• Главная
• /
• Блог
• /
• #обизнесе
• /
• Изменения в обработке персональных данных

Изменения в обработке персональных данных

С началом 2023 года Роскомнадзор внес существенные изменения в правила обработки персональных данных (ПД), устанавливая новые требования, которые организации и работодатели обязаны соблюдать. Эти изменения имеют большое значение для безопасности данных и защиты прав субъектов ПД. Давайте подробнее рассмотрим, какие изменения произошли и какие обязательства возлагаются на компании.

• Разрешение на передачу данных заграницу

  С 1 марта 2023 года работодатели обязаны запросить разрешение у Роскомнадзора перед передачей персональных данных за границу. Это новое требование направлено на защиту персональных данных при их передаче за пределы России.

  Компании и физические лица обязаны обращаться к Роскомнадзору (РКН) с запросом на разрешение и дожидаться ответа в течение 10 дней, если они планируют использовать облачные сервисы из стран, которые не обеспечивают достаточную защиту информации. Даже при наличии дружественных отношений с другой страной, компании все равно должны информировать о каждой передаче данных.

  Например, разрешение РКН необходимо получить, если организация импортирует товары из Китая в Россию и передает контактные данные получателей посылок. Также, передача персональных данных, таких как список российских граждан для бронирования номеров в турецком отеле, также будет считаться трансграничной передачей данных.

  В эту категорию также попадают все компании, использующие файлы cookies в своей работе или загружающие информацию в американские облачные системы и ведущие базу данных CRM в этих системах. Установка Google Analytics также нарушает закон, так как система отправляет данные с сайта на сервер в США.

  Организации, работающие с такими данными (их число составляет около 440 тысяч), должны быть подключены к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), а также информировать органы власти о любых случаях утечки личной информации.

• Оценка возможного вреда субъектам ПД

  Новое правило требует, чтобы организации оценили возможный вред, который может быть причинен субъектам персональных данных, в случае нарушения законодательства о ПД. Оценка вреда может быть высокой, средней или низкой, и она должна быть документально оформлена в акте оценки вреда.

  Акт оценки возможного вреда субъектам персональных данных

• Уведомление о изменениях в компании

  Организации обязаны уведомлять Роскомнадзор о любых изменениях, связанных с обработкой персональных данных, в новые сроки. Изменения в данных, предоставленных в уведомлении, должны быть сообщены в Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.

• Обязательные сведения в акте об уничтожении данных

  Важное изменение касается акта об уничтожении персональных данных. Теперь в акте обязательно должны быть указаны следующие сведения:

  1. Наименование и адрес работодателя
  2. Дата составления акта
  3. Дата проведения оценки степени вреда/li>
  4. ФИО и должность сотрудника, который провел оценку вреда, или ФИО и должности членов комиссии, если оценку проводила комиссия
  5. Степень вреда, которая может возникнуть при нарушении правил обработки ПД

  Акт должен быть подписан ответственным лицом или членами комиссии, проводившими оценку.

  Кроме того, с 1 марта 2023 года вступил в силу Приказ Роскомнадзора от 27.10.2022 № 178, который определяет категории риска ПД. Это помогает компаниям оценить степень риска и потенциальный вред для субъектов ПД при нарушении законодательства о персональных данных.

Степени риска включают:

• Высокую: обработка специальных категорий персональных данных, работа с биометрическими данными, обработка ПД несовершеннолетних.
• Среднюю: предоставление ПД неограниченному кругу лиц, обработка данных в целях, отличных от первоначальной цели сбора, продвижение товаров через прямые контакты с использованием баз ПД, принадлежащих другим операторам.
• Низкую: использование общедоступных источников ПД, назначение лица, не являющегося штатным сотрудником оператора, ответственным за обработку ПД.

Все эти требования будут действовать до 1 марта 2029 года.

Уничтожение ПД должно фиксироваться актом, в котором указываются категория уничтожаемых данных, ФИО и должность лиц, проводивших уничтожение, способ и причина уничтожения. Если уничтожение данных производится из информационной системы ПД, то бумажный акт можно заменить выгрузкой журнала регистрации информационных событий.

Важно отметить, что документы об уничтожении ПД должны храниться в течение трех лет. Эти меры направлены на усиление контроля и обеспечение безопасности персональных данных в соответствии с законодательством Российской Федерации.
• Цели сбора персональных данных

Цели обработки персональных данных включают анализ правовых актов, которые регулируют деятельность оператора, его фактические цели и деятельность, предусмотренную учредительными документами, а также конкретные бизнес-процессы оператора в отношении определенных категорий персональных данных в информационных системах.

К целям обработки персональных данных оператора относятся:

1. Заключение, исполнение и прекращение гражданско-правовых договоров;
2. Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам;
3. Ведение кадрового делопроизводства, помощь работникам в поиске работы, обучении и продвижении по службе, использовании льгот;
4. Соблюдение требований налогового законодательства в отношении исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче персонифицированных данных в ПФР о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;
5. Заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и другими федеральными законами.

Подтверждение уничтожения персональных данных

Теперь уничтожение персональных данных обязательно должно быть подтверждено актом. В акте должны быть указаны категория уничтожаемых данных, ФИО и должность лиц, ответственных за уничтожение данных, их подпись, а также указаны способ и причина уничтожения персональных данных и другие необходимые сведения.

Если данные уничтожаются из информационной системы персональных данных, то бумажный акт может быть заменен выгрузкой журнала регистрации информационных событий, то есть лог-файлом.

В случае, если выгрузка из журнала не позволяет указать все требуемые сведения, они должны быть внесены в акт об уничтожении персональных данных. Этот акт должен храниться в течение 3 лет.

Как размещать персональные данные?

Вам нужно сделать так, чтобы сайт соответствовал требованиям 152-ФЗ. Эти требования применимы для всех — физических лиц и компаний. Убедитесь, что вы соблюдаете следующие условия.

Хостинг и база данных с персональными данными должна располагаться на территории России. Об этом прямо говорят данные проверок Роскомнадзора (снова LinkedIn) и закон №242-ФЗ, который обязывает записывать, хранить, обновлять и извлекать персональные данные граждан РФ с использованием баз данных на территории России с 1 сентября 2015 года

Это касается иностранных компаний с юрлицом в России и без него, а также российских компаний, которые пользуются иностранными хостинг-провайдерами, дата-центрами и облачными платформами. Все осложняется тем, что требования Роскомнадзора до конца не ясны, приходится догадываться самим.

Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязи. И возможно у вашего хостинг-провайдера есть готовые решения на такой случай.

Под каждой формой сбора данных, включая сбор email, разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». В тексте должна быть ссылка на документ — Пользовательское соглашение, договор или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице.