Персональные данные с 1 марта 2023 года

Закон о персональных данных (ПД) 2023 привнёс ряд изменений в области обработки и передачи личной информации граждан. Нововведения вступили в силу 1 марта этого года. Меры введены для повышения уровня защиты, предотвращения утечки и неправомерного использования ПД.

В статье подробно расскажем, что изменилось и как работать с персональными данными (ПД) по новым правилам в 2023 году. 

Закон о персональных данных в 2023 году: что нового

Обработка персональных данных в 2023 году станет более регламентированной и строго контролируемой в связи со вступлением в силу изменений в законодательстве. 

Основные изменения в законе 152-ФЗ «О персональных данных» в 2023 году вводят новые правила, которые касаются:

• сроков подачи уведомлений в Роскомнадзор;
• уничтожения персональных данных;
• новых полномочий Роскомнадзора при передаче ПД за границу;
• оценки вреда утечки персональных данных.

Все нововведения вступили в силу 1 марта 2023 года. Рассмотрим каждый пункт по отдельности.

Уведомление об изменении персональных данных: новый срок

Все, кто обрабатывает персональные данные, являются операторами персональных данных. Такие организации отправляют в Роскомнадзор уведомление о сборе ПД и уведомление об изменении представленной информации.

Новое в персональных данных в 2023 году — это сроки подачи уведомлений. Ранее отправлять уведомление об изменении представленных персональных данных операторам нужно было в течение 10 дней с момента их корректировки. С 1 марта 2023 года этот срок увеличен. Теперь, если ПД изменились, оператору можно отправить соответствующее уведомление в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. При представлении используется форма из приложения № 2 приказа Роскомнадзора от 28.10.2022 № 180.

Пример заполнения формы из приложения № 2 к приказу Роскомнадзора от 28.10.2022 № 180

Уничтожение персональных данных: новые правила

Защита персональных данных с 1 марта 2023 года претерпела изменения в правилах уничтожения сведений.

Согласно Приказу Роскомнадзора от 28.10.2022 № 179, операторам ПД нужно подтверждать уничтожение сведений о персональных данных. В документе прописаны порядок и требования к данной процедуре.

Уничтожение персональных данных на бумажных носителях должны фиксироваться актом. В нём указывают категорию уничтожаемых ПД, Ф.И.О. и должности участников процедуры, их подписи, причины и способы уничтожения и т.п.

Если электронные персональные данные удаляют из хранилища информационной системы, то достаточно выгрузки журнала, где зарегистрированы все события. Если в выгрузке какие-либо сведения не будут указаны, их дополняют бумажным актом. В нём дописывают недостающую информацию. Срок хранения акта 3 года.

Подтверждение уничтожения персональных данных: зачем это нужно

Подтверждение уничтожения персональных данных — это процесс, который гарантирует, что ПД были уничтожены согласно законодательству. Акт об уничтожении подтверждает то, что личная информация была действительно стёрта и не подлежит восстановлению. Содержание документа регулируется Приказом Роскомнадзора от 28.10.2022 № 179. Сам акт составляется в свободной форме. 

Уничтожение персональных данных является одним из аспектов защиты цифровой информации, поэтому подтверждение ПД закрепили на законодательном уровне. Этот процесс должен быть интегрирован с другими мерами, такими как ограничение доступа к данным и обеспечение их конфиденциальности.

Передача персональных данных за границу

Персональных данных с 1 марта 2023 года коснулись правила передачи информации за границу. Новые требования, регулирующие передачу ПД за пределы страны, относятся ко всем операторам.

Основные моменты, которые важно знать

Если компания осуществляет трансграничную передачу персональных данных, то она обязана уведомить об этом Роскомнадзор. Данное правило введено Федеральным законом от 14.07.2022 № 266-ФЗ и действует с 1 марта 2022 года. ПД отправляются, когда компания сотрудничает с заграничными партнёрами, отправляет работников в командировку или на обучение за рубеж.

Уведомление о трансграничной передаче направляется в Роскомнадзор:

• единоразово, до осуществления отправки ПД за рубеж;
• отдельно от других уведомлений об обработке персональных данных;
• с указанием всех стран, куда оператор ПД уже передаёт персональные данные.

Образец уведомления о намерении осуществлять ТППД

До 1 марта 2023 года

Перед отправкой персональных данных за пределы РФ оператор должен проверить получателя на безопасность. Необходимо убедиться, сможет ли иностранный партнёр соблюдать конфиденциальность ПД и обеспечивать их защиту при обработке.

После анализа и положительного решения, оператор ПД должен подать уведомление о том, что он осуществляет передачу персональных данных за рубеж.

После 1 марта 2023 года

Вышеописанные процедуры по проверке защиты иностранного получателя оператору ПД необходимо делать каждый раз, когда он хочет осуществить:

• запуск нового процесса, связанного с отправкой персональных данных за границу. Пример: заключение договора с новым зарубежным партнёром;
• изменения в текущем процессе передачи ПД. Пример: Компания использует иностранный облачный сервис для обработки персональных данных. После 1 марта 2023 года она начала обрабатывать не только данные своих сотрудников, но и данные клиентов.

