Что изменилось в законе о персональных данных
С 1 сентября 2023 года вступают в силу новые требования к обработке персональных данных. Новые правила вступают в силу с 1 марта 2023-го и будут действовать до марта 2029 года. Поправки не только предусматривают новые обязанности и запреты для операторов данных, но и сокращают сроки для ответов на запросы Роскомнадзора и граждан.
НИЖЕ ПО ТЕКСТУ: Новости законодательства по персональным данным 2022-2023
Что нужно сделать компаниям до марта 2023 года (шаблоны документов внизу)
1. Провести оценку вреда
Роскомнадзор установил для компаний правила проведения оценки вреда, который может возникнуть, если будет нарушен Закон о персональных данных. В ходе оценки нужно выбрать одну из трех степеней вреда: высокую, среднюю или низкую. К примеру, если компания обрабатывает биометрические данные — это высокая степень, а если назначила ответственным за обработку нештатного сотрудника — низкая. К какой степени риска относятся остальные действия при работе с персональными данными, смотрите в приказе Роскомнадзора.
Абз. 5 подп. «а» п. 10 ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ
П178 Приказ Роскомнадзора от 27.10.2022 № 178
П178-1 П. 2 Требований, утв. приказом Роскомнадзора от 27.10.2022 № 178
П178-2 П. 1 Требований, утв. приказом Роскомнадзора от 27.10.2022 № 178
Результаты оценки нужно оформить актом в электронной форме или на бумаге. Делает это ответственный за организацию обработки персональных данных либо комиссия, которую компания вправе создать специально для оценки.
2. Разработать новую форму акта об уничтожении персональных данных
Компании обязали фиксировать факт уничтожения персональных данных по новым требованиям Роскомнадзора. Это изменение усложняет работу компании: если раньше оформить акт об уничтожении можно было в свободной форме, то теперь придется включать 10 обязательных элементов. Чтобы не пришлось самим разрабатывать форму акта, скачайте готовую в конце статьи.
Приказ Роскомнадзора от 28.10.2022 № 179
П. 5, 6 Требований, утв. приказом Роскомнадзора от 28.10.2022 № 179
П. 8 Требований, утв. приказом Роскомнадзора от 28.10.2022 № 179
Если компания обрабатывает данные автоматизированно или смешанно, помимо акта потребуется выгрузка из журнала регистрации событий в информационной системе персональных данных. В том случае, когда информационная система компании построена так, что выгрузка не содержит все те элементы, которые требует Роскомнадзор, их нужно указать только в акте. Если же компания обрабатывает данные вручную — достаточно оформить только акт. Документы об уничтожении придется хранить три года.
Новые правила вступают в силу с 1 марта 2023 года. Советуем подготовиться уже сейчас: внести изменения в локальный акт об уничтожении данных, если он в компании есть, или разработать новый.
3. Извещать РКН по новым срокам
Извещать в новые сроки Роскомнадзор, если изменились сведения, которые подавали ранее. Одно изменение упрощает работу компаний: они получили больше времени, чтобы известить Роскомнадзор, если изменились сведения, которые ранее компания указала в уведомлении о начале обработки персональных данных. Сообщить нужно не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения. К примеру, в феврале у компании произошло два изменения. Первое — компания сменила наименование. Второе — сотрудник, который в компании отвечает за организацию обработки персональных данных, поменял номер телефона. Обо всех этих произошедших изменениях нужно будет сообщить в Роскомнадзор один раз до 15 марта.
Ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Подп. «д» п. 14 ст. 1 Федерального закона от 14.07.2022 № 266-ФЗ
Новые сроки начнут применять с 1 марта. До 1 марта срок для подобных извещений короче — 10 рабочих дней с момента, когда возникли изменения. Этот срок сохранили после 1 марта для случая, когда нужно уведомить Роскомнадзор о том, что прекратили обрабатывать персональные данные.
