Изменения в "Законе о персональных данных" от 01.03.2023

• Опубликовано 10.03.2023

Вопрос: В каком объеме необходимо кооперативу учесть изменения,  вступившие в силу с 01.03.2023 года в закон «О персональных данных».

Ответ:

Кооперативам необходимо было до 1 марта перестроить работу с персональными данными. Теперь рискованно уничтожать личные сведения без учета новых требований или передавать их контрагентам без разрешения контролеров. При этом уведомлять Роскомнадзор необходимо по новым формам.

Кооператив обязан удалить персональные сведения физлица по его запросу или когда истек срок их хранения. С 1 марта действуют новые требования к этой процедуре (п. 7 ст. 21 Федерального закона от 27.07.2006 № 152‑ФЗ в ред. с 01.03.2023).  установлены новые требования к оформлению уничтожения персональных данных. Их уничтожение подтверждается: актом об уничтожении персональных данных, если данные обрабатывает оператор без использования средств автоматизации; актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных ‒ при автоматизированной обработке.

.Организации теперь должны составлять акт и указывать в нем обязательные реквизиты (приказ от 28.10.2022 № 179). Так, в документе нужно привести:

• наименование и адрес организации;
• наименование оператора, обрабатывающего персональную информацию по поручению организации;
• Ф. И. О. и иную информацию о физлице, чьи данные уничтожили;
• Ф. И. О. сотрудника компании, уничтожившего персональные сведения, и его подпись;
• перечень категорий удаленных личных данных;
• наименование уничтоженного материального носителя с указанием количества листов;
• наименование информационной системы персданных, из которой была исключена информация о «физике»;
• способ уничтожения;
• причина уничтожения;
• дата уничтожения.

Вы можете составить акт в электронном виде или на бумаге (см. образец 1). Если обрабатываете информацию на компьютере, дополнительно сформируйте еще один документ — выгрузку из электронного журнала регистрации событий в информационной системе персональных данных.

Подтверждающие документы храните три года. Это требование касается и тех, которые оформили в электронном виде.

С 1 марта определяйте потенциальный вред для «физиков» с учетом новых требований (п. 5 ч. 1 ст. 18.1 Закона № 152-ФЗ в ред. с 01.03.2023). Они утверждены приказом Роскомнадзора от 27.10.2022 № 178. Для целей оценки вреда необходимо определить одну из степеней вреда, который может быть причинен субъекту персональных данных.

Результаты оценки вреда оформляйте актом.

Кооператив обязан принимать меры по защите персональных данных. И в том числе рассматривать вред, который может быть причинен физлицам из-за разглашения, утечки данных или другого нарушения закона. Всего установили три степени вреда. Вам нужно отнести сведения по физическим лицам к одной из них. Если сомневаетесь, присваивайте наиболее высокую степень. В акте укажите:

• наименование и адрес организации;
• дату издания акта оценки вреда;
• дату проведения оценки вреда;
• Ф. И. О. ответственного сотрудника, его должность и подпись;
• степень потенциального вреда.

Сообщать в Роскомнадзор о случаях утечки персональных данных в течение 24 часов, затем провести расследование и уведомить о его результатах в течение 72 часов нужно по новым формам.

Для трансграничной передачи персональных данных нужно получать разрешение Роскомнадзора.  Роскомнадзор может запретить или ограничить предоставление персональной информации в другие страны;

Служба утвердила три бланка — о намерении работать с персональными данными, об изменении сведений и о прекращении обработки информации. Новшества действуют с 26 декабря 2022 года (приказ Роскомнадзора от 28.10.2022 № 180)

Проверьте, числится ли ваша компания в реестре Роскомнадзора, по ссылке pd.rkn.gov.ru. Если нет, передайте уведомление. Иначе организации грозит штраф до 5000 руб., директору — до 500 руб. (ст. 19.7 КоАП).

Раньше значительная часть компаний была освобождена от такой обязанности. Но с 1 сентября 2022 года список сведений, о работе с которыми нужно уведомлять службу, существенно расширили. В их числе оказались персональные данные работников и исполнителей даже тех, от кого компании получают лишь сведения о Ф. И. О. Поэтому под требование закона попали практически все организации, за исключением тех, которые обрабатывают личную информацию физлиц не на компьютере.

Нюанс в том, что Роскомнадзор не успел тогда утвердить бумажные бланки под новые требования. Поэтому некоторые компании отложили подачу уведомлений на потом. Если вы еще не сообщали в Роскомнадзор о планах работы с персональными данными, заполните и направьте новую форму.

Удобнее направить уведомление на сайте Роскомнадзора pd.rkn.gov.ru в разделе «Главная страница» → «Реестр операторов» → «Электронные формы заявлений». В этом случае вам не придется задумываться над тем, какие цели и правовые основания обработки, а также способы и перечни действий указать. Достаточно будет выбрать из предлагаемых списков.

Уведомлять Роскомнадзор о планах работы с личными сведениями необходимо один раз. После этого вы можете при необходимости исправить или дополнить первоначальную форму (письмо Роскомнадзора от 19.08.2022 № 08-75348).