Оператор ПД отправляет уведомление о трансграничной передаче персональных данных и может сразу приступать к их обработке.

В течение 10 дней Роскомнадзор проводит собственную проверку иностранного получателя. После этого ведомство может запретить или ограничить передачу ПД во внесудебном порядке.

Оператор может осуществлять трансграничную передачу ПД только по истечении 10 дней с момента получения уведомления от Роскомнадзора. Однако ведомство может наложить запрет повторно.

Также Роскомнадзор может запретить всем операторам ПД отправлять персональные данные в конкретное государство. Или во внесудебном порядке установить ограничения передачи к отдельному оператору ПД.

Данные меры приняты в целях защиты нравственности, здоровья, прав и законных интересов граждан. Решение можно обжаловать в суде или у вышестоящего должностного лица Роскомнадзора.

Что изменилось с 1 марта 2023 года

Согласно тексту поправок ст.12 152-ФЗ, сама форма уведомления о намерении трансграничной передачи не изменилась. До 1 марта 2023 года Роскомнадзор не мог принимать решения о запрете или ограничении отправки ПД. После 1 марта 2023 года у ведомства такое полномочие появилось. Теперь Роскомнадзор сам принимает решение, может ли зарубежная страна обеспечить должную защиту персональных данных.

Решение о запрете или ограничении передачи персональных данных в другие страны

Рекомендуем отправителю заранее убедиться, что его иностранный партнёр может обеспечить конфиденциальность передаваемой информации и её защиту при обработке. Иначе Роскомнадзор установит запрет. Это может отрицательно повлиять на бизнес. Важная встреча или сделка сорвётся, и компания потеряет деньги. В некоторые страны передача личных сведений граждан осуществляется более лояльно.

В какие страны разрешено передавать персональные данные с 1 марта 2023 года

Решение о запрете не выпишут странам, подписавшим Конвенцию Совета Европы и включённым в специальный перечень Роскомнадзора. В этот список входит 89 государств, в которых область ПД регулируется на законодательном уровне, а именно предусматривает:

• наличие специальных органов, отвечающих за защиту прав людей, чьи данные собираются и обрабатываются;
• работающую систему наказаний за нарушение законов в области персональных данных.

Трансграничная передача информации — это риск как для оператора-отправителя, так и для физлица, чьи данные передаются.

Почему могут запретить передавать персональные данные 2023 за границу

Роскомнадзор запретит или ограничит передачу личных сведений граждан в том случае, если указанная причина отправки не соответствует заявленной. Также ведомство может отказать в отправке ПД, если объём и содержание имеют расхождения с предусмотренными.

Принимающая сторона должна иметь должные технические средства для защиты получаемой информации. Получатель обязан гарантировать защиту и должную обработку полученных сведений.

Если цель отправки и величина данных совпадают с указанной, а адресат обеспечивает должную обработку и защиту прав субъекта ПД, то Роскомнадзор не будет устанавливать запрет на передачу.

Почему Роскомнадзор контролирует передачу персональных данных

Контроль за трансграничной передачей личных данных осуществляет Роскомнадзор с 1 марта 2023. Мера связана с рисками, которые получают и оператор-отправитель, и физлицо, с которым связана передаваемая информация. 

После отправки персональных данных оператор не контролирует их дальнейшую безопасность и не может гарантировать стопроцентную конфиденциальность. При похищении такой информации Российский гражданин ограничен в защите своих прав. Поэтому управление по этим операциям было передано государственному ведомству.

Решение о запрете или ограничении передачи персональных данных в другие страны

Рекомендуем отправителю заранее убедиться, что его иностранный партнёр может обеспечить конфиденциальность передаваемой информации и её защиту при обработке. Иначе Роскомнадзор установит запрет. Это может отрицательно повлиять на бизнес. Важная встреча или сделка сорвётся, и компания потеряет деньги. В некоторые страны передача личных сведений граждан осуществляется более лояльно.

В какие страны разрешено передавать персональные данные с 1 марта 2023 года

Решение о запрете не выпишут странам, подписавшим Конвенцию Совета Европы и включённым в специальный перечень Роскомнадзора. В этот список входит 89 государств, в которых область ПД регулируется на законодательном уровне, а именно предусматривает:

• наличие специальных органов, отвечающих за защиту прав людей, чьи данные собираются и обрабатываются;
• работающую систему наказаний за нарушение законов в области персональных данных.

Трансграничная передача информации — это риск как для оператора-отправителя, так и для физлица, чьи данные передаются.

Почему могут запретить передавать персональные данные 2023 за границу

Роскомнадзор запретит или ограничит передачу личных сведений граждан в том случае, если указанная причина отправки не соответствует заявленной. Также ведомство может отказать в отправке ПД, если объём и содержание имеют расхождения с предусмотренными.

Принимающая сторона должна иметь должные технические средства для защиты получаемой информации. Получатель обязан гарантировать защиту и должную обработку полученных сведений.