4. Ваша компания на сайте использует google-аналитику? Теперь вы трансграничный передатчик сведений
Если ваша компания передает иностранной компании или другим лицам за границей персональные данные, сообщите об этом в Роскомнадзор. Даже если компания просто использует google-аналитику, хранит данные о сотрудниках или клиентах на зарубежных облачных сервисах или сайтах, чьи владельцы — иностранцы, все равно придется уведомлять. Фактически любое сообщение иностранному лицу на территорию другого государства персональных данных — это трансграничная передача. К примеру, компания пересылает данные иностранной площадке для поиска кандидатов, иностранным провайдерам для так называемой комплаенс проверки кандидатов, в облачные хранилища данных, туристические агентства, гостиницы за рубежом, аффилированным лицам, иностранным партнерам.
Ч. 5 ст. 6 Федерального закона от 14.07.2022 № 266-ФЗ
Хорошая новость: в одном уведомлении можете указать сразу все цели передачи персональных данных и страны, в которые компания их передает. В остальном это изменение добавляет работы компаниям. Во-первых, это новая дополнительная обязанность. Во-вторых, если компания уже сейчас передает данные за границу, уведомить Роскомнадзор понадобится как минимум дважды. Роскомнадзор, однако, допустил включение в состав уведомления, которое нужно подать до 1 марта, информации о трансграничной передаче персональных данных, которую компания только предполагает начать. В-третьих, если со временем компания начнет передавать персональные данные в новые страны или в те, о которых уже сообщала, но для новых целей, придется снова уведомлять Роскомнадзор.
Письмо Роскомнадзора от 09.11.2022 № 08ВМ-98928 «О результатах рассмотрения письма»
До 1 марта, если ваша компания передает персональные данные иностранной компании или другим лицам за границей, достаточно выполнить одну обязанность — уведомить Роскомнадзор.
Мы можем проверить Ваши бизнес-документы на соответствие требованиям ФЗ-152, например:
- Корпоративные приказы, положения, уведомления, рассылки;
- Пользовательское соглашение вашего сервиса и Политику конфиденциальности сайта;
- Трудовые договора и документы;
- Коммерческие предложения и рассылки.
Присылайте документы на advokatorium@mail.ru
Новости о персональных данных:
17.02.2023 Росреестр: с 1 марта вступит в силу запрет на передачу персональных данных из ЕГРН без согласия правообладателя
В ведомстве считают, что запрет повысит взаимную ответственность при проведении сделок на рынке недвижимости и поможет исключить случаи мошенничества. Кроме того, такая мера лишит недобросовестных участников рынка возможности перепродавать сведения из ЕГРН и создавать сайты-двойники. Закон не касается правообладателей недвижимости - юридических лиц. Сведения о них по-прежнему будут общедоступными и указываться в выписках из ЕГРН.
11.02.2023 14 февраля установят новое основание внепланово проверять операторов персональных данных
До конца 2023 года оператору грозит внеплановое контрольно-надзорное мероприятие, если установят факт полного или частичного распространения в интернете баз персональных данных. Мероприятие проведут по решению руководителя Роскомнадзора или его зама по согласованию с прокуратурой. Правила вступят в силу 14 февраля. Сейчас этого основания нет в списке тех, по которым в 2023 году можно вне плана организовывать, в частности, контрольно-надзорные мероприятия. Новшество затронет и аккредитованные российские ИТ-компании, если будут признаки того, что базы личных сведений полностью или частично принадлежат таким юрлицам. В этих случаях внеплановые контрольно-надзорные мероприятия по такому основанию смогут провести в 2023-2024 годах.
Документ: Постановление Правительства РФ от 04.02.2023 N 161
10.02.2023 Изменили форму согласия на обработку персональных данных для их передачи в единые спецсистемы
Ряд банков и прочих лиц, которые размещают личные сведения о гражданах в единой биометрической системе и в ЕСИА, должны получать согласия на это в обновленной форме. Поправки вступили в силу. Скорректировали наименования формы и согласия. Перечень информации для обработки дополнили векторами единой биометрической системы, которые получили после того, как преобразовали биометрические сведения. Изменили наименование оператора единой биометрической системы. Уточнили, что цифровое обращение об отзыве согласия можно заверить неквалифицированной ЭП, а не только простой или квалифицированной ЭП. Есть и другие поправки.
