Изменения в области перс.данных: траснграничная передача, оценка вреда и другое

С начала марта 2021 года вступили в силу изменения в законе о персональных данных, которые затронули почти всех предпринимателей. Нововведения касаются трансграничной передачи данных и включают запреты и ограничения.

Теперь перед началом трансграничной передачи данных необходимо отправлять уведомление в Роскомнадзор. Это отдельное уведомление, которое отправляется помимо уведомления о намерении обработки персональных данных, предусмотренного статьей 22 закона о персональных данных.

Если речь идет о традиционном уведомлении, которое отправляется при обработке персональных данных граждан России, то на основе "трансграничного уведомления" Роскомнадзор может запретить передачу данных или ограничить ее.

Перед подачей уведомления необходимо выполнить следующие действия:
- получить от иностранных коллег-операторов информацию о мерах по защите персональных данных и условиях прекращения обработки данных;
- запросить информацию о правовом регулировании персональных данных в иностранном государстве, под юрисдикцией которого находятся иностранные коллеги;
- запросить контактную информацию ответственного лица (ФИО, адрес электронной почты, телефон);
- оценить всю эту информацию самостоятельно (желательно зафиксировать актом).

Таким образом, новые изменения в законе о персональных данных требуют от предпринимателей более тщательного подхода к передаче персональных данных за пределы России и дополнительных действий в этой области.Не стоит пытаться обманывать Роскомнадзор.

В случае подозрений, они проведут проверку, и вы должны будете ответить на запрос в течение 10 дней.Однако, если все формальности соблюдены, вы можете указать необходимые сведения в уведомлении и спокойно осуществлять трансграничную передачу.

Хотя процесс может быть сложным, но выполнимым.

Важно отметить, что уведомление, которое отправляют все операторы в РФ, связано с новым уведомлением, которое касается трансграничной передачи. Вы не сможете подать новое уведомление, если предыдущее не было подано.

Кроме того, статья 18.1 Закона о ПД дополнена новыми мерами, которые должны быть приняты операторами, включая оценку вреда, который может быть причинен субъектам ПД, и соотношение мер, принимаемых оператором, и указанного вреда. В связи с этим всем операторам необходимо ознакомиться с Приказом РКН №178, провести оценку степени вреда и закрепить все это актом.

Обязанность операторов фиксировать уничтожение персональных данных теперь закреплена в законе.

Если персональные данные обрабатываются с помощью средств автоматизации, например, в 1С, оператор должен подготовить выгрузку из журнала регистрации событий в информационной системе и акт об уничтожении ПД. В случае, если данные обрабатываются без использования средств автоматизации, достаточно акта об уничтожении.

Порядок действий при уничтожении персональных данных определен в Приказе №179.

Роскомнадзор будет вести реестр инцидентов, связанных с персональными данными, таких как утечки, неправомерная передача и прочие. Порядок ведения реестра и взаимодействия с операторами для его ведения определен в Приказе №187. Если произошел инцидент, оператор должен направить очередное уведомление в Роскомнадзор.

Для обеспечения более эффективного контроля за обработкой персональных данных, внесены изменения в порядок уведомлений о нарушениях. Теперь процедура двухэтапная.

Первое уведомление должно быть направлено в РКН в течение 24 часов с момента возникновения инцидента. Оно должно содержать информацию о причинах нарушения, а также о мерах, принятых для устранения последствий инцидента.

Второе уведомление следует направить в течение 72 часов и содержит информацию о результатах внутреннего расследования инцидента.Кроме того, были изменены сроки уведомлений о изменениях. Теперь при изменении ранее предоставленных данных необходимо сообщать об этом РКН не позднее 15 числа следующего месяца. А при завершении обработки персональных данных – в течение 10 дней с момента ее прекращения. Ранее на оба уведомления был установлен единый срок – 10 дней.