с 1 марта 2023 года.
В связи с этим Роскомнадзор разъяснил, что теперь при оформлении документа операторам (персональных данных) нужно обратить внимание на то, как осуществляется обработка ПД, а именно:
- Если используются какие-либо средства автоматизации (компьютеры, ноутбуки, планшеты, мобильные и т.д.) или смешанная обработка, то документами, подтверждающими уничтожение персональных данных субъектов, являются:
1. акт об уничтожении персональных данных (см. пункты 3 и 4 Требований);
2. выгрузка из журнала регистрации событий в информационной системе персональных данных (см. п. 5 Требований).
- Если в выгрузке из журнала невозможно указать какие-то сведения, их можно отразить в акте. В таком случае подтверждением будут оба способа, независимо от способа обработки ПД (см. п. 6 Требований).
- Если средства автоматизации не используются, то подтверждением будет только акт об уничтожении персональных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Так, например, прекращение трудовых отношений с работником формально является основанием для прекращения обработки его персональных данных работодателем. Однако пп. 5 п. 3 ст. 24 НК РФ установлена обязанность налоговых агентов (работодателей) в течение 5 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога. Следовательно, в течение этого времени работодатель должен хранить персональные данные уволенных работников в том объеме, в котором это необходимо для исполнения налоговой обязанности.
Если же срок хранения персональных данных федеральным законом не предусмотрен, то правовое значение будут иметь условия договора либо локального акта оператора, разработка которого является его прямой обязанностью.
В тех случаях, когда обработка персональных данных предусматривает несколько целей, то обязанность по уничтожению и обезличиванию персональной информации возникает у оператора по достижению каждой из них.
Работодатель имеет право хранить копии личных документов работника только до достижения конкретных, заранее определенных и законных целей. Если такие цели отсутствуют, хранение копий документов работника противоречит требованиям закона. В этом случае работодателю следует вернуть копии документов работнику или уничтожить их (ст. 21 Закона о персональных данных). Требования к подтверждению уничтожения персональных данных (ПД) установлены в приказе Роскомнадзора N 179, который вступит в силу с 1 марта 2023 года.
В связи с этим Роскомнадзор разъяснил, что теперь при оформлении документа операторам (персональных данных) нужно обратить внимание на то, как осуществляется обработка ПД, а именно:
- Если используются какие-либо средства автоматизации (компьютеры, ноутбуки, планшеты, мобильные и т.д.) или смешанная обработка, то документами, подтверждающими уничтожение персональных данных субъектов, являются:
1. акт об уничтожении персональных данных (см. пункты 3 и 4 Требований);
2. выгрузка из журнала регистрации событий в информационной системе персональных данных (см. п. 5 Требований).
- Если в выгрузке из журнала невозможно указать какие-то сведения, их можно отразить в акте. В таком случае подтверждением будут оба способа, независимо от способа обработки ПД (см. п. 6 Требований).
- Если средства автоматизации не используются, то подтверждением будет только акт об уничтожении персональных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Так, например, прекращение трудовых отношений с работником формально является основанием для прекращения обработки его персональных данных работодателем. Однако пп. 5 п. 3 ст. 24 НК РФ установлена обязанность налоговых агентов (работодателей) в течение 5 лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога. Следовательно, в течение этого времени работодатель должен хранить персональные данные уволенных работников в том объеме, в котором это необходимо для исполнения налоговой обязанности.
Если же срок хранения персональных данных федеральным законом не предусмотрен, то правовое значение будут иметь условия договора либо локального акта оператора, разработка которого является его прямой обязанностью.
В тех случаях, когда обработка персональных данных предусматривает несколько целей, то обязанность по уничтожению и обезличиванию персональной информации возникает у оператора по достижению каждой из них.
Трансграничная передача
С 1 марта 2023 года оператор до начала деятельности по трансграничной передаче персональных данных обязан уведомить Роскомнадзор о своем намерении. Уведомление направляют в виде документа на бумажном носителе или в форме электронного документа отдельно от уведомления о намерении осуществлять обработку персональных данных. Ведомство, в свою очередь, может запретить или ограничить предоставление персональной информации в другие страны (ст. 12 Закона 152-ФЗ).
Операторы, которые уже осуществляют трансграничную передачу персональных данных, должны уведомить об этом Роскомнадзор до 1 марта 2023 года (ч. 5 ст. 6 Федерального закона от 14.07.2022 № 266-ФЗ).