Документ: Распоряжение Правительства РФ от 01.02.2023 N 207-р
01.02.2023 Компании планируют штрафовать на суммы от 5 млн до 500 млн руб. за утечку персональных данных. Такой законопроект подготовило Минцифры.
В рамках данного диапазона штраф будут рассчитывать от размера суммы выручки компании за год, который предшествует году инцидента с утечкой. Изначально предполагалось, что штраф будет составлять до 3 процентов от годового оборота компании. Смягчающими обстоятельствами будут считаться инвестиции в средства защиты данных, сертифицирование инфраструктуры, а также компенсация ущерба лицам, данные которых попали в сеть. Законопроект официально пока не опубликован.
24.01.2023 Вводится запрет на трансграничную передачу данных в определнных случаях
С 1 марта 2023 года заработает порядок, по которому Роскомнадзор станет запрещать или ограничивать трансграничную передачу личных сведений. Цель этих действий - защита нравственности, здоровья, прав и интересов граждан.
Запрет последует в таких ситуациях:
- страна, иностранные физлица или организации, которым оператор хочет направлять персональные данные, не защищают эту информацию. Также они не определили условия прекращения ее обработки;
- суд запретил деятельность в РФ зарубежного юрлица. Это решение вступило в силу;
- иностранную организацию включили в список нежелательных в РФ;
- трансграничная передача и дальнейшая обработка персональных данных не отвечают целям их сбора;
- сведения, которые планируют направить, нельзя обрабатывать.
Основания ограничить трансграничную передачу следующие:
- содержание и объем личных сведений не соответствуют цели такой передачи;
- категории физлиц, данные которых хотят направить, не отвечают этой цели.
Решение о запрете или ограничении предоставят оператору так, чтобы можно было подтвердить получение. Например, его могут выслать по адресу из уведомления о намерении совершать трансграничную передачу сведений. Это сделают не позже дня после даты принятия решения.
Документ: Постановление Правительства РФ от 16.01.2023 N 24
02.12.2022: Работа с персональными данными: опубликовали правила оценки возможного вреда гражданам
1 марта 2023 года начнут действовать требования к тому, как оценивать вред, который оператор может причинить физлицам, если нарушит Закон о персональных данных. Оценку должен будет проводить ответственный за организацию обработки личных сведений. Вместо него это сможет сделать комиссия оператора. От оператора потребуют определить высокую, среднюю или низкую степень вероятного вреда. Отметим примеры случаев, когда нужно выбрать одну из них:
- высокая степень - оператор обрабатывает информацию о несовершеннолетних, например, чтобы исполнять договоры, по которым они контрагенты, выгодоприобретатели либо поручители;
- средняя - он продвигает товары, работы и услуги через прямые контакты с потенциальными потребителями с помощью хранилищ (баз персональных данных) другого лица;
- низкая - оператор назначил внештатного сотрудника ответственным за обработку личных сведений.
Если гражданину могут причинить вред разных степеней, надо учитывать более высокую из них. Степень вреда и ряд других сведений обяжут отразить в акте. Документ разрешат составить в цифровом виде, но тогда его придется заверить электронной подписью. Сейчас требований к тому, как проводить оценку, нет. Напомним, оценивать вероятный вред нужно при обработке персональной информации в информсистемах. Дело в том, что по итогам этой процедуры определяют тип угроз безопасности личных сведений. В остальных случаях оценка необязательна.
Документ: Приказ Роскомнадзора от 27.10.2022 N 178
27.10.2022: Определены требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".
Оценка указанного вреда осуществляется ответственным за организацию обработки персональных данных либо комиссией, образуемой оператором. Для целей оценки оператор определяет одну из степеней вреда, который может быть причинен субъекту персональных данных - высокую, среднюю или низкую. Документом определены случаи установления конкретной степени вреда в зависимости от допущенных нарушений. Предусмотрено, что результаты оценки вреда оформляются актом оценки вреда.
Настоящий приказ вступает в силу с 1 марта 2023 года и действует до 1 марта 2029 года.
