Юридическая фирма ALUMNI Partners информирует о том, что в период с октября 2022 года по январь 2023 года принят ряд нормативных правовых актов в исполнение Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (Закон о персональных данных).
Скачать алерт в PDF >>
Кратко изменения касаются следующего:
1. Утверждены формы уведомлений Роскомнадзора об обработке и прекращении обработки персональных данных, изменении сведений в ранее поданном уведомлении
Приказ Роскомнадзора от 28.10.2022 г. № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».
Приказом утверждены формы уведомлений:
· о намерении осуществлять обработку персональных данных;
· об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
· о прекращении обработки персональных данных.
Документ вступил в силу с 26 декабря 2022 года.
Роскомнадзор опубликовал примеры заполнения уведомлений на сайте.
2. Утверждены требования к подтверждению уничтожения персональных данных
Приказ Роскомнадзора от 28.10.2022 года № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
Документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются:
· акт об уничтожении персональных данных – при обработке персональных данных без использования средств автоматизации;
· акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных – при обработке персональных данных с использованием средств автоматизации или при смешанной обработке персональных данных.
Приказ устанавливает требования к содержанию, форме и срокам хранения документов, подтверждающих уничтожение персональных данных.
Документ вступит в силу с 1 марта 2023 года.
3. Порядок уведомления Роскомнадзора об инцидентах
Приказ Роскомнадзора от 14.11.2022 г. № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».
Определены порядок и условия взаимодействия Роскомнадзора с операторами для целей учета инцидентов в реестре инцидентов. В частности, установлено требование по подаче первичного и дополнительного уведомлений об инцидентах, требования к содержанию таких уведомлений и порядку их предоставления операторами в Роскомнадзор (на бумажной форме или в форме электронного документа).
При направлении оператором неполных или некорректных сведений Роскомнадзор направляет оператору запрос о предоставлении недостающих сведений и/или пояснений касательно некорректности предоставленных в уведомлении сведений (не позднее трех рабочих дней со дня получения первичного или дополнительного уведомления). Оператору предоставлено три рабочих дня со дня получения запроса на предоставление недостающих сведений и пояснений.
Как следует из Закона о персональных данных под инцидентами, о которые оператор обязан уведомить Роскомнадзор, понимается факты неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.
Документ вступит в силу с 1 марта 2023 года.
4. Правила принятия решения Роскомнадзором о запрете или ограничении трансграничной передачи персональных данных
Постановление Правительства РФ от 10.01.2023 г. № 6 «Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении».
Правила определяют порядок принятия решения Роскомнадзором о запрещении или об ограничении трансграничной передачи персональных данных, а также порядок информирования операторов о принятом решении.
Такое решение принимается на основании представлений, поступивших от федеральных органов исполнительной власти. Оно принимается в целях, указанных в ч.12 ст. 12 Закона о персональных данных. В частности, для защиты основ конституционного строя РФ и безопасности государства, обеспечения обороны страны, защиты экономических и финансовых интересов РФ.
Решение Роскомнадзора о запрещении или об ограничении трансграничной передачи персональных данных направляется федеральному органу исполнительной власти, направившему представление, и оператору (операторам) не позднее дня, следующего за днем принятия решения. Решение направляется любым доступным способом, позволяющим подтвердить факт его получения адресатом.
Оператор вправе обратиться в орган, вынесший представление, о снятии запрета или ограничений на трансграничную передачу данных, если оператором устранены причины, послужившие основанием для принятия Роскомнадзором решения о запрещении или об ограничении трансграничной передачи персональных данных.
Документ вступит в силу с 1 марта 2023 года.
5. Утверждены требования к порядку оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных
Приказ Роскомнадзора от 27.10.2022 г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
Оценка вреда осуществляется ответственным за организацию обработки персональных данных либо комиссией, образуемой оператором. Оператору необходимо выбрать одну из степеней вреда (высокую, среднюю или низкую) и оформить результат оценки вреда актом. Если в результате оценки будет установлено, что при работе с персональными данными могут быть причинены различные степени вреда, то подлежит применению более высокая степень вреда.
