Изменения в области перс.данных: траснграничная передача, оценка вреда и другое
Теперь перед началом трансграничной передачи данных необходимо отправлять уведомление в Роскомнадзор. Это отдельное уведомление, которое отправляется помимо уведомления о намерении обработки персональных данных, предусмотренного статьей 22 закона о персональных данных.
Если речь идет о традиционном уведомлении, которое отправляется при обработке персональных данных граждан России, то на основе «трансграничного уведомления» Роскомнадзор может запретить передачу данных или ограничить ее.
Перед подачей уведомления необходимо выполнить следующие действия:
— получить от иностранных коллег-операторов информацию о мерах по защите персональных данных и условиях прекращения обработки данных;
— запросить информацию о правовом регулировании персональных данных в иностранном государстве, под юрисдикцией которого находятся иностранные коллеги;
— запросить контактную информацию ответственного лица (ФИО, адрес электронной почты, телефон);
оценить всю эту информацию самостоятельно (желательно зафиксировать актом).
Таким образом, новые изменения в законе о персональных данных требуют от предпринимателей более тщательного подхода к передаче персональных данных за пределы России и дополнительных действий в этой области.
Не стоит пытаться обманывать Роскомнадзор. В случае подозрений, они проведут проверку, и вы должны будете ответить на запрос в течение 10 дней.
Однако, если все формальности соблюдены, вы можете указать необходимые сведения в уведомлении и спокойно осуществлять трансграничную передачу.
Хотя процесс может быть сложным, но выполнимым.
Важно отметить, что уведомление, которое отправляют все операторы в РФ, связано с новым уведомлением, которое касается трансграничной передачи. Вы не сможете подать новое уведомление, если предыдущее не было подано.
Кроме того, статья 18.1 Закона о ПД дополнена новыми мерами, которые должны быть приняты операторами, включая оценку вреда, который может быть причинен субъектам ПД, и соотношение мер, принимаемых оператором, и указанного вреда. В связи с этим всем операторам необходимо ознакомиться с Приказом РКН № 178, провести оценку степени вреда и закрепить все это актом.
Обязанность операторов фиксировать уничтожение персональных данных теперь закреплена в законе.
Если персональные данные обрабатываются с помощью средств автоматизации, например, в 1С, оператор должен подготовить выгрузку из журнала регистрации событий в информационной системе и акт об уничтожении ПД. В случае, если данные обрабатываются без использования средств автоматизации, достаточно акта об уничтожении.
Порядок действий при уничтожении персональных данных определен в Приказе № 179.
Роскомнадзор будет вести реестр инцидентов, связанных с персональными данными, таких как утечки, неправомерная передача и прочие. Порядок ведения реестра и взаимодействия с операторами для его ведения определен в Приказе № 187. Если произошел инцидент, оператор должен направить очередное уведомление в Роскомнадзор.
Для обеспечения более эффективного контроля за обработкой персональных данных, внесены изменения в порядок уведомлений о нарушениях. Теперь процедура двухэтапная.
Первое уведомление должно быть направлено в РКН в течение 24 часов с момента возникновения инцидента. Оно должно содержать информацию о причинах нарушения, а также о мерах, принятых для устранения последствий инцидента.
Второе уведомление следует направить в течение 72 часов и содержит информацию о результатах внутреннего расследования инцидента.
Кроме того, были изменены сроки уведомлений о изменениях. Теперь при изменении ранее предоставленных данных необходимо сообщать об этом РКН не позднее 15 числа следующего месяца. А при завершении обработки персональных данных — в течение 10 дней с момента ее прекращения. Ранее на оба уведомления был установлен единый срок — 10 дней.