Документ: Приказ Роскомнадзора от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" (Зарегистрировано в Минюсте России 28.11.2022 N 71166).
28.10.2022: Роскомнадзором установлены требования к подтверждению уничтожения персональных данных
Так, документами, подтверждающими уничтожение персональных данных, являются: акт об уничтожении персональных данных - в случае если обработка персональных данных осуществляется оператором без использования средств автоматизации; акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных - в случае если обработка персональных данных осуществляется оператором с использованием средств автоматизации.
Установлены перечни сведений, которые должны содержать указанные документы.
Настоящий приказ вступает в силу с 1 марта 2023 года и действует до 1 марта 2029 года.
Документ: Приказ Роскомнадзора от 28.10.2022 N 179 "Об утверждении Требований к подтверждению уничтожения персональных данных" (Зарегистрировано в Минюсте России 28.11.2022 N 71167).
Рекомендуем проверить, что изменить в работе вашей компании с персональными данными, чтобы не получить штрафы при проверке. Ответы на самые частые вопросы об изменениях — здесь.
Новые требования к персональным данным несовершеннолетних
Новый закон запрещает включать в договор с субъектом персональных данных три вида условий.
Речь о положениях, которые ограничивают права и свободы субъекта, допускают в качестве условия заключения договора бездействие субъекта, а также устанавливают случаи обработки данных несовершеннолетних.
Если первые два вида положений — не новые, то третий дополнительно ограничивает компании. Скорее всего, Роскомнадзор будет толковать его расширительно: персональные данные несовершеннолетних нельзя обрабатывать на основании договора, если иное прямо не указано в законе.
П. 5 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Владельцы цифровых платформ больше не смогут ссылаться на то, что несовершеннолетний принял все правила пользования ресурса, а значит, дал основание для обработки.
Многим сервисам придется переоценить свои риски и пересмотреть подход к обработке данных. При этом важно, что предоставление согласия на обработку — односторонняя сделка. Следовательно, требования к форме согласия будут отличаться для разных возрастных групп. Что проверить в согласии на обработку данных
Новые требования к согласию на обработку персональных данных
Появились дополнительные критерии, которым должно соответствовать согласие на обработку персональных данных.
Теперь оно должно быть не только конкретным, информированным и сознательным, а еще и предметным и однозначным. Однако Роскомнадзор уже давно указывает на то, что субъект данных должен выразить согласие однозначным действием. Поэтому поправка лишь закрепляет подход, который есть в практике.
Ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Еще один подход, который уже давно выработала практика, но который теперь есть в законе: запрет отказывать в услуге из-за того, что гражданин не предоставил биометрические данные или согласие на их обработку.
Предоставление биометрических персональных данных не может быть обязательным. Какие требования теперь есть к поручению на обработку данных Теперь в поручении оператора на обработку данных должен быть перечень персональных данных.
Операторам придется выбирать: указывать широкие общие или четкие узкие категории данных. Каждый из вариантов несет свой риск. Так, в первом случае есть вероятность, что практика не будет толковать категории так же широко, как оператор и обработчик данных. Но если выбрать наиболее детальные категории, поручение вероятно придется часто редактировать, поскольку объем данных может меняться.
Ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
В поручение оператора на обработку персональных данных необходимо включать и обязанности обработчика: во-первых, соблюдать требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Закона о персональных данных, во-вторых, предоставлять по запросу оператора в течение срока действия поручения информацию, подтверждающую принятие мер и соблюдение установленных требований, в- третьих, информировать Роскомнадзор об инцидентах.
Кроме того, теперь, если оператор поручает обработку иностранному лицу, ответственность за его действия перед субъектом данных будут нести и оператор, и обработчик. Такая поправка повысит внимание Роскомнадзора к иностранным компаниям.
В какие сроки оператор данных должен отвечать на запросы
Сократили сроки, в которые оператор обязан отреагировать на обращение, — теперь у него есть на это 10 рабочих, а не 30 календарных дней. Это касается ответов на запросы как субъекта данных, так и Роскомнадзора. По мотивированному уведомлению оператора срок можно продлить не более чем на 5 рабочих дней.