Документ вступит в силу с 1 марта 2023 года.
6. Порядок взаимодействия операторов с ГосСОПКА
Опубликован для общественных слушаний проект приказа ФСБ России «Об утверждении Порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных».
В проекте приказа предусмотрено, что взаимодействие оператора с ГосСОПКА (государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ), включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, осуществляется через Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Предусмотрено два порядка взаимодействия:
1. для операторов, являющихся субъектами критической информационной инфраструктуры и иными лицами, указанными в подпункте 4.8 пункта 4 Положения о НКЦКИ.
Такие операторы направляют информацию о компьютерных инцидентах, повлекших неправомерную передачу (персональных данных, в соответствии с определенными НКЦКИ форматами представления информации о компьютерных инцидентах в ГосСОПКА с использованием каналов информационного взаимодействия. Срок направления информации составляет 24 часа с момента обнаружения компьютерного инцидента, повлекшего неправомерную передачу персональных данных;
2. для иных операторов, не указанных в подпункте 4.8 пункта 4 Положения о НКЦКИ.
Такие операторы направляют информацию о компьютерных инцидентах, повлекших неправомерную передачу персональных данных, путем заполнения следующих форм, содержащихся на официальном сайте Роскомнадзора:
· формы о факте неправомерной передачи персональных данных (в течение 24 часов с момента обнаружения компьютерного инцидента), а также
· формы уведомления о результатах внутреннего расследования (в течение 72 часов с момента обнаружения компьютерного инцидента).
Подтверждением передачи операторами в НКЦКИ информации о компьютерных инцидентах, повлекших неправомерную передачу персональных данных, является присвоение НКЦКИ компьютерным инцидентам идентификаторов. Идентификаторы направляются НКЦКИ операторам в течение 24 часов с момента их присвоения по тем же каналам, по которым указанная информация была направлена.
В проекте приказа указано, что он вступает в силу с 1 марта 2023 г.
Скачать алерт в PDF >>
Кратко изменения касаются следующего:
1. Утверждены формы уведомлений Роскомнадзора об обработке и прекращении обработки персональных данных, изменении сведений в ранее поданном уведомлении
Приказ Роскомнадзора от 28.10.2022 г. № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».
Приказом утверждены формы уведомлений:
· о намерении осуществлять обработку персональных данных;
· об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
· о прекращении обработки персональных данных.
Документ вступил в силу с 26 декабря 2022 года.
Роскомнадзор опубликовал примеры заполнения уведомлений на сайте.
2. Утверждены требования к подтверждению уничтожения персональных данных
Приказ Роскомнадзора от 28.10.2022 года № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
Документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются:
· акт об уничтожении персональных данных – при обработке персональных данных без использования средств автоматизации;
· акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных – при обработке персональных данных с использованием средств автоматизации или при смешанной обработке персональных данных.
Приказ устанавливает требования к содержанию, форме и срокам хранения документов, подтверждающих уничтожение персональных данных.
Документ вступит в силу с 1 марта 2023 года.
3. Порядок уведомления Роскомнадзора об инцидентах
Приказ Роскомнадзора от 14.11.2022 г. № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».
Определены порядок и условия взаимодействия Роскомнадзора с операторами для целей учета инцидентов в реестре инцидентов. В частности, установлено требование по подаче первичного и дополнительного уведомлений об инцидентах, требования к содержанию таких уведомлений и порядку их предоставления операторами в Роскомнадзор (на бумажной форме или в форме электронного документа).
При направлении оператором неполных или некорректных сведений Роскомнадзор направляет оператору запрос о предоставлении недостающих сведений и/или пояснений касательно некорректности предоставленных в уведомлении сведений (не позднее трех рабочих дней со дня получения первичного или дополнительного уведомления). Оператору предоставлено три рабочих дня со дня получения запроса на предоставление недостающих сведений и пояснений.
