Поделиться "Персональные данные: какие изменения вступят в силу 1 марта 2023 года"
© drogatnev / Фотобанк Фотодженика |
1 марта вступит в силу заключительная часть поправок, внесенных в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» в июле прошлого года. Изменения касаются порядка подтверждения уничтожения персональных данных, трансграничной передачи данных, сроков уведомления Роскомнадзора об изменении сведений, ранее представленных в уведомлении об обработке персональных данных, и ряда иных вопросов. Остановимся на нововведениях подробнее (Федеральный закон от 14 июля 2022 г. № 266-ФЗ).
С 1 марта 2023 года подтверждать уничтожение персональных данных (далее также ПД) нужно будет в соответствии с требованиями, установленными Роскомнадзором. Напомним, что уничтожить персональные данные (или обеспечить их уничтожение) необходимо в случаях, предусмотренных ст. 21 Закона о персональных данных, в частности, при достижении целей их обработки.
Требования к подтверждению уничтожения персональных данных предусмотрены приказом Роскомнадзора от 28 октября 2022 г. № 179. Он вступит в силу также 1 марта 2023 года.
В связи с этим обратите внимание на информационное сообщение ведомства, в котором поясняется, как документально оформить факт уничтожения персональных данных.
В первую очередь напомним, что согласно уже действующим положениям рассматриваемого Закона № 266-ФЗ, вступившим в силу 1 сентября 2022 года, при трансграничной передаче данных, операторы, которые ее осуществляли до 1 сентября 2022 года и продолжили ее осуществлять после этой даты, обязаны не позднее 1 марта 2023 года направить в Роскомнадзор уведомление об осуществлении такой передачи. Сделать это можно посредством формы, размещенной на Портале персональных данных.
Разъясняя данное требование, Роскомнадзор сообщил, что данная мера не предполагает получения разрешения на трансграничную передачу, а равно принятие решения о запрещении или ограничении трансграничной передачи ПД.
Однако с 1 марта правила изменятся. С указанной даты, согласно новой редакции ст. 12 Закона о персональных данных, операторы должны будут уведомлять Роскомнадзор о своем намерении осуществлять трансграничную передачу ПД до начала осуществления этой деятельности. В свою очередь ведомство, по итогам рассмотрения уведомления, будет вправе принять решение о запрете или ограничении передачи персональных данных в другие страны (см. в связи с этим правила, утв. постановлениями Правительства РФ от 16 января 2023 года № 24 и от 10 января 2023 г. № 6). До истечения 10 рабочих дней после подачи такого уведомления запрещено будет передавать данные в страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных (см. в связи с этим Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПД).
Операторам, подавшим уведомление о трансграничной передаче до 1 марта, не надо будет подавать новое уведомление после этой даты, до тех пор, пока в их деятельности не произойдут изменения, которые предполагают создание новых трансграничных потоков данных (в новые страны или для новых целей). Об этом также говорится в упомянутом сообщении ведомства.
Кроме того, обратите внимание на постановление Правительства РФ от 29 декабря 2022 г. № 2526, которым определены случаи, при которых к операторам, осуществляющим трансграничную передачу ПД, не применяются требования по уведомлению Роскомнадзора о намерении осуществлять трансграничную передачу, а также случаи, при которых не применяются положения закона, касающиеся принятия решений о запрещении или об ограничении трансграничной передачи ПД.
Установлено, что оператор обязан проинформировать ведомство не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.
В случае прекращения обработки персональных данных оператор должен уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки персональных данных (сейчас – в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПД).
Оценку вреда нужно будет осуществлять в соответствии с требованиями, утв. приказом Роскомнадзора от 27 октября 2022 г. № 178, который вступит в силу также 1 марта 2023 года.
Согласно новой ч. 10, которая с 1 марта 2023 года появится в ст. 23 Закона о персональных данных, для учета информации об инцидентах, поименованных в ч. 3.1 ст. 21 этого закона, Роскомнадзор будет вести реестр учета инцидентов в области персональных данных.
Также с указанной даты вступит в силу приказ ведомства от 14 ноября 2022 г. № 187, устанавливающий порядок и условия взаимодействия Роскомнадзора с операторами в рамках ведения названного реестра. В том числе этим приказом закреплены требования к содержанию первичного и дополнительного уведомления об инциденте.
А в соответствии с ч. 11, которая также появится в ст. 23 Закона о персональных данных с 1 марта 2023 года, информация о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, должна передаваться в ФСБ России. Порядок передачи будет установлен совместным приказом ФСБ и Роскомнадзора.
В заключение отметим, что положениями рассматриваемого Закона № 266-ФЗ, вступающими в силу 1 марта 2023 года, предусмотрены также изменения в Закон о госрегистрации недвижимости и Основы законодательства Российской Федерации о нотариате. После вступления этих поправок в силу получить из ЕГРН сведения о правообладателе недвижимости станет сложнее. Подробнее об этом рассказываем в отдельной новости.
Теги: 2023, бюджетная сфера, госсектор, ЕГРН (ЕГРП), защита персональных данных, здравоохранение, нотариат, физлица, формы документов, юрлица, Правительство РФ, Роскомнадзор, ФСБ России
Источник: Система ГАРАНТ