Ч. 3 ст. 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Кроме того, теперь в течение 10 рабочих дней оператор обязан прекратить обработку, если этого потребовал субъект данных. Срок течет со дня, когда оператор получил требование. Но из этого положения есть два исключения.
Первое: данные обрабатываются не на основании согласия, а на ином законном основании.
Второе: обрабатываются специальные категории персональных данных.
Какие новые сведения придется раскрывать субъекту данных по его запросу
Теперь компании по запросу субъекта обязаны раскрывать субъекту персональных данных описание правовых, организационных и технических мер по обеспечению безопасности персональных данных. Такая информация обычно довольно чувствительна для компаний.
Подобные запросы могут вызвать много вопросов у сотрудников, которые отвечают за обработку данных. Если не предоставить субъекту данных эту информацию, компанию оштрафуют на сумму до 80 тыс. руб.
Ч. 4 ст. 13.11 КоАП
Политика обработки персональных данных для сайта образец 2022
Что включить в политику обработки персональных данных
Закон детализировал требования к политике обработки персональных данных. Рекомендуем проверить, соответствуют ли документы вашей компании новым правилам. Если нет, следует внести изменения. Ранее закон строго не регламентировал содержание политики, были только рекомендации Роскомнадзора.
Теперь политика должна содержать категории и перечень персональных данных, категории субъектов, способы обработки, сроки обработки и хранения, порядок уничтожения данных.
Все эти аспекты необходимо определять для каждой цели обработки отдельно. Новый закон также конкретизирует требования к публикации политики. Оператор, который собирает данные в интернете, обязан опубликовать политику на страницах, на которых происходит сбор персональных данных.
Ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Какие сведения включать в уведомление об обработке персональных данных
Новые нормы зафиксировали установившийся подход Роскомнадзора к содержанию уведомления об обработке персональных данных. В уведомлении оператор должен для каждой цели обработки отдельно указать категории персональных данных, категории субъектов, правовое основание обработки, перечень действий с персональными данными и способы обработки персональных данных.
Кроме того, сократили перечень случаев, когда оператор вправе обрабатывать данные без уведомления Роскомнадзора. Практика и ранее толковала эти исключения крайне узко, подпасть под них было практически невозможно. Об обработке данных сотрудников компании теперь придется уведомлять РКН.
Какие еще исключения убрали из Закона о персональных данных
Уведомлять Роскомнадзор о намерении обрабатывать персональные данные придется чаще. Из Закона о персональных данных № 152-ФЗ убрали почти все исключения, когда можно было не сообщать об обработке чиновникам. Теперь надо уведомить РКН, если работаете с данными сотрудников, клиентов, когда это нужно для заключения и исполнения договоров, физлиц, которые разрешили их распространять, а также физлиц — в части Ф. И. О. и для однократного пропуска на территорию или в аналогичных целях. Исключений, когда можно обрабатывать данные без уведомления, оставили всего три. Это возможно, если: данные включены в госсистемы персональных данных в целях защиты безопасности государства и общественного порядка; оператор обрабатывает такие данные исключительно без средств автоматизации; данные обрабатывают в целях транспортной безопасности в случаях, которые предусматривает специальное законодательство.
Если ранее уже уведомляли РКН об обработке данных, но не указали случаи, которые до 1 сентября подпадали под исключения, советуем направить в ведомство информационное письмо. В нем укажите, что вносите изменения в сведения об операторе и перечислите все случаи обработки персональных данных.
Источник: ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Как и когда необходимо информировать Роскомнадзор об утечке данных
У операторов появится новая обязанность: взаимодействовать с ГОССОПКА и информировать госорганы о компьютерных инцидентах, которые повлекли утечку персональных данных. В отношении ГОССОПКА пока не ясно, что именно будут требовать от операторов персональных данных. Порядок взаимодействия и обязанности должна будет установить ФСБ.
Ч. 12 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Конкретные требования закон установил к тому, как уведомлять госорганы о неправомерной или случайной передаче персональных данных. Оператор, если выявил такой факт, обязан в течение 24 часов уведомить Роскомнадзор об инциденте.
