Новые правила работы с персональными данными вступили в силу с 1 сентября 2022 года. Теперь работодатели обязаны сообщать в Роскомнадзор о планах обрабатывать личную информацию сотрудников.
Федеральный закон №266-ФЗ от 14.07.2022, который внес изменения в ст. 22 Федерального закона №152-ФЗ «О персональных данных», должен повысить ответственность операторов персональных данных и прозрачность процессов обработки персональных данных, а также обеспечить защиту личных данных граждан.
Случаи уведомления Роскомнадзора об обработке данных
Уведомлять Роскомнадзор о планах обрабатывать персональные данные непосредственно до начала обработки данных необходимо теперь в следующих случаях:
- если это данные обрабатываются в соответствии с трудовым законодательством;
- при однократном пропуске субъекта персональных данных на территорию;
- если обрабатываются данные, включающие в себя только фамилии, имена и отчества субъектов персональных данных;
- в других случаях.
Однако есть ряд случаев, предусмотренных ч. 2 ст. 22 Закона о персональных данных, уведомление подавать не требуется, и оператор может осуществлять обработку данных без уведомления органа. Например, в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.
Изменения в работе с персональными данными с 1 марта 2023 года
Трансграничная передача данных
Главное нововведение заключается в том, что при каждой трансграничной передаче персональных данных нужно информировать Роскомнадзор.
Помимо уведомления о начале обработки персональных данных, придется отправлять отдельное уведомление о намерении осуществлять трансграничную передачу персональных данных, которое следует отправить до начала трансграничной передачи персональных данных (п. 3 ст. 12 Закона).
Уполномоченный орган, тем не менее, оставляет за собой право ограничить или запретить право трансграничной передачи, если посчитает, что законодательная база по защите прав субъектов персональных данных принимающего государства не отвечает требованиям безопасности.
Уничтожение персональных данных
Роскомнадзор утвердил требования к подтверждению уничтожения личной информации, которые будут действовать с 1 марта 2023 по 1 марта 2029 года.
Комплект документов, который требуют у оператора, зависит от степени автоматизации обработки персональных данных.
Поскольку ранее требований к фиксации факта уничтожения ПД закон не устанавливал, операторы самостоятельно определяли порядок фиксации факта их уничтожения. К 1 марта 2023 года следует привести установленный порядок в соответствие с требованиями, закрепленными приказом Роскомнадзора от 28.10.2022 № 179.
Оценка вреда
Также с 1 марта 2023 года в силу вступил Приказ Роскомнадзора от 27.10.2022 № 178, который утвердил требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
Степень вреда предлагается оценить ответственному лицу со стороны оператора по трем категориям: «Высокая», «Средняя» и «Низкая», в зависимости от «качества» обрабатываемых данных. Так, например, операторам биометрических данных необходимо присвоить «Высокую» оценку.
Такой порядок также будет действовать до 1 марта 2029 года.
Свяжитесь с нами
