С 1 марта 2023 года вступили в силу вторая группа поправок, которые в Федеральный закон от 27.07.2006 № 152-ФЗ внес Федеральный закон от 14.07.2022 № 266-ФЗ. Большая часть из них коснется каждого оператора.
В Законе о персональных данных внесены следующие изменения:
1. Установили новый порядок трансграничной передачи персональных данных. Чтобы передать персональные данные субъекта на территорию иностранного государства, оператор обязан направить специальное уведомление в Роскомнадзор. Но перед этим ему необходимо удостовериться, что иностранный оператор, которому он планирует передавать персональные данные, обеспечивает их конфиденциальность и безопасность.
2. Определили, в каком порядке операторы проводят оценку вреда, который может быть причинен субъектам из-за нарушений Закона о персональных данных. Оценка вреда - это одна из мер, которая направлена на то, чтобы обеспечить выполнение оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ. Оценку вреда проводит ответственный за организацию обработки персональных данных или специальная комиссия, которую создает оператор. Выделяют три степени вреда - высокую, среднюю и низкую. Степень вреда фиксируют в специальном акте, который оформляют в бумажном или электронном виде.
3. Определили, как фиксировать уничтожение персональных данных. Уничтожение персональных данных - это действия, после которых нельзя восстановить содержание персональных данных в информационной системе или в результате которых уничтожают материальные носители таких данных. Порядок уничтожения персональных данных оператор определяет самостоятельно, но требования к подтверждению их уничтожения определил Роскомнадзор.
4. Изменили срок, в который оператор обязан проинформировать Роскомнадзор об изменении сведений, представленных ранее в уведомлении об обработке персональных данных. Если сведения, которые оператор указал в уведомлении об обработке персональных данных, изменились, ему необходимо уведомить об этом Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.
5. Определили порядок учета инцидентов в области персональных данных. Реестр учета таких инцидентов будет вести Роскомнадзор. Для этого он определил порядок и условия взаимодействия с операторами в рамках ведения реестра. Информацию об инцидентах Роскомнадзор будет передавать в ФСБ РФ.
По мнению эксперта Среднерусского института управления – филиала РАНХиГС, кандидата технических наук Марины Власовой, пересмотру нормативной базы в сфере персональных данных поспособствовали факты многократных утечек данных, участившиеся хакерские атаки и перестройка отечественного рынка в целом. Кроме того, сбором, хранением и обработкой персональных данных занимались многие иностранные компании, принявшие решение уйти из России, реструктуризировать или продать бизнес. Подобные случаи также стимулировали повышенное внимание к трансформации работы с данными пользователей.