В таком уведомлении необходимо указать предполагаемые причины и вред, перечислить, какие меры приняла компания, чтобы устранить последствия. Также следует предоставить сведения о лице, которое будет взаимодействовать с Роскомнадзором.
В течение 72 часов с момента, когда выявили инцидент, оператор должен уведомить Роскомнадзор о результатах внутреннего расследования, а также предоставить сведения о лицах, чьи действия стали причиной инцидента.
Требование информировать госорганы об утечке персональных данных — новелла для российского законодательства. Однако похожие требования уже есть в законодательстве об объектах критической информационной инфраструктуры.
КоАП предусматривает штраф до 500 тыс. руб. для субъектов КИИ, если они не проинформируют об инцидентах.КоАП-1 Поэтому есть вероятность, что для операторов персональных данных тоже введут повышенный штраф. Однако пока что оператора, который не уведомит чиновников об утечке, можно оштрафовать до 5 тыс. руб. по общей норме Ко АП о непередаче сведений госорганам.
На кого распространяется Закон о персональных данных
Новый закон лишает многие иностранные компании возможности использовать довод о том, что их деятельность не направлена на Россию, чтобы избежать применения норм российского законодательства.
Так, закон прямо указывает на то, что положения закона о персональных данных применяются к обработке данных граждан России, осуществляемой иностранными лицами на основании: договора, стороной которого являются граждане России, иных соглашений между иностранными лицами и гражданами России, согласия гражданина России на обработку.
Ч. 1.1 ст. 1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
При этом неясно, на основании права какой страны будут определять сами основания обработки данных. Так, в Европейском союзе часто используют такое основание, как legal interest — законный интерес. Следовательно, обработка европейской компанией персональных данных граждан России на этом основании может не подпадать под российские требования. Однако российская практика толкует многие основания обработки крайне узко.
Это касается, в частности, и законных интересов оператора. Следовательно, если руководствоваться исключительно нормами российского права, под действие российского закона подпадут практически все случаи обработки персональных данных граждан России иностранными компаниями. Действие некоторых российских норм о персональных данных распространяется на многие иностранные компании и сейчас.
Например, требования о локализации данных распространяются на иностранные компании без физического присутствия в России, если они направляют свою деятельность на ее территорию. Минкомсвязь выделяло критерии, как определить направленность действия. Однако представители Роскомнадзора подчеркивали: эти критерии не исключительны. То есть риск того, что иностранный обработчик данных граждан России может подпадать под требования российского законодательства, существовал всегда.
Новые требования к трансграничной передаче персональных данных
Изменения в части трансграничной передачи данных вступают в силу 1 марта 2023 года
Как осуществлять трансграничную передачу данных. Наиболее обсуждаемыми стали изменения, касающиеся трансграничной передачи. Тут новый закон действительно меняет ситуацию коренным образом. Оператор до того, как начнет трансграничную передачу, обязан уведомить об этом Роскомнадзор. Операторы, которые уже занимаются такой работой, обязаны подать уведомление не позднее 1 марта 2023 года. Новелла прямо требует направлять его отдельно от уведомления об обработке персональных данных.
Закон подробно описывает, какую информацию должно содержать уведомление. Более того, обязывает оператора получать от иностранных госорганов или лиц, которым будут передавать данные, сведения об уровне защиты прав субъектов персональных данных в этом государстве. Сделать это необходимо до того, как компания подаст в Роскомнадзор уведомление.
П. 5 ст. 6 Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“, отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона „О банках и банковской деятельности“»
Сейчас многие компании должны выбрать: подать уведомление до 1 марта 2023 года или отложить подачу, чтобы собрать информацию и проследить, как будет развиваться практика. Пока что нет ответственности за неподачу уведомления в срок. Поэтому второй подход, хотя и рискованный, может оказаться разумным в некоторых случаях.