Как следует из Закона о персональных данных под инцидентами, о которые оператор обязан уведомить Роскомнадзор, понимается факты неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных.
Документ вступит в силу с 1 марта 2023 года.
4. Правила принятия решения Роскомнадзором о запрете или ограничении трансграничной передачи персональных данных
Постановление Правительства РФ от 10.01.2023 г. № 6 «Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении».
Правила определяют порядок принятия решения Роскомнадзором о запрещении или об ограничении трансграничной передачи персональных данных, а также порядок информирования операторов о принятом решении.
Такое решение принимается на основании представлений, поступивших от федеральных органов исполнительной власти. Оно принимается в целях, указанных в ч.12 ст. 12 Закона о персональных данных. В частности, для защиты основ конституционного строя РФ и безопасности государства, обеспечения обороны страны, защиты экономических и финансовых интересов РФ.
Решение Роскомнадзора о запрещении или об ограничении трансграничной передачи персональных данных направляется федеральному органу исполнительной власти, направившему представление, и оператору (операторам) не позднее дня, следующего за днем принятия решения. Решение направляется любым доступным способом, позволяющим подтвердить факт его получения адресатом.
Оператор вправе обратиться в орган, вынесший представление, о снятии запрета или ограничений на трансграничную передачу данных, если оператором устранены причины, послужившие основанием для принятия Роскомнадзором решения о запрещении или об ограничении трансграничной передачи персональных данных.
Документ вступит в силу с 1 марта 2023 года.
5. Утверждены требования к порядку оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных
Приказ Роскомнадзора от 27.10.2022 г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
Оценка вреда осуществляется ответственным за организацию обработки персональных данных либо комиссией, образуемой оператором. Оператору необходимо выбрать одну из степеней вреда (высокую, среднюю или низкую) и оформить результат оценки вреда актом. Если в результате оценки будет установлено, что при работе с персональными данными могут быть причинены различные степени вреда, то подлежит применению более высокая степень вреда.
Документ вступит в силу с 1 марта 2023 года.
6. Порядок взаимодействия операторов с ГосСОПКА
Опубликован для общественных слушаний проект приказа ФСБ России «Об утверждении Порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных».
В проекте приказа предусмотрено, что взаимодействие оператора с ГосСОПКА (государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ), включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, осуществляется через Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Предусмотрено два порядка взаимодействия:
1. для операторов, являющихся субъектами критической информационной инфраструктуры и иными лицами, указанными в подпункте 4.8 пункта 4 Положения о НКЦКИ.
Такие операторы направляют информацию о компьютерных инцидентах, повлекших неправомерную передачу (персональных данных, в соответствии с определенными НКЦКИ форматами представления информации о компьютерных инцидентах в ГосСОПКА с использованием каналов информационного взаимодействия. Срок направления информации составляет 24 часа с момента обнаружения компьютерного инцидента, повлекшего неправомерную передачу персональных данных;
2. для иных операторов, не указанных в подпункте 4.8 пункта 4 Положения о НКЦКИ.
Такие операторы направляют информацию о компьютерных инцидентах, повлекших неправомерную передачу персональных данных, путем заполнения следующих форм, содержащихся на официальном сайте Роскомнадзора:
· формы о факте неправомерной передачи персональных данных (в течение 24 часов с момента обнаружения компьютерного инцидента), а также
· формы уведомления о результатах внутреннего расследования (в течение 72 часов с момента обнаружения компьютерного инцидента).
Подтверждением передачи операторами в НКЦКИ информации о компьютерных инцидентах, повлекших неправомерную передачу персональных данных, является присвоение НКЦКИ компьютерным инцидентам идентификаторов. Идентификаторы направляются НКЦКИ операторам в течение 24 часов с момента их присвоения по тем же каналам, по которым указанная информация была направлена.
В проекте приказа указано, что он вступает в силу с 1 марта 2023 г.