Если цель отправки и величина данных совпадают с указанной, а адресат обеспечивает должную обработку и защиту прав субъекта ПД, то Роскомнадзор не будет устанавливать запрет на передачу.

Почему Роскомнадзор контролирует передачу персональных данных

Контроль за трансграничной передачей личных данных осуществляет Роскомнадзор с 1 марта 2023. Мера связана с рисками, которые получают и оператор-отправитель, и физлицо, с которым связана передаваемая информация. 

После отправки персональных данных оператор не контролирует их дальнейшую безопасность и не может гарантировать стопроцентную конфиденциальность. При похищении такой информации Российский гражданин ограничен в защите своих прав. Поэтому управление по этим операциям было передано государственному ведомству.

Уведомление об утечке персональных данных

При утечке персональных данных оператор ПД должен уведомить об этом органы исполнительной власти. Для этого оператор отправляет специальное уведомление в Роскомнадзор. Документ отправляют при неправомерном доступе, предоставлении или распространении конфиденциальной информации. Скрывать произошедший инцидент запрещено.

Уведомление об утечке персональных данных может быть двух видов: первичное или дополнительное.

• Первичное уведомление необходимо направить в течение 24 часов. В нём описывают произошедший инцидент, предполагаемые причины, нанесённый вред и меры устранения.
• Дополнительное уведомление отправляется в течение 72 часов с момента происшествия инцидента. В него требуется включить детали о результатах проведённого внутреннего расследования, включая информацию о лицах, которые были признаны виновными в инциденте, а также представить все связанные с ними данные.

Также в течение трёх дней оператор обязан представить все необходимые данные по запросу Роскомнадзора. Сделать это нужно, если ведомство считает полученную информацию неполной или недостоверной.

Важно отметить, что Роскомнадзор сам может запросить уведомление, если самостоятельно заметит утечку у оператора. Тогда оператору необходимо провести расследование и в случае отсутствия инцидента приложить соответствующий акт.

Оценка вреда, который может быть причинён субъектам персональных данных

1 марта 2023 года вступил в силу Приказ Роскомнадзора от 27.10.2022 № 178. Документ обязывает операторов ПД создать акт, в котором прописываются возможные степени риска при работе с персональными данными. То есть компания должна оценить, какой вред будет причинён субъекту ПД в случае нарушения Федерального закона «О персональных данных». Оценку указанного вреда проводит ответственный за организацию обработки ПД или комиссия, созданная оператором. Форма акта не установлена.

Какие бывают степени вреда

Для оценки вреда оператор определяет одну из трёх степеней: высокую, среднюю или низкую. Конкретная степень зависит от допущенных нарушений. При выявлении факторов, относящихся к разным степеням риска, выбирается более высокая степень.

Высокая

Высокая степень вреда присваивается, если:

• ведётся обработка биометрических ПД с целью установления личности субъекта, которому они принадлежат. Исключение – случаи, когда обработка таких данных прямо предусмотрена законом;
• ведётся обработка ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости. Исключение – случаи, установленные федеральными законами для специальных категорий ПД;
• ведётся обработка ПД несовершеннолетних для исполнения или заключения договора;
• обезличиваются ПД для оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также других исследований, не предусмотренных п. 9 ч. 1 ст. 6 Закона № 152-ФЗ;
• иностранному гражданину поручено вести обработку персональных данных граждан РФ;
• осуществляется сбор ПД с помощью баз данных, находящихся за пределами РФ.

Средняя

Средняя степень вреда присваивается, если:

• ПД распространяются на сайте оператора или неограниченному кругу лиц;
• цель обработки ПД отличается от первоначальной;
• используются базы персональных данных других операторов с целью продвижения своих товаров, работ, услуг;
• получено согласие на обработку ПД на сайте оператора, который не предусматривает дальнейшую идентификацию и аутентификацию субъекта персональных данных;
• осуществляется обработка персональных данных с получением согласия на передачу права их обработки третьими лицам в целях, которые несовместимы с целями сбора таких данных.

Низкая

Низкая степень вреда устанавливается, если:

• ведётся общедоступный источник персональных данных, сформированный в соответствии со ст. 8 Закона № 152-ФЗ;
• ответственным за обработку персональных данных назначается лицо, которое не является штатным сотрудником оператора ПД.

Представленные требования действуют до 1 марта 2029 года.

Образцы документов, которые нельзя игнорировать в 2023 году

Название документа	Ссылка на скачивание
Положение о работе с персональными данными работников	Скачать
Общая форма согласия на передачу и обработку персональных данных	Скачать
Согласие на обработку персональных данных на сайте	Скачать
Обязательство о неразглашении персональных данных	Скачать

Подведём итог: персональные данные 2023 изменения с 1 марта

Закон привнёс значительные изменения в законодательство, касающееся работы с ПД. Основные изменения в положении включают увеличение сроков подачи уведомлений об изменении личной информации в 2023 году, новые правила и требования к уничтожению, обязательное уведомление Роскомнадзора при передаче обрабатываемых персональных данных за границу, а также проведение оценки возможного вреда утечки, что повышает защиту личной информации граждан.