Однако важно помнить, что в уведомлении об обработке персональных данных компании также указывают, осуществляют ли они трансграничную передачу. Следовательно, операторы, подавшие указанное уведомление и включенные в реестр операторов персональных данных, не смогут «подождать». Оператор, когда направит уведомление, может осуществлять трансграничную передачу только в странах, которые указал в уведомлении и которые Роскомнадзор признал обеспечивающими адекватную защиту прав субъектов. Это, в частности, государства-стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
Когда Роскомнадзор не признал, что страны из уведомления обеспечивают адекватную защиту, оператор сможет передавать данные, если Роскомнадзор рассмотрит уведомление и не вынесет решение о запрете или об ограничении такой передачи. Роскомнадзор должен рассмотреть уведомление в течение 10 рабочих дней. Этот срок могут продлить, если Роскомнадзор направит запрос оператору.
Образец Приказа об утверждении формы акта об уничтожении персональных данных
Общество с ограниченной ответственностью «Василек»
ООО «_________»
ПРИКАЗ
___ февраля 2023 года
№_____
Об утверждении формы акта
об уничтожении персональных данных
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и Приказом Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»
ПРИКАЗЫВАЮ:
- Утвердить форму акта об уничтожении персональных данных согласно приложению к приказу. Установить, что данная форма применяется в ООО «_________» с 1 марта 2023 года.
- Руководителю отдела безопасности данных Иванову В.В. в срок до 17 февраля 2023 года включительно ознакомить с настоящим приказом всех работников, которые участвуют в процессе обработки персональных данных, включая их уничтожение.
- Контроль за исполнением приказа возложить на заместителя генерального директора Петрова А.А.
- Отменить с 1 марта 2023 года приказ от «___»________ ____ г. № ___ «Об утверждении формы акта об уничтожении персональных данных».
- Настоящий приказ вступает в силу с 10 февраля 2023 года.
Приложение: форма акта об уничтожении персональных данных на 1 листе.
|
Генеральный директор
|
___________________
подпись
|
Сидоров П.П.
|
|
С приказом ознакомлены:
10 февраля 2023 года
|
|
|
|
Заместитель генерального директора
|
___________________
подпись
|
Петров А.А.
|
|
Руководитель отдела безопасности данных
|
___________________
подпись
|
Иванов В.В.
|
Приложение к Приказу № ____
от 10 февраля 2023 года
ФОРМА АКТА ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
__________________________________________________________________________
начало формы
Оператор: ООО «_________»
Адрес: г. Москва, ул. ______, д. __
Акт об уничтожении персональных данных
г. Москва
«____» __________ 20 ___ г.
Лицо, ответственное за организацию обработки персональных данных: _____________________________________, на основании приказа № _______ от «____» __________ 20 ___ г. в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и Приказом Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» составило акт о том, что произведено уничтожение персональных данных, обрабатываемых в ООО «______», в следующем объеме:
|
№
|
Субъект персональных данных1
|
Категории уничтоженных персональных данных
|
Наименование уничтоженного материального носителя2
|
Информационная система, из которой уничтожены персональные данные3
|
Способ уничтожения
|
Причина уничтожения
|
|
|
Цветков Петр Петрович, 1990 г.р.
|
Персональные данные (иные чем специальные категории ПДн и биометрические ПДн)
|
Резюме на бумажном носителе
|
Кандидат Плюс
|
Шредирование материальных носителей, удаление записи в информационной системе средствами указанной систему
|
Истечение срока согласия на обработку ПДн
|
|
|
Иванов Иван Иванович, 1960 г.р.
|
Персональные данные
|
Анкета на бумажном носителе, жесткий диск инв. номер ХХХ
|
Не применимо
|
Механическое измельчение бумажного носителя, стирание информации на жесткого диске с использованием программы ХХХ
|
Отзыв согласия на обработку ПДн
|
|
Уничтожил персональные данные:
|
___________________
подпись
|
__________________
должность, Ф.И.О.
|
Дата уничтожения персональных данных: «____» _____________ 20 ___ г.
|
Председатель комиссии:
|
___________________
подпись
|
Сидоров П.П.
Генеральный директор
|
|
Члены комиссии:
|
___________________
подпись
|
Петров А.А
Заместитель генерального директора
|
|
|
____________________
подпись
|
Иванов В.В
Руководитель отдела безопасности данных
|
__________________________________________________________________________
конец формы
