Вступили в силу изменения в законодательство о персональных данных
Ключевые изменения:
- утвердили требования к проведению и методике оценки возможного вреда субъектам персональных данных;
- утвердили требования к подтверждению уничтожения персональных данных и к актам об уничтожении персональных данных;
- утвердили порядок и условия взаимодействия Роскомнадзора с операторами персональных данных во время ведения реестра учета инцидентов.
Как это стоит учитывать в 2024 году?
Появились дополнительно регламентирующие документы, которые устанавливают как порядок работы с персональными данными, так и порядок допустимого механизма их уничтожения. Уничтожение персональных данных на бумажных носителях должно фиксироваться актом.
Где искать подробности?
- Ответы на часто задаваемых вопросов в области персональных данных от Роскомнадзора;
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 года № 178;
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 года № 179;
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14.11.2022 года №187.
Изменились требования по трансграничной передаче персональных данных
Что изменилось:
- утвердили правила, по которым уполномоченный орган принимает решения о запрещении или об ограничении трансграничной передачи персональных данных, и правила информирования операторов о принятом решении;
- утвердили правила, по которым уполномоченный орган принимает решения о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан.
Как это стоит учитывать в 2024 году?
Появились особые требования по трансграничной передаче персональных данных, то есть передаче персональных данных на территорию иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Запрещается передавать персональные данные лицам, которые не принимают меры по защите этих данных, а также тем, чья деятельность запрещена в России или признана нежелательной. Ограничения устанавливаются, если содержание и объем персональных данных либо категории субъектов персональных данных не соответствуют цели передачи.
Обратите внимание, что в случае появления нового иностранного контрагента НКО необходимо запросить у него сведения о защите персональных данных, провести оценку ответов и уже после этого подать уведомление в Роскомнадзор о намерении осуществлять трансграничную передачу.
Роскомнадзор может запретить или ограничить предоставление информации в другие страны. Решение принимается в течение 10 рабочих дней с даты поступления уведомления от организации.
Где искать подробности?
- Постановление Правительства Российской Федерации от 16.01.2023 года № 24;
- Постановление Правительства Российской Федерации от 10.01.2023 года № 6.
Перечень обязательных требований в сфере обработки персональных данных расширили
5 апреля 2023 года был опубликован приказ, который расширяет перечень обязательных требований в сфере обработки персональных данных, подлежащих контролю со стороны Роскомнадзора. Приказ внес изменения и дополнения в форму проверочного листа (списка контрольных вопросов), который используется Роскомнадзором при осуществлении государственного контроля за обработкой персональных данных.
Как это стоит учитывать в 2024 году?
Появились проверочные листы, которые НКО может использовать для проведения собственной проверки внутренней организации на предмет выполнения обязательных требований.
Где искать подробности?
- Проверочные листы можно найти по ссылке.
Изменился перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля за обработкой персональных данных
Индикатором нарушения будет считаться выявление контролирующим органом трех и более фактов несоответствия информации, указанной в уведомлениях:
- о намерении осуществлять обработку персональных данных;
- об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
- о намерении осуществлять трансграничную передачу персональных данных;
- о прекращении обработки персональных данных.
Важно обратить внимание и на еще одни индикаторы. Так, причиной внеплановой проверки со стороны Роскомнадзора может стать установление в течение календарного года десяти и более фактов несоответствия сведений, предоставляемых оператором по запросу Роскомнадзора, и информации, поступившей в Роскомнадзор от граждан по вопросам неправомерной обработки их персональных данных.
Если Роскомнадзором будет выявлено, что в политике по обработке персональных данных, размещенной на сайте оператора, указана иная информация, чем содержится в реестре операторов персональных данных, то оператору могут назначить проверку.
Причиной внеплановой проверки может стать и случай, если в течение календарного года Роскомнадзор установит десять и более фактов утечек баз персональных данных, имеющих признаки принадлежности к данному оператору.
Как это стоит учитывать в 2024 году?
Чтобы минимизировать риски, рекомендуем:
- осуществить внутренний аудит организации в части соблюдения требований по обработки персональных данных;
- проанализировать внутренний реестр процессов обработки персональных данных, содержащий информацию о целях, категориях и перечне обрабатываемых персональных данных, а также категориях субъектов, персональные данные которых обрабатываются;
- убедиться, что сотрудники осведомлены о процессах защиты персональных данных в организации, при необходимости провести обучение в данной области;
- следить за законодательными изменениями в этой области и своевременно вносить изменения во внутреннюю документацию.
При этом с учетом вышесказанного особое внимание стоит обратить на порядок обработки и сбора персональных данных посетителей сайта НКО.
Где искать подробности?
Выросли штрафы за обработку персональных данных без согласия субъекта в письменной форме в случаях, когда такое согласие должно быть получено
23 декабря 2023 года вступили в силу изменения в части 2 и 2.1 статьи 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных», которые предусматривают штрафы в случае несоблюдения закона:
- для граждан в размере от 10 до 15 тысяч рублей;
- для должностных лиц — от 100 до 300 тысяч рублей;
- для юридических лиц — от 300 до 700 тысяч рублей.
Повторное совершение административного правонарушения, предусмотренного частью 2 указанной выше статьи, влечет административный штраф:
- для граждан в размере от 15 до 30 тысяч рублей;
- для должностных лиц — от 300 до 500 тысяч рублей;
- для юридических лиц — от одного до 1,5 млн рублей.
Важно учитывать то, что невыполнение требований к форме согласия и указание неполных данных в согласии также считаются нарушением законодательства о персональных данных и могут повлечь ответственность.
Как это стоит учитывать в 2024 году?
Обратите внимание на то, что штрафы значительно увеличились по сравнению с прошлым годом, поэтому крайне важно вовремя оформлять согласие субъекта.
Напоминаем, что обработка персональных данных должна осуществляться только с согласия в письменной форме субъекта этих данных.
Где искать подробности?
Первую часть дайджеста законодательных изменений от Philin Philgood можно почитать по ссылке.
Текст подготовлен командой Philin Philgood
Philin Philgood — группа компаний, созданная в 2014 году по инициативе Рубена Варданяна. Специалисты группы предоставляют профессиональные решения для НКО, бизнеса и владельцев капиталов: от разработки программной стратегии и регистрации НКО до комплексного сопровождения бэк-офиса, коммуникационной поддержки и диджитал-решений.