Передавать персональные данные запретят, если:
- страна, иностранные физлица или организации, которым оператор хочет направлять сведения, не защищают эту информацию, а также не определены условия прекращения их обработки;
- суд запретил деятельность в РФ зарубежного юридического лица и это решение вступило в силу;
- иностранную организацию включили в список нежелательных в РФ;
- трансграничная передача и дальнейшая обработка персональных данных не отвечают целям их сбора;
- данные, которые планируют направить, нельзя обрабатывать.
Передачу могут ограничить в следующих случаях:
- содержание и объем личных сведений не соответствуют цели такой передачи;
- категории физлиц, данные которых хотят направить, не отвечают этой цели.
Критерии, по которым контролирующий орган может запретить или ограничить такую передачу, утверждены Постановлением Правительства РФ от 16.01.2023 № 24.
Определение степени угроз
1 марта 2023 года начинают действовать требования к тому, как оценивать вред, который оператор может причинить физлицам, если нарушит Закон «О персональных данных» (Приказ Роскомнадзора от 27.10.2022 № 178).
Оператор определяет одну из степеней вреда:
- высокая – оператор обрабатывает информацию о несовершеннолетних, например, чтобы исполнять договоры, по которым они контрагенты, выгодоприобретатели либо поручители;
- средняя – оператор продвигает товары, работы и услуги через прямые контакты с потенциальными потребителями с помощью хранилищ (баз персональных данных) другого лица;
- низкая – оператор назначил ответственным за обработку персональных данных внештатного сотрудника.
Если гражданину могут причинить вред разных степеней, необходимо учитывать более высокую из них. Вред оценивает ответственный за организацию обработки персональных данных либо комиссия, которую создал оператор. Степень вреда и ряд других сведений отражают в акте.
Утечка персональных данных
С 1 марта 2023 года вступает в силу Приказ Роскомнадзора от 14.11.2022 № 187, устанавливающий порядок и условия взаимодействия с Роскомнадзором в случае утечки персональных данных, в том числе закреплены требования к первичному и дополнительному уведомлениям об инциденте.
Напоминаем, в случае утечки персональных данных оператор обязан в течение 24 часов зафиксировать инцидент и направить первичное уведомление. Затем нужно провести внутреннее расследование и отчитаться о его результатах перед госорганом (ст. 21 Закона 152-ФЗ).
Постановление Правительства РФ от 4 февраля 2023 г. N 161
Мораторий на проверки любых лиц, в том числе аккредитованных IT-компаний, перестанет распространяться на внеплановые КНМ этих организаций, которые проводятся при соблюдении следующих условий:
- установлен факт распространения (предоставления) в сети "Интернет" баз данных (или их части), содержащих персональные данные;
- эти базы данных имеют признаки их принадлежности аккредитованной организации (если КНМ касается аккредитованных IT-компаний);
- внеплановое КНМ проводит Роскомнадзор;
- указанное КНМ проводится по решению руководителя, замруководителя Роскомнадзора,
- прокуратура дала согласие на проведение КНМ.
Соответствующие поправки вступят в силу 14 февраля 2023 г.
Постановление Правительства РФ от 4 февраля 2023 г. N 161
Мораторий на проверки любых лиц, в том числе аккредитованных IT-компаний, перестанет распространяться на внеплановые КНМ этих организаций, которые проводятся при соблюдении следующих условий:
- установлен факт распространения (предоставления) в сети "Интернет" баз данных (или их части), содержащих персональные данные;
- эти базы данных имеют признаки их принадлежности аккредитованной организации (если КНМ касается аккредитованных IT-компаний);
- внеплановое КНМ проводит Роскомнадзор;
- указанное КНМ проводится по решению руководителя, замруководителя Роскомнадзора,
- прокуратура дала согласие на проведение КНМ.
Соответствующие поправки вступят в силу 14 февраля 2023 г.
Специалисты АНО ИКАР не только разработают для вашей организации внутренние нормативные документы в рамках требований 152-ФЗ, но и организуют тренинг, который на примерах покажет, как, когда и в каком объеме необходимо соблюдать закон.
Более подробную информацию можно получить оплатив 3000 рублей по QR коду, и получив доступ к чат-боту https://t.me/PrivacyAdvocat_152fz_bot
Более подробную информацию можно получить оплатив 3000 рублей по QR коду, и получив доступ к чат-боту https://t.me/PrivacyAdvocat_152fz_bot
